编辑对象记录访问权限首先在对象级别通过用户的安全配置文件进行控制,然后在对象记录级别通过动态访问控制(如果配置)进行控制。
对象字段级别安全提供另一层控制,让组织能够指定可以查看或编辑对象记录上的特定字段的用户。字段级别安全可在两 (2) 个级别进行配置。
- 配置文件字段级别安全:允许通过权限集分配按安全配置文件保护对象字段。字段安全设置独立于对象记录状态或对象记录上的用户分配角色。
- 原子安全:允许按单独的生命周期状态保护对象字段,并能够针对特定应用程序角色按状态覆盖设置。
配置对象的配置文件字段级安全配置
编辑对象记录访问权限首先在对象级别通过用户的安全配置文件进行控制,然后在对象记录级别通过动态访问控制(如果配置)进行控制。配置文件字段级别安全提供另一层控制,让组织能够指定可以查看或编辑给定对象的所有记录中的特定字段的用户。
例如,VeePharm eTMF Vault 使用 CTMS 集成管理外部系统中的某些研究和地点数据。该集成工具使用 Vault 用户帐户(称为“集成用户”)获取记录访问权限并更新记录。为了确保 Vault 用户无法编辑提取自 CTMS 的数据,VeePharm 在研究、研究国家/地区、研究机构和地点对象的某些字段中配置字段级别安全。VeePharm 仅向大部分安全配置文件授予读取权限,但向集成用户的安全配置文件授予读取和编辑权限。这会造成大部分用户可以看到但无法编辑这些字段,而集成工具仍然可以更新值的情况。字段级别安全利用用户的安全配置文件和附加的权限集来控制访问权限。因为标准安全配置文件不可编辑,所以 Vault 必须使用自定义安全配置文件才能使用此功能。
字段级别权限
编辑权限集时,管理员可以授予以下权限:
- 读取:允许用户查看字段标签和值,但不能编辑值。如果没有此权限,用户无法以任何方式查看或使用该字段,包括在对象标签页中进行筛选或在报告中进行分组。用户可能偶尔会看到字段名称,例如,在尝试执行使用隐藏字段的操作时,但绝不会看到字段值。
- 编辑:允许用户编辑字段值。
注意:用户还必须拥有对象级权限才能让 Vault 强制实施字段级权限。
访问字段级安全设置
您可以从特定权限集内查看和编辑字段级别安全:管理 > 用户和组 > 权限集。导航到对象标签页并单击特定对象。在对象标签页权限网格中,具有字段级别安全设置的所有权限都会显示星号。
如何设置字段级安全
要设置字段级别安全设置,请执行以下操作:
- 在权限集页,单击权限集并打开对象标签页。
- 通过单击对象标签打开特定对象。
- 单击编辑。
- 使用读取和编辑复选框分配或删除每个字段上的权限。权限必须位于对象级别才能在字段级别进行访问。
- 单击保存使更改生效。
动态访问控制
您既可以将字段级别安全和原子安全与动态访问控制(自定义或匹配共享规则)配合使用,也可以不与其配合使用。如果 DAC 授予 Gladys 对 WonderDrug 产品的只读访问权限,但她的安全配置文件授予其对产品对象上的所有字段的编辑访问权限,则 DAC 规则仍会阻止她进行编辑。如果 DAC 授予 Gladys 对 WonderDrug 产品的编辑访问权限,但她的安全配置文件授予其对产品对象上的某些字段的只读访问权限,则字段级别安全会阻止她编辑只读字段。
配置限制
联合对象限制
简单联合对象(支持多对多关系)不允许使用字段级别安全配置。
标准字段限制
为了保留功能,我们会阻止特定标准字段的某些字段级别安全更改。
以下字段无法隐藏,这意味着您无法删除读取权限:
- ID
- name__v
- lifecycle__v
- state__v
- status__v
- object_type__v
以下字段无法编辑:
- ID
- lifecycle__v
- state__v
应用程序限制
某些字段和对象对于 Vault 应用程序的正常运行至关重要。Vault 不允许将字段级别安全配置添加到这些字段和对象。例如,您无法在 eTMF 中的研究、研究国家/地区和研究机构对象上设置字段级别安全。
如需获取基于应用程序的受保护字段和对象的最新完整列表,请联系您的 Veeva 代表。
审计跟踪和日志
设置字段级安全用于隐藏某些字段时,Vault 会在单独的对象记录审计跟踪中隐藏这些字段。
复制记录
当用户复制记录(包括分层/深层副本)时,Vault 会忽略影响发起复制操作的用户的所有字段级别安全:隐藏或只读字段仍将复制到新纪录。
查看报告
用户无法查看以任何方式(例如,列或筛选器)引用隐藏字段的报告。
页面布局中的相关节段
您可以使用字段级别安全在对象引用字段上创建没有读取权限的安全配置文件,例如,市场活动对象上的产品字段。尽管权限设置位于市场活动对象的字段上,但它会隐藏这两个对象之间的关系。如果产品或市场活动的页面布局包括利用此关系的相关对象列表,则具有此安全配置文件的用户将不会看到该页面节段。