1 台の Vault でさまざまなビジネスパートナと作業をしている組織は、Vault が関連組織に基づいてその他のユーザ情報を表示する方法を制限したい場合があります。ユーザセキュリティでユーザオブジェクトで動的アクセスコントロール (DAC) を設定すると、その他のユーザが表示できる氏名、ユーザ名、メールアドレスなどの個人情報の匿名化または開示を選択することができます。ユーザセキュリティは共通機能をユーザ情報の匿名化と共有しますが、相互に排他的であるため併用することはできません。
ユーザセキュリティは主に、レコードの表示を制御する機能など標準 DAC 動作を活用しますが、オブジェクト、ドキュメント、およびシステムメッセージでユーザの参照をマスキングすることができます。
例えば、Sunstar Labs はパートナー企業 Enviro-Chk および Medi-Review と連携しています。Enviro-Chk は Sunstar Labs の製造ツールが環境に優しいことを検証し、Medi-Review は販促資料のメディカルおよびリーガルレビューを担当します。Enviro-Chk は Sunstar Labs からのユーザ情報を確認する必要がありますが、Medi-Review ユーザに関する情報を確認するのは必須ではありません。Enviro-Chk ユーザが Medi-Review ユーザの情報を閲覧しないよう、Sunstar Labs 管理者は Enviro-Chk ユーザにユーザセキュリティを設定し、すべての Medi-Review ユーザレコードの読み取り権限を無効にします。Enviro-Chk の Mary がログインして、Medi-Review の Cody が作成したドキュメントを表示する場合、作成者フィールドは Cody の名前と情報ではなく「Vault ユーザ」と表示します。
ユーザ情報のマスキング
Vault の UI のみで実施されるユーザ情報の匿名化と比較すると、ユーザオブジェクトでの DAC 設定は、Vault のユーザを保護するより強力な方法を提供します。以下のリストには、DAC 設定に基づきユーザ情報をマスキングする際に想定される動作が含まれています。
- オブジェクト、ドキュメント、およびワークフローのユーザ選択リストは、ユーザがアクセス権限を持つユーザレコードのみを表示します。
- 作成者、変更者などのユーザ参照フィールド、またはその他のユーザオブジェクト参照フィールドは、ユーザにアクセス権限のない参照ユーザレコードにマスク済みユーザ名 (Vault ユーザ) を表示します。
- Vault はユーザ名をマスキングして、グループにマウスオーバーすると「Vault ユーザ」と表示します。
ユーザセキュリティの設定
ユーザセキュリティを保護するため、DAC を有効化する際には以下を推奨します。
- DAC を有効化すると、デフォルトで、ユーザは Vault のその他のユーザを表示できません。DAC を有効化する際には、ロール設定レコードのプロビジョニングを推奨します。
- 一致共有ルールの有効化
制限
Vault は以下の DAC は有効化しません:
- 監査ログ
- 電子署名
- ドキュメントシステムメッセージ (お気に入りの通知を含む)
- オブジェクトシステムメッセージ
- フラッシュレポート
- 設定 UI
- ユーザ & グループ UI
- ユーザのプロファイルページにアクセスする代理ユーザ
さらに、非表示ユーザユーザ名を検索すると、セットドキュメントまたは結果のユーザを参照するオブジェクトを返します。