Vault の各種ユーザセキュリティ機能により、ユーザに適切なドキュメント、オブジェクトレコード、アクションに対してユーザにアクセスを許可する環境を確保できます。また、これらの機能により、ユーザがドキュメントに対してバージョン競合をもたらしたり、すでに完成しているドキュメントを不適切に編集したりしないようにします。
Vault のユーザアクセスモデルにおける一般的な条件および重要な概念を以下で説明します。
用語 | 定義 |
アトミックセキュリティ | アトミックセキュリティは、ロールおよびライフサイクル状態レベルでアクションを管理できます。例えば、レビューアロールのユーザは進行中状態のキャンペーンレコードでレビューワークフローを開始できますが、下書き状態のレコードでは開始できません。オブジェクトおよびドキュメントで使用可能ですが、それぞれに別の機能を使用できます。 |
ドキュメントレベル権限 | ドキュメントのライフサイクル状態に固有の、特定ドキュメントの閲覧・編集アクセス権設定。 |
ドキュメントライフサイクルロール | このエンティティを通じて、特定ドキュメントでユーザ/グループに権限またはワークフロータスクを割り当てます。ロールにユーザを追加することによってのみ、ドキュメント権限をユーザに割り当てることができます。ロール割り当てはドキュメントごとに行います。ロールはドキュメントライフサイクル内に存在し、権限はライフサイクル状態ごとに異なる場合があります。 |
ドキュメント共有の設定 | 共有設定は、ドキュメントの各ロールに割り当てられたユーザ/グループを表示し、それらを編集できるドキュメント情報ページ内のパネルです。ワークフロー所有者は、ワークフロー開始ダイアログから、あるいは参加者追加やタスク再割り当ての際に、ユーザ/グループを特定ロールに追加することもできます。 |
グループ | ロールや権限を割り当てる際にユーザと同様に機能する、手動で管理するユーザの集合体。個別ユーザではなくグループを役割に割り当てると、後から、複数のドキュメントでユーザをロールから削除する際に便利です。 例えば、Linda Kim は、8 つのドキュメントで個人ユーザとして確認者のロールに設定されています。このロールから彼女を外すには、各ドキュメントで変更を加えなければなりません。しかし、Linda Kim がメディカル確認者グループに属し、そのグループが確認者ロールに設定されている場合、グループから Linda Kim を削除すれば、8 つすべてのドキュメントで確認者ロールから彼女を外すことになります。 |
ライセンスタイプ | ライセンスタイプは、アカウント作成中にユーザに割り当てられるフィールドです。ライセンスタイプは、管理者領域へのアクセス権限と Vault 領域の一部のオプションへのアクセス権限をコントロールすることができます。 |
オブジェクトレコードレベルセキュリティ | 特定のオブジェクトレコードの表示および編集の設定にアクセスできます。これらの設定を、共有ルールを使用しているオブジェクトに動的に定義するか、あるいは共有設定の手動割り当てを使用している個別のレコードに定義することができます。 これは、動的アクセスコントロールを使用するオブジェクトにのみ適用されます。 |
オブジェクトレコードロール | レコードへのアクセス権限を制御する各オブジェクトデータレコードにシステム定義されたロール (閲覧者、編集者、所有者) で、これにはドキュメントフィールドの編集時にレコードを選択するアクセス権限も含みます。 これは、動的アクセスコントロールを使用するオブジェクトにのみ適用されます。 |
オブジェクトレコード共有設定 | 共有設定はオブジェクトレコード詳細のセクションで、レコードに適用されるすべての共有ルールと手動によるロールの割り当てが表示されます。このセクションでは、レコードのロールに手動割り当てされたユーザ/グループの編集もできます。 これは、動的アクセスコントロールを使用するオブジェクトにのみ適用されます。 |
ロール | ドキュメントライフサイクルロール、オブジェクトレコードロール、またはユーザロールを参照してください。 |
セキュリティマトリックス | 管理者 > 設定 > ドキュメントライフサイクル > [ライフサイクル] > 状態 > [状態] > セキュリティで、ライフサイクル状態の各ロールで有効なドキュメント権限を表示し、それらを編集できる設定パネルです。 |
共有ルール | 共有ルールは、ユーザ/グループをオブジェクトデータレコードのロールに系統的に割り当てる方法です。手動割り当てとは異なり、これらのルールは、Vault が特定の共有設定を適用するレコードを管理者が定義するクエリを使用して動的に選択します。 これは、動的アクセスコントロールを使用するオブジェクトにのみ適用されます。 |
共有設定 | 「ドキュメント共有設定」および「オブジェクトレコード共有設定」をご覧ください。 |
セキュリティプロファイル | セキュリティプロファイルは、アカウント作成中にユーザに割り当てられるフィールドです。このプロファイルは、割り当てられた権限セットを使用して、管理者領域へのアクセス権限、システム管理グループのメンバーシップ、および Vault 領域内の一部オプションへのアクセス権限を制御します。 |
ユーザ | 固有のログイン認証情報があるエンティティ。Vault にアクセスする各人物をユーザとし、一人の人物を複数のユーザとしないようにします。 |
ユーザロール | ロールに基づく権限を付与するために使用する、ユーザおよびアプリケーションロールの関係。セキュリティプロファイルと併せて使用されます。 |
Vault がドキュメントアクセスを決定する方法
以下に、Vault がドキュメントの特定の種類のアクセス権限を決定するために使用するフローを説明します。
ドキュメントへの閲覧専用アクセス
- 共有設定 (ロール) とセキュリティマトリックス
- 共有設定におけるユーザの割り当てロール
- 例外: 特定のアプリケーションのユーザ: Vault 所有者権限には特別な管理者タイプアクセス権限があります。
- ドキュメントステータス (ライフサイクル状態)
- セキュリティマトリックス (状態とロール)
- 共有設定におけるユーザの割り当てロール
ドキュメントでアクションを実行するための追加アクセス権
- 特別な配慮: 削除を無効化
- ドキュメントはアクティブなワークフローにある
- ドキュメントは固定ライフサイクル状態にある
- 例外: 特定のアプリケーションのユーザ: Vault 所有者権限が削除できます。
- ドキュメントはチェックアウトされている
- 特別な配慮: 新規バージョンのアップロードとチェックアウトを無効化
- ドキュメントはチェックアウトされている
- 特別な配慮: 各種編集機能を無効化
- ユーザに読み取り専用ユーザまたはポータルユーザのライセンスタイプがある
- 共有設定 (ロール) とセキュリティマトリックス
- 共有設定におけるユーザの割り当てロール
- 例外: 特定のアプリケーションのユーザ: Vault 所有者権限
- ドキュメントステータス (ライフサイクル状態)
- セキュリティマトリックス (状態とロール)
- 共有設定におけるユーザの割り当てロール
ユーザがドキュメントロールを得る方法
ユーザにドキュメントライフサイクルロールを割り当てるには以下のいずれかの方法を使用します:
- ドキュメント作成時に自動的に (デフォルトユーザ)
- 共有設定でいつでも手動で
- ワークフロー開始時に自動的に (デフォルトユーザ)
- ワークフロー開始ダイアログで、ワークフロー開始時に手動で
- タスクの再割り当て時に手動で
- ワークフロー参加者追加時に手動で
- ユーザが「リンクとして送信」経由でドキュメントを受信した際に自動で (閲覧者ロール)
注: ワークフロー所有者がワークフローでグループをロールに割り当て (開始ダイアログ、再割り当てまたは参加者追加)、割り当てられたタスクがロールにある場合、Vault はタスク割り当て発生時にグループを個別ユーザに展開します。いずれかのユーザオプションを使用するタスクの場合、ワークフローがそのタスクに達した際にタスク割り当てが発生します。すべてのユーザオプションを使用するタスクの場合、ワークフロー開始時にタスク割り当てが発生します。タスク割り当て後にグループメンバーシップを変更しても、割り当てられたロールに影響は及びません。