Veeva Snap 配置选项

Veeva Snap 是一款用于 iOS 设备(iPad、iPhone 和 iPod Touch)的移动应用程序,可让 Vault 用户使用其设备的相机扫描文档并上传至 Vault 中。管理员可以使用几个 Veeva Snap 配置选项。

配置 Veeva Snap 的企业登录

要配置 Veeva Snap,以允许用户使用贵公司的身份系统登录,需要执行两个步骤:

  • 首先,为您的 Vault 配置 OAuth 2.0。请参阅配置 OAuth 2.0/OpenID Connect 配置文件,以了解详细说明。
  • 接下来,在您的授权服务器上,配置并注册一个适用于 Veeva Snap 的 OAuth 2.0 / OpenID Connect 应用程序。请参阅下文,了解详细说明。

授权服务器支持

本节段将介绍配置多种兼容授权服务器时需要执行的步骤。出于安全目的,建议在您的授权服务器中启用 PKCE

ADFS

要在 ADFS 中将 Veeva Snap 设置为一个应用程序:

  1. 在 ADFS 内,导航到应用程序组 > 应用程序 > 本机应用程序
  2. 输入客户端 IDveevasnap
  3. 输入如下重定向 URIcom.veeva.snap:/authorize

接下来,您必须将 Vault 设置为一个 Web API:

  1. 在 ADFS 内,导航到应用程序组 > 应用程序 > Web API
  2. 单击标识符标签页,以便将 Vault 作为一个依赖方标识符添加。
  3. 显示名称输入“Vault”。
  4. 输入如下依赖方标识符https://login.veevavault.com
  5. 单击发布转换规则标签页,以创建一个自定义声明规则。
  6. 在此标签页中,单击添加规则 > 使用自定义规则发送声明 > 下一步
  7. 输入如下自定义规则,并将“mail”替换为您希望用作联合 ID 的字段:
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("sub"), query = ";mail;{0}", param = c.Value);
  8. 单击客户端权限标签页,然后选择 Veeva Snap
  9. 选中 allatclaims 复选框。
  10. 选中 openid 复选框。
  11. 单击应用,以保存您的 Web API 配置。单击确定以退出此对话框。

PingFederate

要配置新的 Ping Identity 配置文件:

  1. 将配置文件客户端 ID 设置为 veevasnap。确保为客户端 ID 设置“无客户端密码”。
  2. 对于客户端身份验证,选择
  3. 输入一个显示名称。对于此配置文件,建议使用“Veeva Snap”。
  4. 输入如下重定向 URIcom.veeva.snap:/authorize

您应将应用程序配置为遵循以下授权类型:

  • 授权代码
  • 刷新令牌

Vault 将在 id_token 中使用 sub 声明,并将 access_token 用作联合 ID

您的应用程序配置应当遵循以下范围:

  • openid
  • offline_access

Microsoft Azure AD

要在 Microsoft Azure AD 中将 Veeva Snap 设置为应用程序,您必须首先为 login.veevavault.com 创建一个应用程序注册:

  1. Microsoft Azure 内,导航到 Azure Active Directory > 应用程序注册,然后单击新建注册
  2. 输入名称。建议使用 login.veevavault.com
  3. 单击注册

接下来,为 Veeva Snap 创建一个应用程序注册:

  1. Microsoft Azure 内,导航到 Azure Active Directory > 应用程序注册,然后单击新建注册
  2. 输入名称。建议使用“Veeva Snap”。
  3. 支持的帐户类型下方,选择哪些用户能够访问 Veeva Snap。
  4. 重定向 URI 面板中,从下拉列表中选择公共客户端/本机(移动和桌面),然后输入以下 URI:veevasnap://authorize
  5. 单击注册
  6. 导航到应用程序注册 > 公开 API
  7. 应用程序 ID URI 字段中,单击设置。当 Azure 选择一个 ID 之后,单击保存
  8. 单击添加范围。在范围名称字段中,输入您在步骤 2 中选择的名称。
  9. 谁能同意?字段中,选择管理员和用户
  10. 输入所需的名称和说明,然后在状态字段中选择已启用。完成后,单击添加范围

编辑您的 OAuth 2.0/OpenID Connect 配置文件,以确保:

  • 身份声明设置为身份处于另一个声明中
  • 声明设置为 upn
  • 用户 ID 类型设置为联合 ID

将 Veeva Snap 作为一个客户端应用程序添加,并确保:

  • 应用程序客户端 ID 设置为 veevasnap
  • 授权客户端服务器 ID 与 Azure 在步骤 7 中生成的应用程序(客户端)ID 匹配。

Okta

要在 Okta 中将 Veeva Snap 设置为一个应用程序:

  1. Okta 内,导航到应用程序 > 添加应用程序 > 创建新应用程序
  2. 对于 Platform,选择本机应用程序
  3. 对于登录方法,选择 OpenID Connect
  4. 单击创建
  5. 输入一个应用程序名称。对于此配置文件,建议使用“Veeva Snap”。
  6. 输入如下登录重定向 URIcom.veeva.snap:/authorize
  7. 单击保存,以创建此应用程序。

创建此应用程序之后,导航到常规设置标签页,以确认以下设置:

  • 应用程序标签:作为应用程序名称输入的值,例如 Veeva Snap
  • 应用程序类型:本机
  • 允许的授权类型授权代码刷新令牌
  • 登录重定向 URIcom.veeva.snap:/authorize

常规设置标签页中,您还需要滚动到客户端凭据节段。在 Okta 中,您无法配置客户端 ID;Okta 会分配一个随机的唯一标识符。为支持此操作,您需要在 Vault 中配置客户端 ID 映射,并将此唯一标识符输入到授权服务器客户端 ID 字段中。在这一节段中,应将客户端身份验证设置为使用 PKCE(对于公共客户端)

接下来,导航到登录标签页,以确保将登录方法设置为 OpenID Connect

最后,导航到分配标签页,以添加 Okta 用户。对于您分配给用于 Okta 的 OAuth 2.0/OpenID Connect 配置文件的每个 Vault 用户,您必须在此添加一个相应的用户。如果将 OAuth 2.0/OpenID Connect 配置文件中的用户 ID 类型设置为 Vault 用户名,则 Okta 用户名必须与 Vault 用户名匹配。如果将其设置为联合 ID,则 Okta 用户名必须与 Vault 用户的联合 ID 匹配。

Exostar SAM

联系您的 Exostar 代表,为 Veeva Snap 配置 Exostar SAM。

添加授权服务器元数据

设置了配置文件之后,获取授权服务器元数据。大多数授权服务器通过一个 URL 来公开 AS 元数据,而有些授权服务器允许您下载一个 AS 元数据 JSON 文件。使用 URL 或 JSON 文件,在 Vault 中上传您的 OAuth 2.0/OpenID Connect 配置文件中的 AS 元数据。

企业移动管理

您可以使用企业移动性管理 (EMM) 软件(例如 MobileIron 或 AirWatch)为自己的组织配置 Veeva Snap。要控制各种应用程序属性,您可以创建覆盖默认 Veeva Snap 行为的配置文件。

创建 EMM 配置文件

您可以定义要控制的属性值,并通过 EMM 供应商将所配置版本的 Veeva Snap 部署到您的用户。您还可以在 Vault 中调整 Veeva Snap 权限,以便与 EMM 配置一起使用。

如何创建 EMM 配置文件以控制 Veeva Snap 取决于您使用的 EMM 供应商。MobileIron 等部分供应商提供的界面可供您简化应用程序属性。

另外一些供应商,例如 AirWatch,需要详述属性的 XML 配置文件。配置包括所有可用的可控设置。下载此示例文件您还可以参阅 AirWatch 在线帮助文档,了解更多信息。

可控制的应用程序属性

VeevaVaultBiometricAuthenticationVisible
控制:生物特征身份验证复选框的外观和使用。
值:可见(默认)、不可见
VeevaSnapCertifiedCopyVisible
控制:Veeva Snap 设置界面上的已认证副本启用设置的可见性。
值:可见(默认)、不可见
VeevaSnapCertifiedCopyEnforced
控制:用户在上传文档到 Vault 之前,需要执行已认证副本。如果此属性设置为已执行,那么将忽略 VeevaSnapCertifiedCopyVisible,已认证副本启用设置将设置为启用。
值:已执行、未执行(默认)
VeevaSnapNotesFieldMinimum
控制:用户需要在文档审查界面上的“注释”字段中输入的最少字符数。当用户从 Vault 电子邮件中启动 Veeva Snap 来上传文档到占位符时,该字段将被忽略。
值:0255
VeevaSnapEMMProvisioned
控制:Veeva Snap 是否由 Apple App Store 或组织的 EMM 软件配置。当应用程序通过 EMM 供应商进行配置时,此选项始终设置为“是”。使用 App Store 版本的 Veeva Snap 时,此属性不可用。
值:(默认)

您或许能够通过 EMM 软件控制其他常见移动应用程序属性。请查阅供应商文档以了解关于其他可用属性的信息。

Vault 权限

除您的 EMM 配置文件以外,Veeva Snap 还包括两种 Vault 应用程序权限,它们可启用或限制用户对应用程序的:Veeva Snap:启用Veeva Snap:启用直接安装访问权限。请参阅关于这些权限的详细信息

启用副本认证

要在 Vault 中启用副本认证,请导航到管理 > 配置 > 文档字段,将基础文档已认证副本 (certified_copy__v) 字段的状态设置为活动。当 Veeva Snap 用户在应用程序中完成副本认证之后将文档上传到 Vault 时,如果用户对文档进行分类,则已认证副本字段值将被设置为

您还可以使用企业移动管理,强制要求组织的所有 Veeva Snap 用户在上传文档到 Vault 时使用副本认证。

配置电子邮件模板

用户可以通过从特定格式的 URL 打开 Veeva Snap,上传捕获的文档作为占位符的源文件,作为现有 Vault 文档的新版本,或作为其他 Vault 文档或对象记录的附件。为此,必须配置或更新文档消息模板,以包含指向 Veeva Snap 应用程序的链接。有关配置电子邮件模板的详细信息,请参阅电子邮件和消息管理。如果用户的设备上未下载 Veeva Snap 应用程序,URL 将不会工作。

例如,您可以更新与送请编写工作流有关的消息模板,以包含指向 Veeva Snap 应用程序的链接。当用户在占位符文档上启动此工作流时,Vault 会向在工作流配置中确定的用户发送电子邮件。然后,用户可以单击该链接启动 Veeva Snap,并将捕获的文档直接上传到模板中确定的占位符。

占位符的自定义 URL 和新文档版本

Veeva Snap 支持自定义 URL 格式,允许上传到占位符文档,或者作为 Vault 中现有文档的新版本:
veevasnap://uploadplaceholder///

例如,该自定义 URL 将为:veevasnap://uploadplaceholder/16315/1169/Test%20Document

了解有关占位符的更多信息。

附件的自定义 URL

Veeva Snap 支持自定义 URL 格式,允许用户上传捕获的文档作为其他 Vault 文档的附件:veevasnap://uploadDocAttachment///

例如,标识文档的自定义 URL 将为:veevasnap://uploadDocAttachment/12345/123/Cholocap%20Trial%21Update

Veeva Snap 支持自定义 URL 格式,允许用户上传捕获的文档作为对象记录的附件:veevasnap://uploadObjectAttachment////

例如,标识对象记录的自定义 URL 将为:veevasnap://uploadObjectAttachment/12345/study__v/12/Study%20123

了解有关文档对象记录的更多信息。

电子邮件模板消息示例

以下电子邮件模板消息显示了如何让用户上传捕获的文档到 Vault 中的占位符:

<p>${notificationMessage}</p>
<p>Due date: ${taskDueDate}</p>
<p>Document owner: ${docOwnerName}</p>
<p>Workflow owner: ${workflowInitiatorName}</p>
<p>Task instructions: ${taskInstructions}</p>
<p>You can see all of your tasks on your Vault homepage under <a href=’${taskHome}’>Tasks</a>.</p>
<p><a href=’veevasnap://uploadplaceholder/${vaultId}/${docId}/ ${docNameNoLink}’><img src=’https://example.com/veeva-snap-email-button.png’/></a></p>

建议在模板中包含以下图像作为用户启动 Veeva Snap 的按钮:

(右键单击图像以保存。)

要通过 Veeva Snap 上传文档,用户必须拥有以下权限:

安全配置文件

Veeva Snap:启用
控制是否能够将文档从 Veeva Snap 移动应用程序上传到 Vault。对于给定的 Vault,如果没有此权限,用户将在试图从 Veeva Snap 上传文档时看到一个错误。
Veeva Snap:启用直接安装
控制是否能够使用 Apple App Store 提供的公开版 Veeva Snap。如果没有此权限,用户必须使用其组织配置的 Veeva Snap 应用程序版本。
文档:始终允许未分类
决定用户是否能够在没有创建文档(任何文档类型)权限的情况下创建未分类文档。
API:访问 API
控制是否能够与 Vault 通信并从 Veeva Snap 上传文档到 Vault。
所有文档:所有文档创建
控制是否能够上传未分类文档;此权限并非必需项,但在需要但未启用文档:始终允许未分类权限的情况下,可以将此权限作为替代项设置。

文档类型

创建文档
控制是否能够创建特定文档类型的文档以及未分类文档;此权限并非必需项,但用户必须要么拥有此权限,要么拥有安全配置文件的文档:上传权限。

文档角色

查看文档
控制是否能够查看占位符文档;用户在捕获文档作为占位符的源文件时需要此权限。
编辑文档
控制是否能够编辑占位符文档;用户在捕获文档作为占位符的源文件时需要此权限。
版本
控制是否能够上传占位符文档的新版本;在未分类文档生命周期的未分类状态下,用户必须拥有此权限。
编辑关系
控制是否能够添加、删除文档附件并对其进行版本控制。
编辑共享设置
控制是否能够在创建未分类文档时包含默认文档角色分配;在未分类文档生命周期的未分类状态下,用户必须拥有此权限。如果没有此权限,用户将在从 Veeva Snap 上传未分类文档时看到一个错误。

安全配置文件

{Object}:编辑
控制是否能够添加、删除对象记录附件并对其进行版本控制。