标准安全配置文件和权限集是 Vault 提供的默认配置。管理员无法更新标准安全配置文件(包括更改分配的权限集),也无法更新标准权限集。在发布期间,Vault 会更新标准安全配置文件和权限集,以包括新引入的权限并授予对新对象或标签页的访问权限。
相反,自定义安全配置文件和权限集由管理员创建,要么是新创建的,要么是通过复制标准配置文件或权限集创建的。您的 Vault 应用程序还可能会自动配置自定义配置文件和权限集。管理员可以根据需要修改自定义配置文件或权限集。自定义配置文件和权限集通常不受 Vault 版本影响。
标准安全配置文件
以下安全配置文件为标准安全配置文件:
- 文档用户
- 只读用户
- 外部用户
- Portal 用户
- 合法用户
- 业务管理员
- 系统管理员
- Vault 所有者
- 外部 IIS 用户(仅限 Clinical Operations Vault)
标准权限集
以下权限集为标准权限集:
- 完全用户操作
- 合法用户行动
- 外部用户操作
- 门户用户操作
- 只读用户操作
- 业务管理员操作
- 系统管理员操作
- Vault 所有者操作
- IIS 外部用户操作(仅限 Clinical Operations Vault)
分配标准配置文件
我们不建议将标准配置文件分配给业务用户,因为这些配置可能会给某些组织带来问题。例如,文档用户安全配置文件包括以下权限(通过完全用户操作权限集分配):
- 对所有对象的读取访问权限
- 对用户界面中的所有标签页的访问权限
此设置授予拥有文档用户配置文件的用户对 Vault 中每个新的自定义对象的读取访问权限,以及对每个新的自定义标签页的访问权限。您无法通过此设置控制业务用户获取新功能访问权限的速度。
其他标准配置文件(只读用户、外部用户和业务管理员)具有相同的行为。由于标准配置文件和权限集不可编辑,控制功能推出的唯一选项是系统性使用自定义配置文件和权限集。
最佳实践
通过遵循这些最佳实践,您可以精确控制向业务用户提供对象和标签页等新资源的时间:
将用户分配到自定义配置文件
不使用标准配置文件,而是将用户分配到自定义安全配置文件。将标准安全配置文件设为非活动,以防止管理员意外对其进行分配。
如何检查分配
要检查是否有任何用户分配到标准安全配置文件,请执行以下操作:
- 导航到管理 > 用户和组 > 安全配置文件。
- 单击进入每个标准安全配置文件。
- 打开用户标签页。
- 检查并确保未列出任何用户。
例外:Vault 所有者和系统管理员配置文件
此最佳实践仅有的例外是 Vault 所有者和系统管理员配置文件。这些配置文件拥有所分配的配置、Vault 操作、对象和标签页的“完全”权限。它们会被自动授予任何新权限。
因为管理员无法授予其他用户对自己没有的权限的访问权限,所以必须有一组拥有所有权限的访问权限的用户(Vault 所有者和系统管理员)。
将自定义权限集分配到自定义配置文件
请勿将标准权限集分配到自定义安全配置文件。相反,您可以创建自定义权限集并进行分配。如果想要从匹配标准权限集的自定义权限集开始,请复制标准权限集。该副本完全可编辑。
角色权限
为了避免复杂的安全配置文件配置,您可以使用通过用户角色分配权限集的替代方法。当用户可能需要基于培训或流程所有权的不同权限集时,这种方法很有帮助。角色权限不会取代安全配置文件,而是通过角色分配充当额外的增量权限。
不要将所有对象和所有标签页权限用于业务用户
避免将所有对象和所有标签页权限分配到提供给业务用户的配置文件。这些权限仅与需要系统中所有资源的访问权限的管理员用户相关。
如何检查权限
要检查某个权限集是否包括所有对象和所有标签页权限,请执行以下操作:
- 导航到管理 > 用户和组 > 权限集。
- 单击进入每个自定义权限集。
- 打开对象标签页,检查并确保没有选中所有对象。
- 打开标签页标签页,检查并确保没有选中所有标签页。