配置 Vault 文件管理器

适用于 Windows 的 Vault 文件管理器可以高效地签出、编辑和签入 Vault 文档。当用户签出文档时，Vault 文件管理器会自动下载这些文档。用户可以打开文件，以便直接在自己的 Windows 计算机上安装的 Vault 文件管理器客户端中编辑这些文件。

启用 Vault 文件管理器

要启用 Vault 文件管理器，请导航到管理 > 设置 > 常规设置，然后选中允许签出到文件管理器复选框。要允许用户直接从自己的 Vault 下载 Vault 文件管理器客户端安装程序，请选中从 Vault 配置 Vault 文件管理器复选框。在新的 Vault 中，通常会自动启用这些标志。

启用 Vault 文件管理器之后，您还必须授予用户应用程序：文档：Vault 文件管理器权限。此权限包含在 Vault 所有者和系统管理员标准安全配置文件中。如果没有此权限，用户在文档操作菜单中将看不到文档签出批量操作或签出到文件管理器选项，在自己的用户配置文件页面上也看不到 Vault 文件管理器下载安装程序链接。

为 Vault 文件管理器配置自动打开设置

为了防止由于用户将一个恶意文件作为文档的源文件上传而产生问题，Vault 使用 VFM 文件安全策略对象来确定 Vault 文件管理器应当自动打开哪些文件类型。Vault 将文件类型作为对象记录存储。

要配置这些设置，请首先导航到管理 > 配置 > 对象 > VFM 文件安全策略，并确保选中显示在“业务管理员”菜单中复选框。接下来，导航到业务管理员 > VFM 文件安全策略。默认情况下，Vault 包含 VFM 文件安全策略记录，以自动打开最常见的文件类型。要防止某种文件类型自动打开：

1. 从文件类型描述旁的操作菜单中，单击编辑。
2. 从状态选项列表中，选择非活动。
3. 单击保存。

要添加新的文件类型：

1. 从 VFM 文件安全策略对象记录列表页面中，单击创建按钮。
2. 为此文件类型输入一个描述。
3. 从状态选项列表中进行选择。如果选择活动，Vault 文件管理器会自动打开此文件类型的文件。如果选择非活动，用户需要手动打开这些文件类型。
4. 为文件类型输入一个或多个文件扩展名。例如，为 Microsoft Word 文件输入 doc 和 docx。使用逗号分隔多个值。
5. 单击保存。

Vault 文件管理器和公司身份系统

要允许用户使用您的公司身份系统登录到 Vault 文件管理器，您必须在您的 Vault 中配置 OAuth2.0/OpenID Connect 配置文件，并使用您的授权服务器上的一个相关 OAuth 2.0/OpenID Connect 应用程序。Vault 文件管理器目前只支持将 OAuth 2.0/OpenID Connect 与 Ping Federate、ADFS 4.0 或 Okta 结合使用。请参阅 Vault 文件管理器身份验证支持，以了解有关受支持的身份提供方的其他详细信息。

为 Vault 文件管理器配置 OAuth 配置文件

要配置 Vault 文件管理器以便与 OAuth 结合使用，需要执行两个步骤。首先，为您的 Vault 配置一个 OAuth 2.0/OpenID Connect 配置文件。请参阅配置 OAuth 2.0/OpenID Connect 配置文件，以了解详细说明。

接下来，您需要配置 SSO 安全策略。当定义您的 SSO 安全策略时，请将 OAuth 2.0/OpenID Connect 配置文件设置为您为 Ping Identity、ADFS 或 Okta 创建的 OAuth 2.0 配置文件。请参阅配置单点登录，以了解详细说明。

最后，您需要配置用户，以使用您定义的 SSO 安全策略。导航到管理 > 用户和组 > 域用户 > {用户}，然后将设置节段中的安全策略设置为您定义的 SSO 策略。如果您配置的相关 OAuth 2.0 配置文件的用户 ID 类型为联合 ID，您还必须设置用户配置文件中的联合 ID 值。

Ping Identity

当在 Vault 中创建用于 Ping Federate 的 OAuth 2.0 配置文件时，您必须选择授权服务器提供方下拉列表中的 PingFederate，以使用标准的 OAuth。

ADFS

当在 Vault 中创建用于 ADFS 的 OAuth 2.0 配置文件时，您必须选择授权服务器提供方下拉列表中的ADFS。选择 ADFS 将指示 Vault 文件管理器使用首选身份验证库（MSAL 或 ADAL），而不使用标准 OAuth。这与 Microsoft 应用程序（例如 Office 365）使用的身份验证方案相同。MSAL 是默认值，但是对于做出具体要求的应用程序，您可以使用首选身份验证库下拉列表选择 ADAL 而非 MSAL。

Microsoft Azure AD

要在 Vault 中创建用于 Microsoft Azure AD 的 OAuth 2.0 配置文件：

1. 单击“上传 AS 元数据”，选择“提供授权元数据 URL”，然后输入“https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration”。
2. 在 Microsoft Azure AD 中导航到自定义域名以找到您的域的租户，然后从名称列中复制租户 ID。
3. 在授权服务器提供方下拉列表中选择 Azure AD，并按如下方式配置身份声明：
   • 身份声明：身份处于另一个声明中。
   • 声明：upn
4. 创建客户端 ID 映射，并设置以下字段：
   • 应用程序标签：输入一个名称。对于此配置文件，建议使用“Vault 文件管理器”。
   • 应用程序客户端 ID：输入“VaultCheckOut”。
   • 授权服务器客户端 ID：输入应用程序 ID。在 Microsoft Azure AD 中的 Vault 文件管理器应用程序中，您可以在应用程序概述中找到此 ID。

Okta

当在 Vault 中创建用于 Okta 的 OAuth 2.0 配置文件时，您必须选择授权服务器提供方下拉列表中的 Okta。对于使用 Vault 文件管理器的 Okta 配置文件，您需要创建客户端 ID 映射，并设置以下字段：

• 应用程序标签：输入一个名称。对于此配置文件，建议使用“Vault 文件管理器”。
• 应用程序客户端 ID：输入“VaultCheckOut”。
• 授权服务器客户端 ID：输入在 Okta 中的 Vault 文件管理器应用程序中生成的客户端 ID。

授权服务器支持

接下来，在您的授权服务器中，配置并注册一个适用于 Vault 文件管理器的 OAuth 2.0/OpenID Connect 应用程序。

Ping Identity

要配置新的 Ping Identity 配置文件：

1. 将配置文件客户端 ID 设置为“VaultCheckOut”。确保为客户端 ID 设置“无客户端密码”。
2. 对于客户端身份验证，选择无。
3. 输入一个显示名称。对于此配置文件，建议使用“Vault 文件管理器”。
4. 输入如下重定向 URI：com.veeva.vaultfilemanager://authorize。

您应将应用程序配置为遵循以下授权类型：

• 授权代码
• 刷新令牌

Vault 将在 id_token 中使用 sub 声明，并将 access_token 用作联合 ID。

您的应用程序配置应当遵循以下范围：

• openid
• offline_access

设置了配置文件之后，获取授权服务器元数据。大多数授权服务器通过一个 URL 来公开 AS 元数据，而有些授权服务器允许您下载一个 AS 元数据 JSON 文件。使用 URL 或 JSON 文件，在 Vault 中上传您的 OAuth 2.0/OpenID Connect 配置文件中的 AS 元数据。

ADFS 4.0

要在 ADFS 中将 Vault 文件管理器设置为一个应用程序：

1. 在 ADFS 内，导航到应用程序组 > 应用程序 > 本机应用程序。
2. 输入客户端 ID：“VaultCheckOut”。
3. 输入一个显示名称。对于此配置文件，建议使用“Vault 文件管理器”。
4. 输入如下重定向 URI：vaultfilemanager://authorize。

接下来，您必须将 Vault 设置为一个 Web API：

1. 在 ADFS 内，导航到应用程序组 > 应用程序 > Web API。
2. 单击标识符标签页，以便将 Vault 作为一个依赖方标识符添加。
3. 显示名称输入“Vault”。
4. 输入如下依赖方标识符：https://login.veevavault.com。
5. 单击发布转换规则标签页，以创建一个自定义声明规则。
6. 在此标签页中，单击添加规则 > 使用自定义规则发送声明 > 下一步。
7. 输入如下自定义规则，并将“mail”替换为您希望用作联合 ID 的字段：
   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("sub"), query = ";mail;{0}", param = c.Value);
8. 单击客户端权限标签页，然后选择 Vault 文件管理器。
9. 选中 allatclaims 复选框。
10. 选中 openid 复选框。
11. 单击应用，以保存您的 Web API 配置。单击确定以退出此对话框。

Microsoft Azure AD

要在 Microsoft Azure AD 中将 Vault 文件管理器设置为应用程序，您必须首先为 login.veevavault.com 创建一个应用程序注册：

1. 在 Microsoft Azure 内，导航到 Azure Active Directory > 应用程序注册，然后单击新建注册。
2. 输入名称。建议使用 login.veevavault.com。
3. 单击注册。
4. 单击您的新应用程序，然后单击清单。将标识符 URI 更改为 https://login.veevavault.com。

接下来，为 Vault 文件管理器创建一个应用程序注册：

1. 在 Microsoft Azure 内，导航到 Azure Active Directory > 应用程序注册，然后单击新建注册。
2. 输入名称。建议使用“Vault 文件管理器”。
3. 将重定向 URI 配置为公共客户端，然后输入如下 URI：vaultfilemanager://authorize。
4. 单击注册。
5. 单击 API 权限，然后单击添加权限。
6. 选择 login.veevavault.com，然后选择授权的权限。
7. 选中同意框，然后单击添加权限。

Okta

要在 Okta 中将 Vault 文件管理器设置为一个应用程序：

1. 在 Okta 内，导航到应用程序 > 添加应用程序 > 创建新应用程序。
2. 对于 Platform，选择本机应用程序。
3. 对于登录方法，选择 OpenID Connect。
4. 单击创建。
5. 输入一个应用程序名称。对于此配置文件，建议使用“Vault 文件管理器”。
6. 输入如下登录重定向 URI：com.veeva.vaultfilemanager://authorize。
7. 单击保存，以创建此应用程序。

创建此应用程序之后，导航到常规设置标签页，以确认以下设置：

• 应用程序标签：您作为应用程序名称输入的值，例如“Vault 文件管理器”
• 应用程序类型：本机
• 允许的授权类型：授权代码和刷新令牌
• 登录重定向 URI：com.veeva.vaultfilemanager://authorize

在常规设置标签页中，您还需要滚动到客户端凭据节段。在 Okta 中，您无法配置客户端 ID；Okta 会分配一个随机的唯一标识符。为支持此操作，您需要在 Vault 中配置客户端 ID 映射，并将此唯一标识符输入到授权服务器客户端 ID 字段中。在这一节段中，应将客户端身份验证设置为使用 PKCE（对于公共客户端）。

接下来，导航到登录标签页，以确保将登录方法设置为 OpenID Connect。

最后，导航到分配标签页，以添加 Okta 用户。对于您分配给用于 Okta 的 OAuth 2.0/OpenID Connect 配置文件的每个 Vault 用户，您必须在此添加一个相应的用户。如果将 OAuth 2.0/OpenID Connect 配置文件中的用户 ID 类型设置为 Vault 用户名，则 Okta 用户名必须与 Vault 用户名匹配。如果将其设置为联合 ID，则 Okta 用户名必须与 Vault 用户的联合 ID 匹配。

验证配置

1. 配置一个测试用户，将安全策略设置为 OAuth SSO，并按照上一节中的说明配置它的相应 OAuth 2.0/OpenID Connection 配置文件。
2. 确保 Vault 文件管理器不在运行。
3. 打开 Vault 文件管理器，输入此测试用户的用户名，然后单击下一步。
4. 您应看到“您即将登录到您的身份提供方”消息。单击继续。
5. 如果尚未登录到授权服务器，您需要在出现提示时输入此测试用户的用户名和密码。
6. 此测试用户的凭据将出现在 Vault 文件管理器中，并表明此用户已成功登录。

如果没有看到身份提供方登录或者无法成功登录，请检查您的配置。请了解有关OAuth 2.0/OpenID Connect 事件日志记录和故障排除的更多信息。

相关权限

与 Vault 文件管理器相关的权限控制操作：

安全配置文件

应用程序：文档：Vault 文件管理器

能够使用“签出到文件管理器”操作或“文档签出”批量操作将文档签出。

应用程序：文档：批量更新

能够执行批量操作。

应用程序：文档：下载格式副本

能使用 Vault 文件管理器下载模拟副本。

应用程序：文件暂存访问

能使用 Vault 文件管理器下载模拟副本和上传源文件。

文档角色

编辑文档

能够签出和签入文档。