原子安全允许更精细地控制各种操作。用于文档的原子安全可用于活动工作流操作以及所配置的文档生命周期操作。使用用于文档的原子安全,管理员可以按文档生命周期状态和文档生命周期角色来定义对操作的访问权限。例如,拥有编辑者角色的用户或许能够在文档处于审查状态时访问取消工作流,但在文档处于其他状态时无法访问此功能。
“活动工作流”操作是指正在进行的工作流实例可采用的选项,例如,添加参与者和取消工作流。
使用所配置的文档生命周期操作,用户可以启动一个工作流和更改文档的状态。有些 Vault 还包含自定义文档操作。无论是否使用原子安全,此访问权限都由文档角色和文档生命周期状态控制。但当使用原子安全时,Vault 会在操作级别提供访问访问控制。例如,可以使用两种用户操作,为一个处于审查状态的文档启动工作流:启动审查和启动紧急批准。拥有编辑者角色的用户可以访问启动审查,但无法访问启动紧急批准。如果不使用原子安全,用户角色权限将允许访问所有已配置的启动工作流操作。
对文档安全性进行的更改
在所有 Vault 中启用了“用于文档的原子安全:活动工作流操作和原子安全:文档生命周期操作”。对此功能的启用包括对文档生命周期和安全性页面进行的以下更改:
- 原子安全标签页出现在生命周期状态配置中。
- 启动工作流权限从安全矩阵中消失。
- 更改状态权限从安全矩阵中消失。
- 多通道操作权限出现在安全矩阵中。
迁移(文档生命周期操作)
您 Vault 中的用户访问权限不应发生任何变化。为此,Vault 执行了以下迁移操作:
- 对于所配置的所有用户操作(以前由启动工作流和更改状态权限控制),Vault 将状态行为设置为执行。
- Vault 应用了覆盖,以便向在启用之前没有控制权限的任何角色隐藏这些操作。
- Vault 为拥有启动工作流权限的任何角色授予了新的多通道操作权限。
多通道操作权限(文档生命周期操作)
在以前的版本中,对某些多通道功能的访问权限由启动工作流权限控制。用于文档的原子安全推出了新的多通道操作权限,以控制以下操作:
- 创建演示文稿
- 发送到 CLM
- 预览 CLM
文档工作流(原来的“多文档工作流”)操作
启用用于文档的原子安全之后,导致文档工作流(原来的“多文档工作流”)操作访问权限发生了以下变化:
- 默认情况下,用于启动文档工作流的用户操作的原子安全行为选项是执行。以前,如果角色在其安全配置中没有启动工作流权限,个别文档操作菜单中会隐藏这些操作,但进行这一更改之后,现在没有这一权限也能看到这些操作。即使在进行这一更改之前,用户也可以从批量视图(例如购物车、收藏夹或近期文档)中启动这些工作流。
- 原子安全现在提供了一致的访问权限实施。管理员可以通过原子安全配置,禁止用户在个别文档操作菜单和批量视图中启动文档工作流。
- 以前只有工作流发起人能够执行删除内容操作。而启用此原子安全之后,所有角色的删除内容操作的默认行为是执行。这是一个活动工作流操作,只适用于具有多个文档的文档工作流。此行为允许参与者删除内容。此行为可以被基于状态和角色的原子安全覆盖。
访问原子安全设置
要访问用于生命周期状态的原子安全设置,请导航到管理 > 配置 > 文档生命周期 > [生命周期] > 状态 > [状态] > 原子安全。
如何为操作设置行为
当配置用于文档生命周期状态的原子安全时,您需要首先设置默认的行为,然后设置用于特定角色的覆盖。默认行为将应用于所创建的任何新角色,以及尚未为其设置覆盖的任何角色。如果对某个操作的访问权限应当更严格,您应将状态行为设置为隐藏或(仅限文档生命周期操作)查看,这样可以确保只有明确为其授予了访问权限的角色能够执行此操作。如果对某个操作的访问权限应当更宽松,您应将状态行为设置为执行,这样可以确保没有被明确阻止的所有角色都拥有访问权限。
请记住,原子安全配置是在单个生命周期状态内确定的,因此根据文档的状态,对某个操作的访问权限可能更严格,也可能更宽松。
请注意,对单文档工作流中的取消任务和重新分配任务操作的访问权限取决于在任务配置中选择的选项,而不是取决于原子安全。
要为工作流操作设置默认值和覆盖行为:
- 从原子安全标签页中,单击编辑。
- 为每个操作选择一种默认的状态行为。
- 单击 + 角色覆盖,以创建覆盖。
- 在搜索:生命周期角色窗口内,为一个或多个角色单击绿色的 + 图标。完成后,单击确定。
- 在网格中,为每个角色选择一种覆盖行为。
- 单击保存。对原子安全进行的更改会立即生效。
行为选项
当设置一个默认并可覆盖行为时,你可看到以下选项:
- 隐藏会向用户隐藏操作,以禁止操作出现在工作流操作菜单中。
- 查看(只适用于文档生命周期操作)将允许用户查看文档操作菜单中的选项,但显示为灰色且无法单击,以防止用户对文档执行操作。
- 执行将允许用户对文档执行操作。
相关权限
以下权限控制着对原子安全配置的访问权限:
类型 | 权限标签 | 控制 |
安全配置文件 | 文档生命周期:编辑 | 能够在文档生命周期状态的原子安全标签页中修改设置 |
注意:无论权限或原子安全设置如何,工作流发起者和协调者都能够访问工作流操作。对于拥有标准 Vault 所有者安全配置文件的用户,Vault 还会绕过原子安全。