グループは、Vault のユーザアクセス管理の鍵となるものです。グループは、単に名前が付けられたユーザの一覧ですが、会社のチームや役割を反映するグループを定義し、これらのグループをドキュメントロールに割り当てることで、ドキュメントへのアクセスをより簡単かつ効率的に管理できます。
動的アクセスコントロールを使用する Vault では、1 つのライフサイクルロールと追加のドキュメントフィールド条件に対応するグループも自動的に作成します。これらは自動管理グループと呼ばれます。
グループ管理へのアクセス
管理 > ユーザ & グループ > グループからグループを表示して管理します。ユーザグループを設定するためには、グループ権限が付与されたセキュリティプロファイルを持っている必要があります。
システム提供グループ
各 Vault には、「システム提供」と指定されているグループが多数あります。これらのグループは、Vault の初期設定に含まれ、標準セキュリティプロファイルに基づいて自動的にグループメンバーシップが更新されます。新しいユーザを作成する、またはセキュリティプロファイルを変更する際、システム管理グループはこれらの変更を反映します。これらのグループは削除できません。
各標準セキュリティプロファイルのグループに加えて、Vault はすべての内部ユーザグループを管理します。デフォルトでは、すべての内部ユーザには、セキュリティプロファイルがドキュメントユーザ、企業管理者、システム管理者および Vault 所有者のユーザが含まれます。管理者がシステム管理グループに含まれるセキュリティプロファイルを変更しない限り、標準プロファイルではなくカスタムプロファイルを持つユーザは、いずれのシステム管理グループにも含まれません。標準の Vault 所有者セキュリティプロファイルを持つユーザのみが、含まれるセキュリティプロファイルを変更するために、これらのグループを編集することができます。その他の詳細は編集できません。
マネージャグループ
Vault でマネージャグループが有効な場合、Vault は、各ユーザの直属のマネージャを含むシステム管理グループを作成します。この機能は、ユーザオブジェクトレコードの「マネージャ」フィールドを使用します。
例
例えば、Gladys がマネージャで、彼女の直属の部下が Carla と Cody とします。Gladys には、マネージャとして Theresa もいます。
マネージャグループ機能は自動的に次のグループを作成します。
- Carla – マネージャ:
- Gladys (直属のマネージャ)
- Cody – マネージャ:
- Gladys (直属のマネージャ)
- Gladys – マネージャ:
- Theresa (直属のマネージャ)
- Theresa – マネージャ:
- Theresa のユーザレコードではマネージャが選択されていないため、グループメンバーはいません。
マネージャグループの有効化
この機能を使い始めるには、管理者 > セキュリティ設定 > マネージャグループからマネージャグループの有効化オプションを選択します。これが有効になると、Vault は、マネージャフィールドを含むユーザレコードごとにマネージャグループを自動的に作成します。これは、Vault に既存のユーザレコードと、有効化の後に作成されたユーザレコードに対して発生します。ユーザレコードのマネージャフィールドを変更すると、Vault は影響を受けるマネージャグループを調整します。
マネージャグループ設定を無効にすると、Vault はすべてのマネージャグループを無効にし、それらからすべてのメンバーを削除します。
マネージャグループの使用
ユーザのマネージャグループは、次のような該当する機能で選択した場合に、ユーザのすぐ下に表示されます。
- 手動割り当て中
- ユーザまたはグループのロールへの追加時
- ビューの共有時
- ドキュメントリンクの共有時
ワークフロー参加者の選択時にマネージャグループを含めるオプションが有効な場合、ワークフロー参加者の割り当て時にも、マネージャグループが表示されます。
注: マネージャグループは、グループの選択リスト内、またはカスタム共有ルールでメンバーを選択するときには表示されません。
自動管理グループ
自動管理グループは、動的アクセスコントロールの機能です。ユーザロール設定レコードの作成を開始すると、自動管理グループが作られます。
これらのグループは、ユーザロール設定レコードに対応し、このレコードにはユーザへの参照、単一のライフサイクルロールへの参照、1 つ以上のドキュメント/オブジェクトフィールドへの参照が含まれます。同じ値を持つユーザロール設定レコードは (ユーザ参照を除く) は、同じグループに配置されます。以下の表に、3 つのユーザロール設定レコードの例と対応するグループを示します。
ユーザ | ロール | 製品 | 国 | 自動管理グループ |
Thomas Chung | エディタ | CholeCap | 米国 | CholeCap-米国-編集者 |
Gladys Dunford | エディタ | CholeCap | 米国 | CholeCap-米国-編集者 |
Tracy Lee | エディタ | CholeCap | — | CholeCap-編集者 |
Vault は、これらのグループを自動的に作成・登録します。ユーザロール設定レコードが変更されると、Vault は新規グループが必要かどうかを確認し、直ちにユーザを再割り当てします。
自動管理グループの編集
これらのグループを編集する際には、構成の選択を許可する設定のみをオン/オフにすることができます。他のオプションは編集できません。Vault は、管理者 > 設定 > セキュリティ設定に指定されたフィールドの順序に基づいてグループ名を自動的に割り当てます。
DAC 外でグループを使用する: ランタイム
例えば、「リンクとして送信」の受領者やワークフロー開始ダイアログのタスク割り当て者として、これらのグループをランタイムタスクに選択することができます。
DAC 外でグループを使用する: 構成
構成の選択を許可する設定は、フィールドレベルセキュリティの設定など、設計や設定中にこれらのグループを使用できるかどうかを制御します。
有効でなくなった選択リスト値またはオブジェクトレコードを参照しているためにグループが無効になった場合、設定でそのグループを選択することはできません。
以下の設定オプションでは、自動管理グループを選択することはできません。これは、これらの設定が DAC 以前のアクセスコントロールモデルの一部であるためです:
- ドキュメントライフサイクルロール設定で許可されたユーザ/デフォルトのユーザ
- ドキュメントタイプ設定における閲覧者、編集者およびコンシューマのデフォルト
ユーザ提供グループ
多くの組織は、ビジネスプロセスを管理するカスタムグループを必要とします。Vault では、カスタムグループを手動でまたは動的に割り当てることができます。手動割り当ては、管理者が個別のユーザをグループに割り当てる必要があることを意味します。
自動割り当ては、含まれるセキュリティプロファイル設定を使用して、グループに対応する 1 つ以上のセキュリティプロファイルを指定します。Vault は、正しいセキュリティプロファイルを持つユーザをこれらのグループに登録します。例えば、VPharm 内部グループには、標準のドキュメントユーザとシステム管理者プロファイルの他に、カスタムの VPharm 企業管理者プロファイルを含めることができます。
ユーザのセキュリティプロファイルが変更されたり、グループに含まれたプロファイルが変更された場合、Vault はこれらの変更を直ちに反映させます。
カスタムグループを作成する方法
新規ユーザ管理グループを作成するには:
- グループページから、作成をクリックします。
- グループ名および説明 (任意) を入力します。
- 任意の作業: 含まれるセキュリティプロファイルに 1 つ以上のプロファイルを選択します。Vault は、含まれるセキュリティプロファイルを持つユーザをグループに自動的に含めます。
- 任意の作業: 次のセクションの説明に従い、グループメンバー間でのみ許可される委任アクセス権オプションを有効にします。
- 保存をクリックします。
- メンバータブを開き、メンバーの編集をクリックします。
- ユーザを検索し、グループに追加するには + アイコン、削除するには - アイコンをクリックします。既存グループ内で検索するには、選択リストからグループを選択します。
- 終わったら、閉じるをクリックします。
委任アクセス権の制限
個々のグループの委任アクセス権を制限する前に、管理者 > 全般設定ページで、グループメンバー間でのみ許可される委任アクセス権チェックボックスを選択して、この機能を有効にする必要があります。
次に、カスタムグループを設定する際に、グループメンバー間でのみ許可される委任アクセス権オプションを有効化して、ユーザが Vault で選択できる委任候補のプールを制限することができます。このオプションを有効化すると、このグループのメンバーは他のグループメンバーに委任アクセス権を付与することしかできません。
Vault は委任候補のプールを次のようにフィルタリングします:
- ユーザが有効であること
- ユーザが被委任者として許可する権限を付与されていること
- ユーザが少なくとも 1 つの共通の有効なグループメンバーシップを持っていること例えば、ユーザ A が「米国の Medical」ユーザグループに属し、ユーザ B が「カナダの Medical」グループに属している場合、どちらのユーザにもお互いの委任アクセス権限は許可されません。しかし、ユーザ C が「米国の Medical」と「カナダの Medical」両方のグループに属している場合、ユーザ A とユーザ B にはユーザ C に対する委任アクセス権限が許可されます。
委任アクセス権限のデフォルトアクセス権限に関する詳細は、権限セットについてを参照してください。
カスタムグループのメンバーを変更する方法
このオプションは、ユーザ管理グループ専用です。グループのメンバーであるユーザを変更する:
- グループページから、変更するグループをクリックします。
- メンバータブを開きます。
- グループにユーザを追加をクリックします。
- ダイアログで、追加または削除するユーザを検索します。グループにユーザを追加するには + アイコン、グループに存在するユーザを削除するには - アイコンをクリックします。Vault がセキュリティプロファイルに基づいて自動的に含めるユーザは削除できません。
- 終わったら、閉じるをクリックします。
正しい権限を持つ管理者は、ユーザページから個別のユーザをグループに追加することもできます。
グループを削除する方法
グループを Vault から削除すると、取り消すことはできません。グループがドキュメント上にロールを有する場合、またはアクティブなワークフローに関与している場合、グループを削除できません。グループを完全に削除する準備ができていないが、ユーザがグループを選択しないようにしたい場合、グループを無効にすることができます。このオプションは、ユーザ管理グループ専用です。
グループを削除するには:
- グループページから、削除するグループをクリックします。
- 詳細タブで、削除をクリックします。
- ダイアログで続行をクリックして確認します。
グループを無効化する方法
無効化するとユーザはグループを選択できなくなりますが、アクティブなワークフローまたはグループにロールがあるドキュメントの共有設定には影響は及びません。このオプションは、ユーザ管理グループ専用です。グループを無効にするには:
- グループページから、無効にするグループをクリックします。
- 詳細タブで、編集をクリックします。
- ステータス値を変更します。
- 保存をクリックします。
グループに関するレポート
グループに関するレポートを生成すると、ユーザとグループ間の関係を簡単に分析することができます。これは、監査、年次レビュー、照合など、他の多くの重要なビジネスプロセスにおいて、どのユーザがどのグループに属しているかを確認するためのデータ集計の際に役立ちます。
グループに関するレポートを設定する方法
グループに関するレポートは他のレポートタイプと同じように設定しますが、グループに関するレポートには、メンバーシップオブジェクトを使用する必要があります。グループに関するレポートを設定するには、プライマリレポートオブジェクトとしてユーザまたはグループを選択します。次に、下位のオブジェクトとしてメンバーシップを追加します。Vault は、プライマリレポートオブジェクトとして選択したものに応じて、ユーザまたはグループを上位オブジェクトとして自動的に追加します。レポートタイプの設定に関する詳細はレポートタイプの構成をご確認ください。
レポート閲覧者には、このタイプのレポートを表示するためにグループメンバーシップの参照権限が付与されている必要があります。