標準およびカスタムプロファイルおよび権限セットの管理について

標準セキュリティプロファイルと権限セットは、Vault が提供するデフォルト設定です。管理者は、標準セキュリティプロファイル (割り当てられる権限セットの変更を含む) を更新したり、標準権限セットを更新したりすることはできません。リリース時には、Vault は標準セキュリティプロファイルと権限セットを更新して、新しく導入された権限を含め、新規オブジェクトまたはタブにアクセス権限を付与します。

対して、カスタムセキュリティプロファイルと権限セットは、新規作成、あるいは標準プロファイルまたは権限セットのコピーいずれかを行うことで、管理者により作成されます。お使いの Vault アプリケーションは、カスタムプロファイルと権限セットを自動的にプロビジョニングする場合もあります。管理者は、カスタムプロファイルまたは権限セットを必要に応じて変更することができます。カスタムプロファイルと権限セットは、通常 Vault のリリースに影響を受けません。

標準セキュリティプロファイル

以下のセキュリティプロファイルは標準です:

  • ドキュメントユーザ
  • 読取り専用ユーザ
  • 外部ユーザ
  • ポータルユーザ
  • リーガルユーザ
  • ビジネス管理者
  • システム管理者
  • Vault 所有者
  • 外部 IIS ユーザ (Clinical Operations Vault のみ)

標準権限セット

以下の権限セットは標準です:

  • 完全ユーザアクション
  • リーガルユーザアクション
  • 外部ユーザアクション
  • ポータルユーザアクション
  • 読取り専用ユーザアクション
  • ビジネス管理者アクション
  • システム管理者アクション
  • Vault 所有者アクション
  • IIS 外部ユーザアクション (Clinical Operations Vault のみ)

標準プロファイルの割り当て

組織によっては問題のある設定である場合があるため、標準プロファイルをビジネスユーザに割り当てることは推奨されません。例えば、ドキュメントユーザのセキュリティプロファイルには、以下の権限が含まれます (完全ユーザアクション権限セットで割り当てられる):

  • すべてのオブジェクトへの参照アクセス権限
  • ユーザインタフェースのすべてのタブへのアクセス権限

この設定では、Vault のすべての新規カスタムオブジェクトへの参照アクセス権限と、すべての新規カスタムタブへのアクセス権限がドキュメントユーザプロファイルを持つユーザに付与されます。これは、ビジネスユーザが新規機能にアクセスするペースを制御することはできません。

他の標準プロファイル (読取り専用ユーザ、外部ユーザ、企業管理者) は同じ動作を共有します。標準プロファイルと権限セットは編集可能ではないため、機能のロールアウトを制御する唯一のオプションは、カスタムプロファイルと権限セットを体系的に使用することです。

ベストプラクティス

これらのベストプラクティスに従うことで、オブジェクトやタブといった新規リソースがビジネスユーザに利用可能となった際に、厳密に制御することができます。

カスタムプロファイルにユーザを割り当てる

標準プロファイルを使用する代わりに、カスタムセキュリティプロファイルをユーザに割り当てます。標準セキュリティプロファイルを無効に設定して、管理者がそれらを誤って割り当てないようにします。

割り当てを確認するには

標準セキュリティプロファイルにユーザが割り当てられているかどうかを確認するには:

  1. 管理者 > ユーザ & グループ > セキュリティプロファイルに進みます。
  2. 各標準セキュリティプロファイルをクリックします。
  3. ユーザタブを開きます。
  4. ユーザが一覧表示されていないことを確認します。

例外: Vault 所有者およびシステム管理者のプロファイル

このベストプラクティスに対する唯一の例外は、Vault 所有者とシステム管理者プロファイルです。これらのプロファイルには、設定Vault アクションオブジェクトタブに「すべて」の権限が割り当てられています。これらは新しい権限に自動的に付与されます。

管理者は、付与されていないアクセス権限を他のユーザに付与できないため、すべての権限にアクセスできるユーザセット (Vault 所有者およびシステム管理者) を持つことが重要です。

カスタムプロファイルにカスタム権限セットを割り当てる

カスタムセキュリティプロファイルに標準権限セットを割り当てないでください。その代わりに、カスタム権限セットを作成し、それらを割り当てることができます。標準権限セットに一致するカスタム権限セットで開始したい場合は、標準権限セットをコピーします。コピーはすべて編集可能です。

ロール権限

複雑なセキュリティプロファイル設定を回避するために、ユーザロールを介して権限セットを割り当てる別の方法を使用できます。これは、ユーザがトレーニングまたはプロセスの所有権に基づいてさまざまな権限セットを必要とする場合に役立ちます。ロール権限はセキュリティプロファイルに置き換わるものではなく、ロール割り当てを通じて追加の差分権限として機能します。

ビジネスユーザにはすべてのオブジェクトおよびすべてのタブの権限を使用しない

ビジネスユーザに付与されたプロファイルにすべてのオブジェクトおよびすべてのタブ権限を割り当てないでください。これらの権限は、システムのすべてのリソースにアクセスする必要がある管理者ユーザにのみ適しています。

権限を確認するには

権限セットにすべてのオブジェクトおよびすべてのタブ権限が含まれるかどうか確認するには:

  1. 管理者 > ユーザ & グループ > 権限セットに進みます。
  2. 各カスタム権限セットをクリックします。
  3. オブジェクトタブを開き、すべてのオブジェクトが選択されていないことを確認します。
  4. タブのタブを開き、すべてのタブが選択されていないことを確認します。