オブジェクトのアトミックセキュリティを使用すると、個別のライフサイクル状態またはオブジェクトレコードに割り当てられたロールごとにオブジェクト フィールド、アクション、オブジェクト管理、および関係を保護することができます。これはレコードおよびレコードの状態のユーザロールに基づいて特定のフィールド、アクション、または関係に権限を付与します。
アトミックセキュリティを設定するには、最初にオブジェクトライフサイクルを指定されたオブジェクトに割り当てる必要があります。アトミックセキュリティ設定は Vault 所有者セキュリティプロファイルを持つユーザには適用されません。
注: アトミックセキュリティはドキュメントにも使用できます。ドキュメントのアトミックセキュリティの設定をご覧ください。
オブジェクトタイプのアトミックセキュリティ
Vault は、すべてのオブジェクトタイプのフィールドまたはアクションに同じアトミックセキュリティ設定を適用します。特定のオブジェクトタイプにアトミックセキュリティを適用することはできません。例えば、状態動作をキャンペーンオブジェクトの監査終了日の参照に設定した場合、Vault は同じ権限を監査終了日フィールドのすべてのオブジェクトタイプに設定します。Vault は、特定のオブジェクトタイプに関連するフィールドまたはアクションの値のリストを表示しますが、これはフィルタリングのみを目的としています。
フィールドにアトミックセキュリティを設定する
フィールドのアトミックセキュリティにより、ライフサイクルの状態とロールによって異なるフィールドレベルのセキュリティを設定できます。アトミックセキュリティは、任意の状態におけるオブジェクトレコードでどのフィールドが編集可能か、参照専用か、または非表示かを制御します。
また、アトミックセキュリティを使用してデフォルトの状態動作を定義することもできます。オブジェクトにレコードレベルのセキュリティが有効化されている場合 (一致またはカスタム共有ルール経由)、デフォルトの状態動作はその状態内のすべてのロールに適用されます。特定のアプリケーションロールにオーバーライドを定義することができます。
例えば、VeePharm の eTMF Vault では、マイルストーンオブジェクトは下書き、ベースライン、予定および完了のライフサイクル状態を使用します。大半のユーザにとって、実際の開始日と実際の完了日フィールドは、下書きとベースライン状態では関係がなく、予定と完了ライフサイクル状態では参照専用になります。ユーザにこれらのフィールドを表示しないようにするために、VeePharm のシステム管理者である Gladys は、実際の開始日と実際の完了日のフィールドにアトミックセキュリティを設定します。Gladys の設定で、これらのフィールドは、レコードが下書きとベースライン状態にある間は非表示のままになり、予定状態と完了状態では参照専用になります。Gladys は、予定状態において、治験マネージャロールに実際の開始日と実際の完了日のフィールドの編集アクセス権限を付与するオーバーライドを設定することができます。
動作オプション
デフォルトおよびオーバーライド動作を設定する際に、以下のオプションが表示されます:
- 編集: ユーザはフィールドラベルを表示し、フィールド値を編集できます。これは、ユーザにセキュリティプロファイルレベルのオブジェクトレコードで編集権限が付与されており、オブジェクトレコードが編集可能である (動的アクセスコントロール) ことを前提とします。
- 参照: ユーザはフィールドラベルと値を表示できますが、値を編集することはできません。例えば、ユーザは製品レコードの疾患領域フィールドを表示できますが、値を更新することはできません。
- 非表示: フィールド値は表示されることはありません。レコードの編集時には、フィールドラベルも表示されません。
フィールドにアトミックセキュリティを設定する方法
フィールドにアトミックセキュリティを設定するは:
- 管理者 > コンテンツ設定 > オブジェクトライフサイクルに移動します。ライフサイクルをクリックし、個別の状態をクリックします。
- アトミックセキュリティ: フィールドセクションで編集をクリックします。
- 状態動作の選択リストで編集 (デフォルト)、参照または非表示を選択して、セキュリティ設定を各フィールドに適用します。
- 任意の作業: + ロールオーバーライドをクリックしてアプリケーションロールを追加し、状態動作をオーバーライドします。このオプションにより選択されたロールがページに追加されます。次に、それぞれのアクションに異なる動作を選択することができます。
- 保存をクリックして変更を有効にします。
新規オブジェクトレコードを作成する際に、Vault はレコードのライフサイクル状態とロールを割り当てません。ただし、エントリ状態と所有者ロールオーバーライドに設定されたセキュリティ設定は、定義されている場合、レコード作成時に自動的に適用されます。
制限
- ユーザインタフェースで VQL またはファセット検索を使用すると、アトミックセキュリティで非表示のフィールド値を検索することができます。検索結果はフィールド値を表示しませんが、複数の検索を実行したり、オブジェクトレコードが結果に表示されるかどうかを観察することで、ある程度の精度で値を判断することができます。アトミックセキュリティでフィールドを非表示にしても、悪意を持ったユーザが非表示フィールドの値を推測することを防ぐことはできません。
- オブジェクト詳細ページのアクションメニューに表示される監査証跡は、アトミックセキュリティを考慮しません。アトミックセキュリティでフィールドを非表示にする場合、オブジェクトレコード監査権限を無効化してユーザが非表示のフィールド値を表示できないようにすることが推奨されます。
オブジェクト管理のアトミックセキュリティの設定
オブジェクト管理のアトミックセキュリティを使用すると、ライフサイクル状態や役割に応じて、ユーザがオブジェクトレイアウトの特定の UI 要素を見ることができるかどうかをきめ細かく制御できます。
オブジェクト管理にアトミックセキュリティを設定する方法
フィールドにアトミックセキュリティを設定するは:
- 管理者 > コンテンツ設定 > オブジェクトライフサイクルに移動します。ライフサイクルをクリックし、個別の状態をクリックします。
- アトミックセキュリティ: 管理セクションで編集をクリックします。
- 状態動作の選択リストで参照 (デフォルト) または非表示を選択して、セキュリティ設定を各管理に適用します。
- 任意の作業: + ロールオーバーライドをクリックしてアプリケーションロールを追加し、状態動作をオーバーライドします。このオプションにより選択されたロールがページに追加されます。次に、それぞれのアクションに異なる動作を選択することができます。
- 保存をクリックして変更を有効にします。
ユーザおよびシステムアクションでのアトミックセキュリティの設定
アトミックセキュリティにより、ライフサイクル状態とロール別に、オブジェクトレコードに対して非表示、表示可能、または実行可能にするオブジェクトアクションまたはライフサイクルユーザアクションを制御できます。アトミックセキュリティ経由で構成する設定は、ユーザがセキュリティプロファイル経由で付与されるアクセス権限よりも多くの権限を付与することができません。例えば、Tracy Lee のセキュリティプロファイルは、ワークフロー > 開始権限を付与しません。彼女が品質レビューの送信の実行権限が付与されているアプリケーションのロールに割り当てられている場合でも、ワークフローが開始されるため、アクションを実行することはできません。
オブジェクトのユーザアクションにアトミックセキュリティを定義する際に、まず各ライフサイクル状態にデフォルトのアクセスレベルを定義する必要があります。すべてのロールは、状態内のオブジェクトレコードにそのアクセスレベルを持ちます。次に、特定のアプリケーションロールにオーバーライドを適用することができます。例えば、VeePharm の Quality Vault では、品質イベントライフサイクルは開始されたライフサイクル状態を使用します。これは、インパクトアセスメント用に送信と品質レビュー用に送信アクションを含みます。VeePharm は、すべてのロールにこれらのアクションを表示しても、各アクションを実行できるのは所有者ロールのみに限定したいかもしれません。そうするには、VeePharm のシステム管理者である は、アクションにアトミックセキュリティを設定し、次に表示する状態動作を設定します。次に Carl はロールオーバーライドを使用して各アクションの所有者ロールに実行権限を適用します。
動作オプション
デフォルトおよびオーバーライド動作を設定する際に、以下のオプションが表示されます:
- 非表示: アクションがユーザに表示されることはなく、アクションメニューにも表示されません。
- 表示: ユーザはアクションメニューでアクションを表示できますが、グレー表示されているため選択できません。
- 実行: ユーザがアクションメニューのアクションを表示してクリックできるようにします。
ユーザおよびシステムアクションにアトミックセキュリティを設定する方法
ユーザアクションおよびシステムアクションにアトミックセキュリティを設定するには:
- 管理者 > コンテンツ設定 > オブジェクトライフサイクルに移動します。ライフサイクルをクリックし、個別の状態をクリックします。
- アトミックセキュリティ: アクションセクションで編集をクリックします。
- 状態動作の選択リストで実行 (デフォルト)、表示または非表示を選択して、セキュリティ設定を各アクションに適用します。
- 任意の作業: + ロールオーバーライドをクリックしてアプリケーションロールを追加し、状態動作をオーバーライドします。このオプションにより選択されたロールがページに追加されます。次に、それぞれのアクションに異なる動作を選択することができます。
- 保存をクリックして変更を有効にします。
有効なワークフローアクションでのアトミックセキュリティ設定
有効なワークフローアクションは、参加者の追加およびワークフローのキャンセルなど、進行中のワークフローインスタンス用のオプションです。デフォルトでは、オブジェクトのアトミックセキュリティを使用しない Vault では、アクションへのアクセスはワークフロー所有者に権限セットを介して自動的に付与されます。アトミックセキュリティを有効にすると、ワークフロー所有者は、権限セットに関係なく、これらのアクションに引き続きアクセスできます。
動作オプション
デフォルトおよびオーバーライド動作を設定する際に、以下のオプションが表示されます:
- 実行: ユーザがアクションを表示してクリックできるようにします。
- 非表示: アクションがユーザに表示されることはありません。
有効なワークフローアクションにアトミックセキュリティを設定する方法
有効なワークフローアクションにアトミックセキュリティを設定するには:
- 管理者 > コンテンツ設定 > オブジェクトライフサイクルに移動します。ライフサイクルをクリックし、個別の状態をクリックします。
- アトミックセキュリティ: アクションセクションで編集をクリックします。
- 状態動作の選択リストで実行 (デフォルト)、表示または非表示を選択して、セキュリティ設定を各アクションに適用します。
- 任意の作業: + ロールオーバーライドをクリックしてアプリケーションロールを追加し、状態動作をオーバーライドします。このオプションにより選択されたロールがページに追加されます。次に、それぞれのアクションに異なる動作を選択することができます。
保存をクリックして変更を有効にします。
関係にアトミックセキュリティを設定する
関係のアトミックセキュリティにより、オブジェクトレコードまたはドキュメントの受信関係がオブジェクトライフサイクル状態およびユーザロールに従いいつ変更できるかを制御することができます。
関係のアトミックセキュリティは、どのユーザがオブジェクトレコードやドキュメントを関連付けることができるかを制御します。例えば、VeePharm のキャンペーンオブジェクトには、ドキュメントフィールド予算案があります。これは、特定のキャンペーン (オブジェクトレコード) と特定のドキュメントの間に関係を作成します。管理者は、キャンペーンコーディネーターロールのユーザのみが、ほとんどのライフサイクル状態でこの関係を編集できるように (キャンペーンを予算文書にリンクするか、リンクを解除する)、アトミックセキュリティを設定できます。また、レコードが承認済状態になると、そのロールでさえ編集できなくなります。キャンペーンコーディネーターロールを持たないユーザには、予算ドキュメントとの関係が表示されますが、予算ドキュメントを削除したり、その関係を介して別のドキュメントをリンクしたりすることはできません。
アトミックセキュリティを使用してオブジェクトまたはドキュメント関係にデフォルト状態動作を定義することができます。設定した場合、すべてのロールがその特定の状態にあるオブジェクト関係にデフォルトアクセス権限を持つようになります。例えば、VeePharm の Quality Vault でクレームオブジェクトレコードが CAPA 承認状態になると、ユーザは新しい調査を割り当てたり、クレームに関連付けられた既存の調査を削除できなくなります。ユーザが関連調査レコードを追加したり削除したりできないようにするには、管理者がアトミックセキュリティを使用してクレームと調査オブジェクトの関係を参照に設定します。この設定を使用すると、CAPA 承認状態で関係が読み取り専用になります。
動作オプション
デフォルトおよびオーバーライド動作を設定する際に、以下のオプションが表示されます:
- 編集: ユーザが制限なしに関係を編集できます。
- 参照: 関係は読み取り専用です。ユーザは、ドキュメントまたは関連オブジェクトをオブジェクトレコードに関連付けたり、既存の関係を削除したりすることはできません。
オブジェクト間の関係でアトミックセキュリティを有効化する方法
オブジェクト間の関係は、オブジェクトのオブジェクトタイプフィールドにアトミックセキュリティを設定することによって管理されます。オブジェクト間の関係でアトミックセキュリティを有効化するには:
- 管理者 > コンテンツ設定 > オブジェクト > [オブジェクト] > 関連ドキュメントに移動します。
- 希望するオブジェクト参照または親オブジェクト参照フィールドを選択します。
- 編集をクリックします。
- 関係を保護チェックボックスを選択します。このオプションはライフサイクルに割り当てられているオブジェクト参照および親オブジェクト参照フィールドのみに使用できます。このチェックボックスは、参照されるオブジェクトがライフサイクルに割り当てられている場合にのみ選択可能であることに注意してください。
- 保存をクリックして、オブジェクトのライフサイクルを介して関係を設定可能にします。
ドキュメントとオブジェクトの関係でアトミックセキュリティを有効化する方法
ドキュメントとオブジェクトの関係は、オブジェクトタイプのドキュメントフィールドでアトミックセキュリティを設定することによって管理されます。ドキュメントフィールド関係のオブジェクトタイプでアトミックセキュリティを有効にするには:
- 管理者 > 設定 > ドキュメントフィールドに移動します。
- ドキュメントフィールド上のオブジェクトタイプをクリックします。
- 編集をクリックします。
- 被参照オブジェクトレコードの状態およびロールに基づく保護チェックボックスを選択します。このチェックボックスは、参照されるオブジェクトがライフサイクルに割り当てられている場合にのみ選択可能であることに注意してください
- 保存をクリックして、オブジェクトのライフサイクルを介して関係を設定可能にします。
関係にアトミックセキュリティを設定する方法
関係にアトミックセキュリティを設定するには:
- 管理者 > コンテンツ設定 > オブジェクトライフサイクルに移動します。ライフサイクルをクリックし、個別の状態をクリックします。
- アトミックセキュリティ: 関係セクションで編集をクリックします。
- 状態動作の選択リストで編集 (デフォルト) または参照を選択して、セキュリティ設定を各関係に適用します。
- 任意の作業: + ロールオーバーライドをクリックしてアプリケーションロールを追加し、状態動作をオーバーライドします。このオプションにより選択されたロールがページに追加されます。次に、それぞれのアクションに異なる動作を選択することができます。
- 保存をクリックして変更を有効にします。
Vault が関係にアトミックセキュリティを設定する方法
レコード間の関係におけるアトミックセキュリティ
- 新しいレコードを作成および保存する際に、Vault はセキュリティ設定に基づいてレコードを保存できるかどうかをチェックします。少なくとも 1 つのオブジェクト参照が関係の参照権限があるレコードを参照している場合、ユーザは新しいレコードを作成できません。保存の際に Vault は安全な受信関係を持つ各オブジェクト参照フィールドを検証し、検証に失敗したオブジェクト参照フィールドにインラインエラーメッセージを表示します。
- 編集権限があるオブジェクト参照フィールドを持つレコードの編集および保存を行う際に、Vault は受信関係アトミックセキュリティに基づいて被参照レコードを再割り当てできるかどうかを検証します。
- 対応するオブジェクトの受信関係に参照権限がある場合、ユーザは関連リストでオブジェクト参照フィールドのインライン編集を行うことができません。
- オブジェクトレコードが少なくとも 1 つの無効化権限があるオブジェクト参照フィールドを持つ場合、削除アクションはユーザに表示されません。
ドキュメントとレコードの関係におけるアトミックセキュリティ
- Vault は、ドキュメント情報ページからドキュメントフィールドを編集するとき、およびドキュメントまたはドキュメントバージョンを削除するとき、ドキュメントまたはオブジェクトレコードをコピーするとき、またはオブジェクト参照フィールドを編集するときに、関係のアトミックセキュリティを尊重します。
- 下書きを作成する際に、Vault はアトミックセキュリティにより保護されている関係フィールドをクリアします。
- 関係のアトミックセキュリティによりドキュメントのバージョニングができなくなることはありません。