分享與離職

本頁說明日常「分享憑證」的流程，以及離職/停用時如何確保離職者會乾淨地失去存取權。

分享一個憑證

當您把憑證新增到帳號共享時，預設是私有的——只有您（擁有者）能看見。

要分享給同事：

1. 打開該項目
2. 進入 Access（或 Share）
3. 以姓名或 Email 搜尋同事
4. 確認——對方立刻取得存取權

分享過程會使用 RSA-OAEP 把該項目的金鑰加密給新的收件者。項目內容不會以明文傳輸。密碼學細節請見 安全模型。

存取層級

每個共享項目都有擁有者。擁有者可以：

• 檢視並使用該憑證
• 將其他使用者加入/移除存取清單
• 編輯或刪除該項目

非擁有者但被分享的人可以：

• 檢視並使用該憑證
• 不能修改存取清單

Admin 無論是否在存取清單內，都能查看公司內所有項目。

撤銷存取

要把某人從項目中移除：

1. 打開項目 → Access
2. 找到該人並移除

移除是「密碼學上的」——對方那份解密金鑰副本會被刪除。即便曾經有快取，也無法在移除後繼續存取。

離職/停用與帳號共享

當您在 Optserv 的 HR 工作區對某位員工進行離職/停用：

1. 他的 HR 存取會被移除
2. 他對所有帳號共享項目的存取會自動被撤銷
3. 他曾擁有的項目會被標記為需檢視——建議由 Admin 重新指派擁有者，並視情況輪替（rotate）憑證

第 3 點很重要：若離職者曾是某個憑證的擁有者（例如公司 Instagram 密碼），光是撤銷他的 Optserv 存取並不代表風險已解除；通常應該同步輪替底層密碼。

離職後的憑證輪替（Rotation）

當有人離職且曾接觸共享憑證時，Optserv 會整理一份他曾有存取權的項目清單。對每個項目，您應該決定：

• 維持不變 — 風險較低或已有其他控制
• 輪替憑證 — 產生新密碼、更新帳號共享中的項目，並移除舊密碼

例子： Jake 離職。他曾存取公司 Instagram、分析平台以及某供應商後台。

• Instagram → 建議輪替（社群帳號風險高）
• 分析平台 → 若 Jake 是管理員建議輪替；若只有唯讀可視情況保留
• 供應商後台 → 取決於供應商是否支援 SSO；不支援時通常建議輪替

營運最佳實務

• 存取清單越精簡越好 — 只分享給「真的需要」的人，並建議每季檢視一次。
• 能用個人帳號就別共用 — 服務支援每人登入時，優先建立個人帳號；帳號共享應該是最後手段，不是預設。
• 離職就輪替高敏感憑證 — 不要假設撤銷 Optserv 存取就足夠；對高風險帳號應輪替底層密碼。
• 慎選擁有者 — 擁有者要負責維護存取清單；確保指派給會持續管理的人。