ポスト
目次
via pixabay.com
はじめに
みなさん、こんにちは! 今回はSalesforceにおける権限セットベースでの権限管理についてです。
権限設定について、従来のプロファイルベースに代わり、権限セットベースで管理することが推奨されていることはご存じでしょうか?
権限設定について、従来のプロファイルベースに代わり、権限セットベースで管理することが推奨されていることはご存じでしょうか?
Salesforce Admins Blog Permissions Updates | Learn MOAR Spring ’23 によると、今後プロファイルでの権限管理に関する改善は行われないとの発表がありました。
プロファイルに代わって、これからの権限管理の中核となる”権限セット”について、具体的な管理体系や設定方法の一例、Tipsをまとめてご紹介したいと思います。
※プロファイル並びに権限セットによるアクセス管理の変更については以下ブログをご参照ください。
プロファイルに代わって、これからの権限管理の中核となる”権限セット”について、具体的な管理体系や設定方法の一例、Tipsをまとめてご紹介したいと思います。
※プロファイル並びに権限セットによるアクセス管理の変更については以下ブログをご参照ください。
プロファイルの分け方
プロファイルで設定する機能から、プロファイルの単位を検討
権限セットは1人のユーザーに複数割り当てが可能なため、デフォルト設定やページレイアウトといった1人のユーザーに対して1つしか割り当てができないものをプロファイルで管理します。
以下のブログに詳細が記載されているため、ご参照ください。
以下のブログに詳細が記載されているため、ご参照ください。
権限セットベースの管理の場合、権限は権限セットで付与するため、プロファイルで割り当てる設定が同じであれば共通のプロファイルでも問題ありません。
プロファイルを共通化することで、複数作成/メンテナンスすることなく効率的に管理ができます。
プロファイルを共通化することで、複数作成/メンテナンスすることなく効率的に管理ができます。
標準オブジェクトのタブの表示権限
プロファイルの単位や権限セットの内容を検討するにあたっては、上記に加えて標準オブジェクトのタブの設定を権限セットとプロファイルどちらで管理するかも考慮が必要です。
一部の標準オブジェクトのタブは権限セットで指定のライセンスを割り当てていないと、設定ができない仕様となっています。
そのため、権限セットで指定ライセンスを何も割り当てていない場合はプロファイル側で標準オブジェクトのタブの設定をする必要があります。
詳細については下記の公式ヘルプをご参照ください。
一部の標準オブジェクトのタブは権限セットで指定のライセンスを割り当てていないと、設定ができない仕様となっています。
そのため、権限セットで指定ライセンスを何も割り当てていない場合はプロファイル側で標準オブジェクトのタブの設定をする必要があります。
詳細については下記の公式ヘルプをご参照ください。
権限セットと権限セットグループの分け方
権限セットを作成する前に、指定ライセンスを確認しましょう。
指定ライセンスは権限セット作成後に変更が不可能なため、事前に検討が必要となります。ライセンスを指定した際は、そのライセンスでは使えない機能の権限は付与できなくなってしまうので注意が必要です。
指定ライセンスは権限セット作成後に変更が不可能なため、事前に検討が必要となります。ライセンスを指定した際は、そのライセンスでは使えない機能の権限は付与できなくなってしまうので注意が必要です。
共通ユーザー権限を持たせる考え方
ここでは、権限セットと権限セットグループをどのような単位で作成するのか、その一例をご紹介します。
今回の例では、1ユーザーに対して1つの権限セットグループを割り当てることを前提とします。
このように設計することで、新たにユーザーが追加された場合に1つの権限セットグループのみを割り当てることで権限が付与されるため、メンテナンス性が向上します。
権限セットの作成単位については、システム管理者以外の全ユーザーに付与するための「共通ユーザー権限」、各プロファイルやユーザー特有の権限を付与するための権限セットの2種類を作成します。
共通ユーザー権限とユーザー特有の権限の2種類の権限セットを1つの権限セットグループに含めることで、1ユーザーに対して1つの権限セットグループを割り当てる方法を実現します。
この時、システム管理者権限はほかの権限と違い特別な権限なため、システム管理者には共通ユーザー権限を持たせないことを前提とします。
今回の例では、1ユーザーに対して1つの権限セットグループを割り当てることを前提とします。
このように設計することで、新たにユーザーが追加された場合に1つの権限セットグループのみを割り当てることで権限が付与されるため、メンテナンス性が向上します。
権限セットの作成単位については、システム管理者以外の全ユーザーに付与するための「共通ユーザー権限」、各プロファイルやユーザー特有の権限を付与するための権限セットの2種類を作成します。
共通ユーザー権限とユーザー特有の権限の2種類の権限セットを1つの権限セットグループに含めることで、1ユーザーに対して1つの権限セットグループを割り当てる方法を実現します。
この時、システム管理者権限はほかの権限と違い特別な権限なため、システム管理者には共通ユーザー権限を持たせないことを前提とします。
具体的な例を下の表を使用して説明します。
表の列がそれぞれ権限セットグループとなるイメージです。
役員ユーザーに注目した場合、共通ユーザー権限と役員ユーザー権限を含めた権限セットグループを作成し、割り当てを行います。
営業<営業マネージャー<営業部長のように権限を段階的に拡張したい場合は、以下のように権限セットグループを作成し、割り当てします。
役員ユーザーに注目した場合、共通ユーザー権限と役員ユーザー権限を含めた権限セットグループを作成し、割り当てを行います。
営業<営業マネージャー<営業部長のように権限を段階的に拡張したい場合は、以下のように権限セットグループを作成し、割り当てします。
・営業用権限セットグループ : 共通ユーザー権限セット + 営業ユーザー権限セット
・マネージャー用権限セットグループ : 共通ユーザー権限セット + 営業ユーザー権限セット + マネージャー権限セット
・部長用権限セットグループ : 共通ユーザー権限セット + 営業ユーザー権限セット + マネージャー権限セット + 部長権限セット
・マネージャー用権限セットグループ : 共通ユーザー権限セット + 営業ユーザー権限セット + マネージャー権限セット
・部長用権限セットグループ : 共通ユーザー権限セット + 営業ユーザー権限セット + マネージャー権限セット + 部長権限セット
このように共通化可能な権限を極力共通化することで、権限の追加が発生した場合に1つの権限セットの設定を変更するだけで、その権限セットを含んでいるすべての権限セットグループが付与されたユーザーに権限を付与することが可能です。
関連Tips
項目作成時の権限セットの項目レベルセキュリティ
「項目作成時の権限セットの項目レベルセキュリティ」を有効化することで、項目作成時の項目レベルセキュリティ設定がプロファイルから権限セットへと移ります。
これにより、カスタム項目作成時、権限セットに対して項目レベルセキュリティの設定が可能となります。
設定の詳細については以下ブログをご参照ください。
これにより、カスタム項目作成時、権限セットに対して項目レベルセキュリティの設定が可能となります。
設定の詳細については以下ブログをご参照ください。
入力制御はカスタム権限で
特定のユーザーに絞って入力制御を行いたいケースもよくあると思われます。そのような場合、入力規則にプロファイル名を指定して条件化していることも多いのではないでしょうか。
しかし、権限セットベースの管理では、共通化したプロファイルと制御したい対象ユーザー群の単位が合わないケースもあるでしょう。
その場合は、カスタム権限を利用して制御対象のユーザーを指定する方法があります。
手順① 「設定>カスタムコード>カスタム権限」のページを開き、カスタム権限を作成します。
しかし、権限セットベースの管理では、共通化したプロファイルと制御したい対象ユーザー群の単位が合わないケースもあるでしょう。
その場合は、カスタム権限を利用して制御対象のユーザーを指定する方法があります。
手順① 「設定>カスタムコード>カスタム権限」のページを開き、カスタム権限を作成します。
手順② 入力規則を作成し、カスタム権限を持っているかいないかで条件指定をします。
(例) カスタム権限を持っていないユーザーが商談金額を変更できないように入力規則を作成
手順③ 制御したい対象のユーザーの権限セットにカスタム権限を追加し、対象ユーザーに割り当てます。
「設定>ユーザー>権限セット」のページを開き、該当の権限セットを選択し、カスタム権限」を開きます。(該当の権限セットがない場合は新規作成します。)
「設定>ユーザー>権限セット」のページを開き、該当の権限セットを選択し、カスタム権限」を開きます。(該当の権限セットがない場合は新規作成します。)
カスタム権限ブロック内の「編集」を押下し、作成したカスタム権限を「有効になっているカスタム権限」に追加し保存します。
以上で完了です。
カスタム権限はプロファイルにも付与できるため、この制御方法はプロファイルでも利用可能です。
ユーザー群の分類が変わった際にも権限の付与で対応できるため汎用性が高い点でも有効な制御方法です。
カスタム権限はプロファイルにも付与できるため、この制御方法はプロファイルでも利用可能です。
ユーザー群の分類が変わった際にも権限の付与で対応できるため汎用性が高い点でも有効な制御方法です。
接続アプリケーションは変更セットでリリースができない
権限セットを変更セットでリリースする際、接続アプリケーションの設定は反映されません。
そのため、変更セットをリリース後に手動で権限セットに反映する必要があるので注意しましょう。
そのため、変更セットをリリース後に手動で権限セットに反映する必要があるので注意しましょう。
ユーザーアクセスポリシー
ユーザーアクセスポリシーとは、設定した条件に基づいて権限セット、パッケージライセンス、公開グループ、その他のアクセス機能へのユーザーの割り当てを自動化できる機能です。
ユーザーが作成または更新されるたびに、自動的にアクセス権を付与または削除するポリシーを作成できます。
また、ユーザーアクセス権の移行や 1 回限りのユーザーアクセス権の更新を行いたい際は、ユーザーアクセスポリシーを 手動で適応することも可能です。
1回の操作で多数のユーザーを一括して新しいアクセス設定へと簡単に移行できるため、権限セット ベースの権限管理へと移行する際に役立ちます。
設定の手順や考慮事項については、以下の公式ヘルプをご参照ください。
ユーザーが作成または更新されるたびに、自動的にアクセス権を付与または削除するポリシーを作成できます。
また、ユーザーアクセス権の移行や 1 回限りのユーザーアクセス権の更新を行いたい際は、ユーザーアクセスポリシーを 手動で適応することも可能です。
1回の操作で多数のユーザーを一括して新しいアクセス設定へと簡単に移行できるため、権限セット ベースの権限管理へと移行する際に役立ちます。
設定の手順や考慮事項については、以下の公式ヘルプをご参照ください。
まとめ
以上が権限セットベースでの権限管理における具体的な管理体系や設定方法の一例、Tipsについてのご紹介でした。
これらの機能を使用することによって、用途に合わせて効率的で汎用性の高い権限の付与が可能になります。
権限セットをうまく活用して、より効率的に権限管理をしていきましょう!
これらの機能を使用することによって、用途に合わせて効率的で汎用性の高い権限の付与が可能になります。
権限セットをうまく活用して、より効率的に権限管理をしていきましょう!
47 件
