Salesforce女子部-権限についてまとめてみたその１

Transcript

1. 権限についてまとめてみた ～その１～ 2022.5.15 Salesforce女子部

2. Salesforce女子部とは？ 立場・経験に関係なくSalesforceに関わる女性がSalesforceについて気軽に勉強できる場です！ さいころトーク LT大会 ワークショップ ・スライド無しでその場でトーク お題は自由！ ・感想を共有しあって1枚の紙に 内容をまとめます ・各自スライド用意での発表会

   LT初心者の方も、練習として お気軽に参加ください！ ・テーマを決めた勉強会 Salesforceのヘルプページを 分担して読み解き、内容を共有 1

3. このスライドについて Salesforce女子部#41（2021.5.1開催）および #42（2021.7.10開催）で実施した全員参加型のワークショップの 内容をまとめたものになります。 当日ご参加いただいた方、本当にありがとうございます😃 当日のイベントはアクティブブックダイアローグという手法を 使い、Salesforce公式のヘルプページを分担して読み解き、 まとめた内容を共有しました！ ※現時点ですべてのヘルプページの読み解きは完了しておりません。 続きについては、今後のイベントでワークショップを開催し、まとめる予定です。

   2

4. Salesforceにおける アクセス権の制御 3

5. Salesforceにおけるアクセス制御 ユーザがアクセスできるオブジェクトや項目を設定 プロファイル 権限セット ユーザが参照および編集できる個々のレコードを指定 組織の共有設定 ユーザロール 共有ルール Salesforceは以下の設定を使ってアクセス可能なデータなどを制御する 4

6. 制御設定について プロファイルおよび権限セットで、オブジェクトへのアクセス権と、 オブジェクトにある各項目へのアクセス権を制御する オブジェクトレベルセキュリティ オブジェクト自体へのアクセス権（参照・作成・編 集・削除）を指定可能 項目レベルセキュリティ オブジェクトの中の個々の項目のアクセスを制御 関連リスト、リストビュー、レポート、検索結果 などで表示を制御

   5

7. 制御設定について オブジェクトレベルセキュリティ・項目レベルセキュリティを設定した前提で、 個々のレコードに対し、アクセス権を付与する Salesforceのデータの1つ1つには所有者が設定されており、所有者については フルアクセス（プロファイルに応じたアクセス）が可能。 指定手順は以下の通り 組織の共有設定 ロール階層 （階層を定義） 共有ルール

   対象のオブジェクトに対するデフォルトのアクセスレベルを指定 ※最も厳しいレベルに設定する 組織の共有設定で指定したアクセスレベルの幅を広げる許可をする設定 ロール階層を設定している場合は、そのデータの所有者のロールの 上位階層にいるユーザは所有者と同じアクセス権が許可される。 特定のユーザセット（ロールや公開グループなど）を対象に、 例外的なアクセス許可を設定することが可能。 組織の共有設定やロール階層で設定できないパターンで使用する 6

8. 制御設定について 共有設定については前頁以外のものも、下記の手法で設定が可能 共有の直接設定 特定のレコードに対し、手動でアクセス許可を行う ※該当データの詳細画面から[共有]ボタンで操作を実施 Apex管理共有 Apexの処理を使って共有設定を実施 ※上記の共有の直接設定をプログラミングで自動化 7

9. オブジェクトや項目への アクセス権について 8

10. プロファイルと権限セット プロファイルと権限セットを使って、オブジェクトへのアクセス権や、 オブジェクトの項目のアクセス権を設定する プロファイルは1ユーザあたり1つ、権限セットは1ユーザに複数指定可能 プロファイル ユーザ 権限セット 権限セット 権限セット ユーザのアクセス権は以下で決定する

    ①プロファイル ユーザの特定のグループ（職務などで定義）で最小権限およびアクセス設定を割り当てる ②権限セット 特定のユーザに対し、追加の権限を付与 ※プロファイルを変更せず、ユーザのアクセス権を拡張する （アクセス拒否の設定はできない） 9

11. プロファイルと権限セット プロファイルと権限セットは、いずれかで「許可」された権限を優先する 例）プロファイルで「所有者の移行」権限を付与しない 権限セットで「所有者の移行」権限を付与 この設定の場合、許可されている権限セット側の設定が 優先され、「所有者の移行権限」が有効となる 10

12. プロファイルと権限セット プロファイルおよび権限セットは、「ユーザ権限」と「アクセス設定」の設定を行う 基本的にはプロファイルと権限セットは同じものを設定できるが、一部どちらか片方でしか 設定できないものがある※詳細はヘルプページ参照 ユーザ権限 アクセス設定 「できる」かどうか ・オブジェクトレコードを編集 ・[設定メニューを参照] ・ごみ箱を完全に削除

    ・ユーザパスワードをリセット など 左記以外の権限を設定 ・Apexクラスへのアクセス ・アプリケーションの表示 ・ユーザのログイン可能時間 など Salesforceヘルプ 「ユーザ権限およびアクセス」より抜粋→ 11

13. 【補足】プロファイルの設定画面について プロファイルは、拡張プロファイルユーザインターフェース設定のオン・オフにより設定画面のUIが変わる ※権限セットは設定に関係なく、常に拡張プロファイルユーザインターフェース有効化時の見た目となる プロファイルユーザインターフェースは設定画面の[ユーザ管理設定]より、「拡張プロファイルインターフェース」の有効・無効で切替可能 拡張プロファイルインターフェース ※設定カテゴリごとにページが分かれる 元のプロファイルインターフェース ※1ページ縦長となる 12

14. オブジェクト権限とは オブジェクト権限は、ユーザが各オブジェクトのレコードを作成・参照・編集 ・削除するために必要な基本レベルのアクセス権を指定。 プロファイルまたは権限セットで管理を行う 権限 操作可否 既存共有設定に従うか 既存共有の設定を上書きするか 参照 作成

    更新 削除 参照 ◦ × × × 既存の共有設定に従う ※設定されている共有ルール・ロール設定 等のレコードアクセス権に従う 作成 ◦ ◦ × × 編集 ◦ × ◦ × 削除 ◦ × ◦ ◦ すべて表示 ◦ × × × 既存の共有設定を上書き ※共有ルール等の設定を無視し、アクセス可 すべて変更 ◦ ◦ ◦ ◦ 13

15. 「すべて表示」「すべて変更」 「すべて～」の権限は複数あり。 権限 権限カテゴリ 使用目的 この権限を必要とする ユーザ すべて表示 すべて変更 オブジェクト権限

    オブジェクト権限の代行 特定のオブジェクトのレコードを 管理する管理者 すべてのデータの参照 すべてのデータの編集 システム管理者権限 組織のすべてのデータの管理者 ・データの整理 ・重複の排除 ・一括削除 ・一括移行 ・レコード承認の管理 など 共有設定に関係なく、全オブジェ クト全データの参照 ・編集が可能 組織全体の管理者 ※システム管理者はこの権限が 付与されている 14

16. 「すべて表示」「すべて変更」 前頁続き 権限 権限カテゴリ 使用目的 この権限を必要とする ユーザ すべてのユーザの参照 システム管理者権限 組織内のすべてのユーザの参照

    組織内の全ユーザが参照可能と なるため、全ユーザの詳細情報 が参照可能となる。 ※検索やリストビュー表示の対象 となる 組織内の全ユーザ情報を参照する 必要があるユーザ ※ユーザオブジェクトの共有設定が [非公開]である場合に設定 「ユーザの管理」権限のある プロファイルのユーザにはこの権限 が自動的に付与される すべての参照 レコード名の参照 システム管理者権限 すべての参照項目およびシステム 項目のレコード名の参照 システム管理者および、関連レコー ドや[所有者]項目、[最終更新者]項 目など、レコードに関するすっべて の情報を確認する必要があるユーザ この権限は、リストビューおよび レコード詳細ページの参照レコード 名に適用 15

17. 「すべて表示」「すべて変更」 「すべて～」権限に関するTIPS ⚫アイデア、価格表、記事タイプ、商品については「すべて表示」「すべて変更」 権限が付与できない ⚫「すべて表示」「すべて変更」権限は、特定のオブジェクトに関する権限を委任 する形になるため、主従の従オブジェクトへのアクセス権は自動的に付与されな い（従オブジェクトも許可する場合は従へもアクセス権を付与する必要がある） ⚫親レコードに関連する子レコードを表示するには、共有設定を利用して、ユーザ に「参照」アクセス権が付与される必要がある ⚫「すべてのユーザの参照」は、組織内のユーザ表示を制御するユーザ共有が組織

    に設定されている場合に利用可となる 16

18. セキュリティモデルの比較 Salesforceのユーザセキュリティは ①共有（設定）、②ユーザ、③オブジェクトにって実現可能 ① 共有設定を遵守する権限 「参照」「作成」「編集」「削除」 ② 共有設定を無効にする権限（指定オブジェクト） 「すべて表示」「すべて変更」 ③

    共有設定を無効にする権限（全オブジェクト） 「すべてのデータ参照」「すべてのデータの編集」 17

19. セキュリティモデルの比較 下記の内容を「共有可能にする権限」「共有を無効にする権限」軸で設定を行う ⚫対象利用者 ⚫管理対象 ⚫レコードアクセス権 ⚫転送可能 ⚫レコードを承認できるか、または承認プロセス中のレコードを編集および ロック解除できるか ⚫すべてのレコードのレポート出力 ⚫オブジェクトサポート

    ⚫グループアクセス権決定事項 ⚫非公開レコードアクセス ⚫手動によるレコードの共有 ⚫すべてのケースコメントの管理 ※詳細な権限については、 Salesforceヘルプ「セキュリティモデルの比較」を 参照ください 18

20. 項目権限 項目権限…オブジェクトの中にある各項目へのアクセス権を指定する （項目レベルセキュリティ） 設定方法が、ユーザインターフェース設定（P.12参照）や 設定画面により異なる 19 アクセスレベル ・権限セット ・拡張プロファールユーザインタフェース ・元のプロファイルユーザインターフェース

    ・項目レベルのセキュリティインターフェース ユーザの項目参照：◦、編集：◦ 「参照」「編集」にチェック 「参照可能」にチェック ユーザの項目参照：◦、編集：× 「参照」にチェック 「参照可能」「参照のみ」にチェック ユーザの項目参照：×、編集：× なし（チェックしない） なし（チェックしない）

21. 権限とアクセス権の無効化 プロファイルや権限セットは「許可しない」設定ではなく、 「アクセス権を付与する」設定で行う。 権限を無効にする場合は、該当権限を許可している権限セットをユーザから外す、 対象のプロファイルから該当の権限の許可を外すなどの対応となる。 ※ただし、プロファイルや権限の変更は他ユーザにも影響を及ぼす可能性があるため、 Sandbox等で確認してからの対応を推奨 20 対応アクション 対応結果

    対象のプロファイルまたは権限セットで、対象の権限を無効 化する（チェックを外す）、またはプロファイルのアクセス 設定とユーザに割り当てられているすべての権限セットを削 除 プロファイルまたは権限セットに割り当てられているほかの すべてのユーザの権限またはアクセス設定が無効化される ユーザプロファイルで、権限またはアクセス設定が有効化さ れている場合、そのユーザに別のプロファイルを割り当て ユーザは、プロファイルまたは権限セットに関連づけられて いるほかの権限またはアクセス設定を失う可能性がある ユーザに割り当てられている権限セットで、権限またはアク セス設定が有効化されている場合、そのユーザから対象権限 セットの割り当てを削除

22. プロファイル 21

23. プロファイルとは オブジェクトおよびデータへのアクセス方法や、アプリケーション内で 実行可能な操作を定義する ユーザの作成時に、ユーザに対し、プロファイルを割り当てる また、１つプロファイルは1種類のユーザに属します。 22 プロファイルA ユーザ プロファイルB ユーザ

    オブジェクト プロファイル名 参照 編集 プロファイルA ◦ × プリファイルB ◦ ◦ ＜設定例＞ 上記の設定の場合、 ・プロファイルAが設定されているユーザは、オブジェクトのデータを参照はできるが、 編集が不可能 ・プロファイルBが設定されているユーザは、オブジェクトのデータを参照も編集も可能

24. プロファイルとは プロファイルで設定できる内容は以下の通り ⚫オブジェクト権限 ⚫タブの表示・非表示 ⚫アプリケーションの割り当て ⚫カスタム権限 ⚫セッション設定 ⚫パスワードポリシー プロファイルの編集は「元のインターフェース」と 「拡張プロファイルインターフェース」の２種類のUIがある（P.12参照）

    23

25. プロファイルとは プロファイルには大きく分けて以下の２種類がある 24 種類 特徴 標準プロファイル ・すべてのSalesforce組織には必ず存在する （システム管理者、標準ユーザ、Standard Platformユーザ、マーケティングユーザ 他）※詳細はSalesforceヘルプ「標準プロファイル」参照

    ・標準プロファイルは編集範囲が限られており、以下のみ可能 ・カスタムアプリケーションの設定 ・タブ設定 ・デスクトップインテグレーションクライアントオプション ・セッションの設定 ・パスワードポリシー カスタムプロファイル ・組織の運用に合わせて設定 ・標準プロファイル、作成済みのカスタムプロファイルからコピーして作成する プロファイル一覧の 「カスタム」チェックが OFFのものが 標準プロファイル

26. プロファイルの設定方法 プロファイルは画面の右上の歯車アイコンをクリック →[設定]→検索ボックスで「プロファイル」と入力→[プロファイル]を選択する 25 プロファイルを編集するには以下の権限が必要 ・設定・定義の参照 →プロファイルの表示、プロファイルリストの印刷 ・プロファイルと権限セットの管理 →プロファイルリストビューを削除する →カスタムプロファイルを削除する

27. 拡張プロファイルリストビュー 拡張プロファイルリストビューを有効化すると、複数のプロファイルを リストビュー上で一括編集が可能となる 26 [設定]→「ユーザ」で検索→[ユーザ管理設定]画面で 「拡張プロファイルリストビュー」を有効化する

28. 拡張プロファイルリストビュー 27 拡張プロファイルリストビューを有効化していない 場合、すべてのプロファイルが一覧表示され、 絞り込み等はできない 拡張プロファイルリストビューを有効化している 場合、リストビューが有効化され、 条件での絞り込みが可能となる。

29. 拡張プロファイルリストビュー 28 拡張プロファイルでの一括編集方法（最大200件一括編集可能） 1. リストビューの作成（作成済みの場合は該当リストビューを選択（2.へ）） ① リストビュー名を入力 ② 検索条件を指定 i.

    条件項目を指定（ルックアップアイコン） ii. 検索条件の演算子を選択 iii. 値を入力 ※検索条件は25個まで指定可能 ③ 表示項目を選択し、保存 2. 一括編集したいプロファイルを選択 3. 編集したい権限をダブルクリック→値を編集（有効/無効） 4. [選択したn件のすべてのレコード]をチェック 5. 保存

30. 拡張プロファイルリストビュー 29 一括編集に関する考慮・注意事項 ⚫以下の権限がないと編集不可 ⚫ プロファイルと権限セットの管理 ⚫ アプリケーションのカスタマイズ ⚫標準プロファイルは「シングルサインオン」および「ディビジョンの使用」のみ リストビューで編集可能

    ⚫エラー発生時はエラー内容が表示される ※ポップアップブロッカーの無効化をすること ⚫すべての変更が設定変更履歴に記録される 一括編集操作は、影響範囲が大きいため注意して操作をすること！

31. オブジェクト権限 30

32. オブジェクト権限の編集 31 オブジェクト権限は、オブジェクトに対するアクセス権の種類を指定する 設定はプロファイルまたは権限セットから行う ＜元のプロファイルユーザインターフェース＞ ＜拡張プロファイルユーザインターフェース・権限セット＞ 該当プロファイルを表示すると、 全オブジェクトの権限が１ページに 表示されている [編集]ボタンで編集

    該当プロファイルまたは権限セット を表示後、[オブジェクト設定] →対象のオブジェクトを選択 →表示されたオブジェクトの 画面で権限を設定

33. タブ設定 32

34. タブ設定 33 タブ設定は、タブへのアクセス権および、 タブセット（アプリケーション）で表示可能かどうかを指定する ※タブ権限の編集手順はP.30のオブジェクト権限と同様（[タブの設定]欄で設定する） 設定 （プロファイル） 設定 （権限セット） 設定結果

    デフォルトで表示 利用可：◦、参照可能：◦ ナビゲーションバー ：表示 アプリケーションランチャー：表示 すべてのタブ（Classic） ：表示 デフォルトで非表示 利用可：◦、参照可能：× ナビゲーションバー ：非表示 アプリケーションランチャー：表示 すべてのタブ（Classic） ：表示 タブを隠す 利用可：×、参照可能：× ナビゲーションバー ：非表示 アプリケーションランチャー：非表示 すべてのタブ（Classic） ：非表示 タブ設定についても、プロファイルと権限セットの 両方を使用している場合、権限の大きい設定が適用される ※複数の権限セットを使用している場合も、 一番権限の大きい設定が適用される

35. アプリケーション設定 34

36. アプリケーションとは 35 アプリケーションは業務の目的単位でタブメニューをまとめたもの アプリケーションランチャーに表示される プロファイルまたは権限セットでアプリケーションの表示/非表示の設定を行う

37. アプリケーションとは 36 アプリケーションの表示設定は以下で実施 ＜アプリケーションの設定画面で設定＞ 1. [設定]→「アプリケーション」で絞り込み→[アプリケーションマネージャー] 2. アプリケーションの新規作成（または任意のアプリケーションの編集） 3. [ユーザプロファイル]の設定で、該当アプリケーションを表示させるプロファ

    イルを[選択済みプロファイル]に移動 ＜プロファイルまたは権限セットで設定＞ 1. 該当のプロファイルまたは権限セットを表示し、 [割り当てられたアプリケーション]から設定 ※元のプロファイルユーザインターフェースの場合は [カスタムアプリケーション設定]欄で設定 ※プロファイルで必ず1つのアプリケーションは参照可能（かつデフォルト）にする必要がある

38. カスタム権限 37

39. カスタム権限の付与 38 ⚫ ユーザにカスタムプロセスまたはカスタムアプリケーションへのアクセス権を付与 →API、接続アプリケーション、管理パッケージで使用される一意名称を指定可能 Salesforce 他システム XXXAPI用 ※他システムへのアクセス設定 プロファイルごとに

    アクセス権を設定可能 ＜設定例＞

40. セッション設定 39

41. セッション設定 40 プロファイルごとにアクセスする時間帯、アクセス可能なログインIPなどが設定可能 プロファイルで指定していない場合は、組織のセッション設定が適用される 制御可能なものは以下の通り ⚫ セッションタイムアウトの開始条件：無操作の場合の自動ログオフ時間 ⚫ ログインに必要なセッションセキュリティレベル：[高保証]を選択し、多要素認証を義務付け ⚫

    Experience CloudサイトとSalesforceのどちらにログインするかに応じて異なるログインポリシーを適用 ⚫ 顧客またはパートナーのプロファイルを操作している場合の追加設定 ＜設定例＞ システム管理者 一般ユーザ システム管理者は 4時間無操作の場合に自動ログアウト 一般ユーザは 1時間無操作の場合に自動ログアウト

42. パスワードポリシー 41

43. パスワードポリシー 42 パスワードポリシーは組織レベルとプロファイルレベルで設定ができる ※すでに作成済みのプロファイルの場合、ユーザがパスワードをリセットしたタイミングで 新しいパスワードポリシーが適用される プロファイルのパスワード ポリシーを設定する プロファイルのパスワード ポリシーを設定しない プロファイルで設定された

    パスワードポリシーが適用される （組織のパスワードポリシーは適用されない） 組織のパスワードポリシーが適用される

44. プロファイルのパスワードポリシー項目 43 項目 説明 デフォルト値 パスワードの有効期限 ユーザパスワードが失効し、変更が必要となるまでの期間 90日 過去のパスワードの 利用制限回数

    ユーザの過去のパスワードを保存して、同じパスワードの 利用を制限する回数 ３回前のパスワードまで使用不可 最小パスワード長 パスワードに必要な最小限の文字数 8文字以上 パスワード文字列の制限 ユーザのパスワードで使用する必要がある文字の種別 英字と数字を含める パスワード質問の制限 パスワードヒントの回答に対する制限 - ログイン失敗により ロックするまでの回数 ログイン失敗が許される回数 - ロックアウトの有効期間 ロックアウトが解除されるまでの所要時間 15分 パスワードのリセットの 秘密の回答を非表示にする セキュリティの質問への回答をユーザが入力するときの 表示設定 回答がプレーンテキストで表示 パスワードの有効期限は１日 以上にする必要があります パスワードを２４時間以内に複数回変更することを禁止 - パスワードを忘れた場合の メールに記載されたリンクを すぐに期限切れにしない パスワードを忘れた場合のメールに記載されるパスワード リセットリンクが、最初にクリックされたときに期限切れ にならない -

45. 権限セット 44

46. 権限セットとは 45 権限セットは、プロファイルを変更せずに、特定ユーザの機能アクセス権を拡張する プロファイルは１ユーザ１つのみとなるが、権限セットはいくつでも割り当てができるため、 柔軟に機能の使用権限を追加していきたいときに便利 ＜設定例＞ 権限セット② ・パスワードポリシーの管理 プロファイルで付与されている権限 ・ダッシュボードの管理

    ・APIの使用 ・カスタムオブジェクトの参照・編集 権限セット③ ・CRM Analyticsの編集 権限セット① ・CRM Analyticsの参照 Aさん Bさん Cさん Dさん

47. 権限セットの種別 46 名前 概要 カスタム権限セット システム管理者が任意の内容で作成する インテグレーション権限セット 特定のインテグレーション・サービスでSalesforceから提供され、 インテグレーション別に設定される。 システム管理者側が変更できるのは特定の権限タイプのみ

    管理権限セット 管理パッケージ（AppExchangeアプリケーション）とともに インストールされる システム管理者は編集不可 セッションベースの権限セット 特定のセッションを制しした場合のみ機能的なアクセスを許可する。 セキュリティ強化に使用する 標準権限セット （Standard Permission Set） 権限セットライセンスとセットで使用する 例）CRM Analyticsが有効な組織で提供されるデフォルトの権限セットなど

48. 権限セットの作成 47 権限セットは、[設定]→[権限セット]のメニューから操作を実施する 権限セットは、以下で作成が可能 ・新規で作成する ・既存の権限セットをコピーして作成する 特定のライセンスのみに使用を制限したい場合は、 作成時に[この権限セットを使用するユーザ種別の選択] でライセンスを選択する ※ライセンスを指定しない場合は、ユーザへの

    割り当て時に権限セットの内容がライセンスに マッチしているか確認すること 例：Salesforce PlatformライセンスユーザにはApex開発権限がないため、 Apex開発権限のある権限セット割り当ては不可

49. 権限セットの割り当て 48 ⚫ 特定の１ユーザに権限セットを割り当てる場合は、該当のユーザ情報を表示し、 [権限セットの割り当て]セクションから割り当てを実施する ⚫ 特定の権限セットを複数のユーザに割り当てる場合は、該当の権限セットを表示し、 [割り当ての管理]ボタンから割り当てを実施する

50. Standard Permission Set（標準権限セット） 49 権限セットの[カスタム]項目にチェックがついていないものは、 標準で提供されている権限セット ※デフォルトのリストビューはこの項目が表示されていないため、確認するためには リストビューの表示項目を編集する必要がある 権限セットは組織の権限セット制限にはカウントされない ※権限セットをコピーして新規で作成した場合、組織の権限セット制限にカウントされる

    （かつコピーしても編集が不可）

51. Thank you!!