組織のユーザに権限を割り当てる
組織内のユーザにプロファイルを割り当てて、適切な権限設定をおこなう。
0.はじめに
社内の重要な情報が管理されているシステムにおいて、全ユーザがすべてのデータと機能にアクセスできる状況というのは、あまり望ましいものではありません。
ユーザによってアクセスできるデータや機能に一定の制限をかけておくための設定が「権限設定」です。
Salesforce での権限設定はおもに「プロファイル」とよばれるものが基本になります。
プロファイルの一部分を切り出したものとして「権限セット」があります。
それぞれどのようなものなのか、設定するにはどうすればよいかを説明します。
1.プロファイルと権限セットの概要
プロファイル
システムに対する様々な権限を一つにまとめた設定です。
「システム管理者」「標準ユーザー」など予め標準のプロファイルが用意されています。
標準プロファイルをテンプレートとしてコピーして、独自のカスタムプロファイルを作成することが出来ます。標準プロファイルは一部を除いて内容を変更することはできません。
標準プロファイルをコピーして独自のプロファイルを作成することができます。(カスタムプロファイル)
プロファイルにユーザを割り当てることで、ユーザのシステムに対する権限範囲が決定します。
システムに対する権限はユーザではなくプロファイルとして定義され、そこにユーザが登録されます。
さらに、プロファイルは必ずひとつのライセンスと紐付いています。
従ってライセンスが決まれば選択可能なプロファイルが決定します。ひとつのライセンスに複数のプロファイルが紐づくことはありません。
組織のすべてのプロファイルの一覧を確認するには、[ユーザの管理] | [プロファイル]を選びます。
組織のすべてのプロファイルの一覧を確認するには、右上の [ 歯車マーク ] | [ 設定 ] をクリックし、[ クイック検索 ] に「プロファイル」と入力し、 [ プロファイル ] をクリックします。
プロファイルの一覧で、プロファイル名をクリックすると、それぞれのプロファイルの詳細画面が表示されます。それぞれの設定内容は「プロファイルの内容」で説明します。
権限セット
プロファイルはユーザに1つだけ割り当てられます。
対して、プロファイル中の一部を集めてセットにして、ユーザに複数割り当て可能にしたものが「権限セット」です。
例えば複数の業務ごとにそれぞれ権限セットを用意しておけば、複数業務をおこなうユーザにそれぞれの権限セットを割り当てることができます。
次の図は、ひとつのプロファイルと複数の権限セットがユーザに割り当てられている状態をイメージにしたものです。
※ 権限セットの最大数は1000です。
https://help.salesforce.com/HTViewHelpDoc?id=perm_sets_create.htm&language=ja
権限セットは一部の権限に限定してユーザに割り当てたり、既存のプロファイルに権限を追加するために使用します。ある特定の業務をおこなうユーザ向けにプロファイルを用意するのが難しい場合などは権限セットを検討するとよいでしょう。
ただし、プロファイルの権限のうちすべてが権限セットで設定できるとはかぎりません。
次の表はプロファイルと権限セットを対比させることで権限セットでカバーできない権限をあらわしたものです。(Winter ’12 リリースノートより抜粋)
| 権限または権限種別 | プロファイル | 権限セットでは? |
|---|---|---|
| 割り当てられたアプリケーション | ✓ | |
| タブ設定 | ✓ | |
| レコードタイプの割り当て | ✓ | |
| ページレイアウトの割り当て | ✓ | |
| オブジェクトの権限 | ✓ | ✓ |
| 項目権限 | ✓ | ✓ |
| ユーザ権限 | ✓ | ✓ |
| Apexクラスのアクセス | ✓ | ✓ |
| Visualforce ページのアクセス | ✓ | ✓ |
| サービス・プロバイダのアクセス | ✓ | ✓ |
| デスクトップクライアントアクセス | ✓ | |
| ログイン時間帯 | ✓ | |
| ログインIPの範囲 | ✓ |
権限セットで設定できない権限はプロファイルで設定しなければなりません。
プロファイルの内容
プロファイルは大きく3つのカテゴリーに分けることが出来ます。
| カテゴリー | なにを設定するか? | さらに詳細な分類 | ||||
|---|---|---|---|---|---|---|
| データアクセス | オブジェクト・項目へのアクセス |
|
||||
| 機能 | 機能の実行可否 |
|
||||
| ユーザインタフェース | 画面制御 |
|
以降でそれぞれを見ていきます。
2.データアクセス
標準/カスタムオブジェクト権限
オブジェクトに対して何の操作が行えるかを決定します。
「参照」 「作成」 「編集」 「削除」で許可する操作にチェックがされています。
参照権限がない場合、自動的にその他の権限(作成・編集・削除)もなくなります。
参照権限がないとグローバル検索しても表示されませんし、レポートでの表示や他のアプリケーションからのAPIアクセスも出来ません。
項目レベルセキュリティ
項目に対するアクセスレベルを定義します。
オブジェクトの [ 参照 ] リンクをクリックすると各オブジェクトごとに項目レベルでアクセスレベルを設定する画面が表示されます。
オブジェクトごとの項目アクセスレベルの設定画面です。(リードの場合)
設定は、アクセスを許可するかどうかと、参照のみのアクセスとするかの2つです。参照のみした場合、その項目は参照することができても変更することはできません。
項目レベルセキュリティの設定は関連リスト、検索結果リスト、レポート、テンプレートへの埋め込みで適用されます。
通常であればプロファイルの内容はプロファイルの詳細画面から[編集] ボタンで編集画面に移動して変更します。
しかし、項目レベルセキュリティはプロファイルの詳細画面から各オブジェクトのレベルセキュリティ画面に一度移動してから変更します。プロファイルの編集画面から変更はできないので注意が必要です。
3.機能
プロファイルの権限にはシステム管理者や一般ユーザが実行する機能のパーミッション(実行可否)を オン、オフのチェック値として設定します。
システム管理者/一般ユーザ権限には以下のようなものがあります。
一般管理者権限
システム管理者権限
実際の権限はサービスやエディションにより異なります。
それぞれ機能毎に必要な権限を調べるには、Salesforce のオンラインマニュアルが便利です。
また、オンラインマニュアルの各ページには冒頭に必要なシステム管理者/一般ユーザ権限が記載されています。
4.ユーザインタフェース
タブ
ユーザがアクセスできるタブを決定します。
「デフォルトで表示する」「デフォルトで非表示にする」 「隠す」から選べます。
「デフォルトで非表示」にすると「すべてのタブ」(タブメニューで「+」マークのアイコン)を表示した時のみ表示されます。
「タブを隠す」と「すべて のタブ」でも表示しません。
ユーザがアクセスできるタブを決定します。
「デフォルトで表示する」「デフォルトで非表示にする」 「隠す」から選べます。
「デフォルトで非表示」にすると「アプリケーションナビゲーション項目の編集」(ナビゲーションバーの [ 鉛筆マーク ] アイコン)から追加することで表示されます。
「タブを隠す」と「アプリケーションナビゲーション項目の編集」でも表示しません。
アプリケーション
ユーザが選択できるカスタムアプリケーションを決定します。
レコードタイプ
ユーザが利用できるレコードタイプを決定します。
利用可能なレコードタイプと、編集画面へのリンクが表示されています。
レコードタイプについては【データの状態とログインユーザによって画面をカスタマイズする】で説明しています。
ページレイアウト
ユーザがレコードにアクセスした時に適用されるページレイアウトを決定します。
レコードタイプごとにレイアウトが異なる場合は、「レコードタイプに依存」と表示されます。
それぞれ [ 割り当ての参照 ] をクリックすると割り当ての確認・変更をおこなうことができます。
ページレイアウトについては【データの状態とログインユーザによって画面をカスタマイズする】で説明しています。
5.演習
組織に新しいプロファイルを作成し、任意のユーザに割り当ててください。
