Salesforceのセキュリティモデル整理

今回はみんなが一度はハマりやすいSalesforceのセキュリティモデルについて。
これを見ればセキュリティは完璧…かな!?

スポンサーリンク

Salesforceのセキュリティモデルはややこしい

SalesforceはCRMやSFAにおいて大変重宝するシステムですが、一方でセキュリティモデルが複雑な面があります。
営業やマネージャ、システム管理者など役割に応じて細かな設定をしていく必要があり、プロファイルやロール、共有設定など様々な設定を組み合わせて細かなアクセス制御必要なります。

そして、その複雑さ故に試験での特に出やすいポイントになります

特に、認定アドミニストレーターやSales Cloudなどのアドミニ系の試験では大部分がセキュリティに関する問題が出題される傾向にあります。
でも、逆に言ってしまえばセキュリティモデルを完璧に覚えることで、点数が取れる稼ぎ場へとなる訳です。

そのため、今回はアドミニストレーターやSales Cloudの垣根は取っ払って、レコードのセキュリティについて纏めてみました。

セキュリティモデルのフローチャート

レコードのセキュリティモデルはプロファイルや共有設定など様々な設定の組み合わせによって決まります。
その複雑に絡み合うルールを1つのフローで纏めたので、これを覚えてしまえばセキュリティ対策は万全になるかと思います。

Salesforceのセキュリティモデルフロー

今回は参照権限でのフローにしていますが、編集権限に関してもベースは同じです。

では、1つ1つについて設定の説明を。

①プロファイルに参照権限がある

自身のプロファイルにオブジェクトの権限が付与されているかどうか
単純にオブジェクトに触れなければ参照ができないので、オブジェクトそのものに対するアクセス権が付与されていなければその時点で参照不可となります。
プロファイルのオブジェクト参照権限付与

②オブジェクトが主従関係の従になっている

次にチェックすべきはオブジェクトが主従関係になっているかどうか。
主従関係は強い繋がりで、主(親)側にアクセス権がなければ従(子)側も参照ができません。
そのため、主従関係の従の方であれば、主オブジェクトである親レコードのアクセス権に依存します。

③プロファイルにすべて表示権限がある

プロファイルの中に「すべて表示」という権限があるため、そこにチェックがあればどんな条件でも参照可能になります。
どちらかというと、一般ユーザ用の設定というよりはシステム管理者用の設定として用いられることが多いです。
そのためか、あまりテストでも出題ポイントにはならないみたいですね。
プロファイルのすべて表示権限

④組織の共有設定が公開になっている

組織全体の設定になります。
共有設定で公開となれば、オブジェクトに参照権限が付与されていればどのレコードも公開されます。
試験ではこれだと問題にならないので、「非公開」で設定されるケースが多いです。
組織の共有設定

⑤所有者が自ユーザまたは自ユーザが属するキュー

単純に所有者が自分自身または自分が所属するキューに割り当てられてた場合、今の現担当者の状態であるためアクセス可能です。
所有者が自身のユーザまたはキューである

⑥共有設定の共有ルールを満たす

ここから複雑化していきます。
共有設定で組織に対して「非公開」だった時に、共有ルールを満たしているかの判定になります。
共有ルールは所有者ベースまたは条件ベースでの設定となり、条件を満たせば設定した公開範囲(ロールやグループなど)のユーザが閲覧可能になります。
共有ルールの設定

⑦手動共有されている

共有ルールを満たさないレコードには、例外的に権限を付与するためにレコードの参照画面に共有機能があります。
ここで共有を許可されたユーザは参照可能になります。
手動共有でユーザへの権限付与

⑧チームに追加され、参照権限が付与されている

最後の手段。
取引先・商談・ケースのオブジェクトのみが対象になりますが、チームの機能があります。
チームに追加されたユーザはアクセス権の指定も可能になるので、そこで参照が可能になります。
取引先のチームは取引先だけでなく、商談、ケースと事実上取引先責任者の参照権限も付与することができます。
Sales Cloud試験ではメインに出題されます。
チームメンバーへの追加でアクセス権付与が可能

以上のどれかを満たしていれば参照可能になりますが、すべて満たしていなければ参照不可になります。

セキュリティモデルはただの組み合わせ

初心者がハマるとされるセキュリティモデルはこのように紐解いていくと、プロファイルや共有ルールの組み合わせで構成されていることが分かります。

1個1個の設定はそれほど難しい機能ではないので、複雑なシナリオケースでも基本レベルに分解してしまえばあとはフローに当てはめるだけで問題は溶けるかと思います。
アドミニストレータ試験は共有ルールと手動共有、Sales Cloudはチーム機能が中心となりますので、これを機にセキュリティは一気に覚えて苦手意識を無くしてしまいましょう。

コメント