はじめに
ツバイソPSAでは、salesforceの権限セットをグルーピングした権限セットグループをユーザに割り当てることでセキュリティ管理を行います。(プロファイルを使用しない理由は下記をご参考ください。)ツバイソPSAの標準の権限セットグループは、権限セットグループ、権限セット対応表をご参照ください。必要に応じて、権限セットと権限セットグループを自社の運用に合わせてカスタマイズしてください。
※権限設定はライセンス違反とならないように、ライセンスの範囲内で行なってください。不明な場合は当社サポートにお問い合わせください。
権限セットは、オブジェクト(=業務)毎に下記の「参照」、「ユーザ」、「管理」、「情シス」の4種類(4種類存在しないオブジェクトもあります)が用意されています。
また、権限セット名は、[オブジェクト名]([権限種類名])の構造になっています。
権限種類
4つの権限種類の考え方、基本設定は以下の通りです。
参照
権限種類「参照」は、当該オブジェクトと項目の参照のみ行える権限です。項目の編集が必要な場合は、利用者の属性に合わせて以下の権限種類「ユーザ」、「管理」、「情シス」と組み合わせて付与します。オブジェクト毎の権限種類「参照」に付与されている権限は基本的には以下の通りです。
タブの参照:参照可能
オブジェクト権限:参照
項目:全て
ユーザ
権限種類「ユーザ」は、現場部門が使用する権限で、当該オブジェクトの作成と現場部門が取り扱う項目のみ編集できる権限です。オブジェクト毎の権限種類「ユーザ」に付与されている基本的な権限は以下の通りです。
オブジェクト権限:作成、編集
項目:主に次以外の項目。「承認情報」(担当者、部門以外)、「リファレンス情報」、「ツバイソERP連携情報」、「システム情報」
管理
権限種類「管理」は、管理部門が使用することに適した権限で、当該オブジェクトの管理部門が取り扱う項目のみ編集できる権限です。オブジェクト毎の権限種類「管理」に付与されている基本的な権限は以下の通りです。
オブジェクト権限:作成、編集
項目:主に「リファレンス情報」、「ツバイソERP連携情報」セクション
情シス
権限種類「情シス」は、情シス部門が使用することに適した権限で、当該オブジェクトの情シス部門が取り扱う項目のみ編集できる権限です。オブジェクト毎の権限種類「情シス」に付与されている基本的な権限は以下の通りです。
オブジェクト権限:編集
項目:主に「承認情報」、「ファイルリンク情報」、「ツバイソロック情報」、「システム情報」セクション
(参考)プロファイルによる権限制御との比較
プロファイルの問題
Salseforceでは、ユーザの権限設定をプロファイルを用いて行うこともできます。これは初期のSalesforceの権限制御の方法ですが、システムの利用規模が大きくなるにつれて問題が顕在化しました。そのため、Salesforceは、権限セット、権限セットグループの機能を開発し、権限制御の仕組みを拡張し、プロファイルではなく、権限セットと権限セットグループによるセキュリティ管理を推奨しています。
プロファイルによる権限制御の問題は、少しでも権限の異なるユーザがいる場合は、そのユーザごとにプロファイルを作成する必要があることです。例えば1000項目の権限を設定したプロファイルAがあり、1項目のみ編集権限を取り除きたい場合は、999項目同じで1項目のみ設定の異なるプロファイルBを作成する必要があります。このようにして増えたプロファイルの内容を全て管理する必要があります。設定を間違えると想定していない権限をユーザに与えたり、不足することとなり業務に大きな支障が生じます。
権限セットがない時代は、現実的にはそのような細かい運用ができないため、実務上は必要以上の権限をユーザに付与し、少数のプロファイルで運用するしかありませんでした。営業部門だけで使用するCRM/SFAであればユーザが限られるためそれでも良いのですが、全社員で使用し、セキュリティ要件が高い統合基幹システムではそういうわけにはいきません。
そこで登場したのが権限セット、権限セットグループです。
ベストプラクティス
まず、従来使用していたプロファイルと権限セットの組み合わせで運用する方法を考えてみましょう。この場合、大量の必要以上の権限が付与されたプロファイルに権限セットを組み合わせるのは上記と同様、管理の難しさがあります。
したがって、プロファイルで設定する権限項目をできるだけ少なくし、権限セットとの組み合わせのバリエーションで細かく、正確に管理できるようにします。これを進めていくと、結局、プロファイルには、オブジェクトと項目の権限は一切設定せず、権限セットとその組み合わせである権限セットグループのみで制御するのがベストプラクティスとなります。
こちらも合わせてご参考ください。
Admin Best Practices for User Management
上記により、権限セットと権限セットグループをリリースしたSalesforceは、プロファイルによる権限設定は推奨ではなく、余計な開発、維持コストを削減するために2026年の春をもってプロファイルによる権限設定を終了することをアナウンスしていました。しかし、おそらく従来のプロファイルによる権限管理、それで十分なユーザの反対等があったことにより、これは結局行われないこととなりました。しかし、今後も権限セット、権限セットグループの開発に注力し、プロファイルの機能改善は一切行わないことをアナウンスしています。
Permissions Updates | Learn MOAR Spring ’23
権限セット詳細の一覧
権限セット詳細の一覧は下記よりダウンロードしてご参照ください。