新概念:制限ルール(RestrictionRule)で適切にデータ管理

制限ルール 機能
2022.02.13

Salesforceのアクセス権といえばプロファイル、ロール、共有ルール、権限セットなどがありますが、

今回はWinter’22で正式リリースとなった制限ルールをみていきます。

検証ベースですが使いどころを確認してみます。

制限ルールとは

Help And Training Community
help.salesforce.com

上記ドキュメントからの抜粋です。

適用できるオブジェクト:カスタムオブジェクト、契約、ToDo、行動のみ

活用例:競合している営業チームを抱えていて、同じ取引先に対する活動ではあっても、互いの活動内容を表示できないようにするとします。制限ルールを使用すれば、営業チームには自分のチームに属していてその業務に関連している活動しか表示されないようにできます

 

 

ここからはドキュメントからの理解を確認してみましょう。

  • ①組織の共有設定を各オブジェクトに設定
  • ②①をベースに共有ルールやロールなどでアクセス権を追加して付与
  • ③更に制限ルールでアクセス権を追加して付与

というように今までの仕組みをベースに、最後に制限ルールでアクセスできる範囲をプラスαするイメージです。

制限ルールの立ち位置

アクセス権をプラスαで付与するという意味では共有ルールと同じ側面はありそうです。

 

 

共有ルールとの違いとしては大きく2点ありそうです。

  • 活動は親レコードに依存し共有ルールを設定出来ないため、制限ルールは非常に効果的
  • 共有ルールを適用できるカスタムオブジェクトなどでもアクセス権の付与方法が共有ルールと異なる設定がいる場合は効果的

活動は親レコードに依存し共有ルールを設定出来ないため制限ルールは非常に効果的

共有設定では活動(行動,Todo)に対して親レコードに連動、非公開に2つから選ぶことが出来ます。

活動ではカスタムオブジェクトのようにある条件である範囲にアクセス権を付与するという共有ルールが仕組み上設定できません。

そのため

  • ”非公開”では割当先の所有者、所有者の上位ロールユーザしかアクセスできない、
  • ”親レコードに連動”では活動特有のアクセス権(活動レコードの関連先や名前項目アクセス権に沿う)にしかない

というように柔軟性に欠けるという状況でした。

共有設定

 

 

制限ルールを使用すると柔軟にアクセス権を付与することが出来ます。

  • 取引先の共有設定を公開に
  • 活動の共有設定を非公開に

した状態だと通常は割当先の所有者、所有者の上位ロールユーザ以外は活動へアクセス出来ません。

 

 

そこで

・活動に”一般ユーザにアクセス権を付与”チェックボックスカスタム項目を作成

カスタム項目

 

 

・行動に制限ルールを作成

  ”標準 Platform ユーザ カスタム”プロファイルのユーザは”一般ユーザにアクセス権を付与”にチェックが付いた行動レコードへアクセス可能 というルール

ユーザ条件

 

 

上記前提の上でシステム管理者が行動を2レコード作成します。

・件名:一般ユーザにアクセス権あり_テスト行動

→”一般ユーザにアクセス権を付与”項目に✓ありの状態

 

 

・件名:一般ユーザにアクセス権なし_テスト行動

→”一般ユーザにアクセス権を付与”項目に✓なしの状態

 

 

一般ユーザ目線で取引先から行動を見てみると、アクセス権ありの行動のみが表示されています。

項目作成

 

 

このように、通常は活動に対して共有設定で非公開とした場合は割当先の所有者、所有者の上位ロールユーザ以外は行動へアクセス出来ませんが、

制限ルールを使用することで共有ルールのように特定の条件を満たすレコードをあるユーザにアクセス可能とすることで出来ます。

活動に限らずカスタムオブジェクトで主従関係の従にあたる場合も活動と同様に細かなアクセス権付与が出来そうです。

ポイントは「あるユーザに対して制限ルールを満たしたレコードはアクセス権を与えられる」という点です。

見える範囲を減らす、ではなく見える範囲を増やすというのが制限ルールです。

共有ルールを適用できるカスタムオブジェクトなどでもアクセス権の付与方法が共有ルールと異なる設定がいる場合は効果的

今まで見てきたように、見える範囲を増やすという意味では共有ルールと似ています。

活動は共有ルールを作成できないため制限ルールが効果的ですが、共有ルールを設定できるカスタムオブジェクトではどうでしょうか。

結論としては共有ルールで実現できない共有先が、制限ルールで実現可能という点で効果的かと思います。

 

 

・共有ルールで設定できる共有先

”ロール”、”ロール&内部下位ロール”、”ロール、内部&ポータル下位ロール”、”公開グループ”の4つです。

共有設定

 

 

・制限ルールで設定できる共有先

”ユーザ条件”、”権限条件”の2つです。

ユーザ条件ではユーザオブジェクト内の項目が選択できるため、部署項目に”営業”となっているユーザなどと指定出来そうです。

権限条件

このように制限ルールではより細かいユーザ指定ができます。

逆にあるロールのように大きな範囲では共有ルールの方が指定しやすそうです。

 

 

セキュリティ関連では下記記事もご覧ください。

組み込みAuthenticatorによる多要素認証の有効化 - Salesforceナレッジ
2022/2/1より必須化されるSalesforceの多要素認証によるログインについて、 検証方法の1つである組み込みAuthenticatorの有効化と設定方法をメモします。 目次 組み込みAuthenticatorと
sfdctechsite.com

Log4j2の脆弱性 データローダへの影響 - Salesforceナレッジ
Javaライブラリの1つであるLog4j2の脆弱性が報告されています。 Salesforceでは広く使用されているデータローダにも影響が及んでいます。 目次 Log4j2とは、その脆弱性とは対応方法注意点 Log4j2と
sfdctechsite.com
機能
Dyson
Salesforceナレッジ

コメント

タイトルとURLをコピーしました