はじめに
従来と将来でSalesforceのユーザ権限の概念が大きく変わります。
ここでは”これからのプロファイルと権限セットのあるべき姿”について簡単に説明します。
今までのユーザ権限の概念(2024年時点)
従来のSalesforceの権限設定は「プロファイルで制御する」でした。
プロファイルで共通の権限を付与した上で「必要に応じて権限セットで追加していく」方法で実装されている人も多いと思います。
これからのユーザ権限の概念
「プロファイルで権限設定する」というのが常識だった状況から、まさかの”プロファイルによるアクセス管理のサポートを終了する”という内容がSalesforce社から発表されました。
※サポート終了時期は当初Spring ’26と言われていたが延期されている状態。でも近い将来に迫っているのは間違いない!
これからの概念としては「プロファイルは超絶最小限、権限セットで権限設定する」です。
え?何が違うの!?って感じですが、大げさにいうとプロファイルは会社に1つとか2つとかになっていき、基本権限セットで全てを補うという考え方になります。
プロファイルと権限セットの使い分け
プロファイルと権限セットの役割や機能的制限について説明していきます。
プロファイルの役割
- ユーザには1つ割り当てが必要
- ライセンスなどに応じて最小限で作成する
- 部門単位ではなく会社として共通化したもので利用する
- プロファイルでしか設定できない機能の粒度で利用する
権限セットの役割
- ユーザには複数の権限セット/権限セットグループを割り当てられる
- 権限セットで必要な権限を付与する(あればいいではなく必要なものだけを付与する)
- 必要な機能、役割や業務に応じて細かくモジュール化する
- 複数の権限セットをユーザへ割り当てるには権限セットグループを利用する
プロファイルでしか設定できない機能
- ログイン時間
- ログインIPアドレスの範囲
- レコードタイプのデフォルト
- アプリケーションのデフォルト
- ページレイアウトの割り当て
(Lightningに移行して動的フォームを使用していく方針に変えるのがベスト) - パスワードポリシー
権限セットで設定すべき機能
- システム権限
- オブジェクト権限
- 項目レベルセキュリティ
- タブ
- レコードタイプのデフォルト以外
- アプリケーションのデフォルト以外
- 接続アプリケーションのアクセス許可、不可
- Apexクラス、VFページ
- カスタム権限付与
権限セットに移行していくための考え方
移行していく、作成していく時の考え方についてですが基本的には「最小限の原則」に則って考えることが重要です。
※「最小限の原則」とは業務を行う必要がある最小限の権限を付与すること
最小権限の原則による効果
- 誤操作によるリスクの権限
- セキュリティの向上
何をすべきか
- 利用ユーザの整理と業務整理
「誰が」「何を」するべきなのか整理します。 - 既存データの棚卸し
既存データの種類を洗い出します。 - 利用ユーザと既存データを掛け合わせる
ユーザ種別に対してデータ種類と掛け合わせてアクセス権を決めていきます。
追記(Spring'25)
Spring'25にて権限セット系がより便利に!!
・権限セットの「ビュー」がLightning仕様になってます。(見やすい〜)
※変化していない場合は「ユーザ管理設定」の「拡張権限セットリストビュー」が有効になっていない可能性あり
・権限セットの「概要を表示」が神がかっている。
権限セットが追加されてる権限セットグループを一覧で見れる、削除できる、追加できる。
権限セットで追加されてるオブジェクト権限が一目でわかる。(ちょっと前からできる)
権限セットで追加されてる項目が一目でわかる。(ちょっと前からできる)
このように権限セットや権限セットグループの拡張がどんどん行われている状況です。
さいごに
プロファイルのサポート終了は目前です!
今後、権限付与に対する機能拡張も見込めないので早め早めに組織内で準備しておくことをお勧めします。
権限の変更は、慎重にやらないといけないからこそ、しっかりと社内で検討した上で適切な設計が必要となります。
今後Salesforceをもっと活用していくためにも、ベストプラクティスをしっかり理解し進めていきましょう!
Discussion