👻
【Salesforce】オブジェクトへのアクセス制御
【Salesforceのアクセス制御の全体像】
Salesforceでは、誰が何の情報にアクセスできるか(閲覧・編集・削除など)を細かく制御することができます。
これはセキュリティの観点から非常に重要です。
このアクセス制御は、大きく以下の3段階に分けて考えると理解しやすくなります。
🧱 ① プロファイル(Profile)と権限セット(Permission Set)
- 個人の「役割や持ち物」によるアクセス権の定義
- 例えるなら、「社員証」のようなもの。
- 各ユーザーに何のオブジェクトや機能への基本アクセス権があるかを決めます。
🔹 できることの例:
- この人は「取引先責任者」を作成・編集できる
- この人は「レポート機能」にはアクセスできない
📝 ポイント:
- プロファイルは基本1人1つだけ設定されます。
- より柔軟に追加アクセスを与えるには「権限セット」を使います(上乗せ的な使い方)。
🏢 ② 組織の共有設定(Org-Wide Defaults:OWD)
- 全体に対して、オブジェクトの基本的な共有レベルを設定します。
- 例えるなら、「この会社では、ファイルは社内全体で共有する文化があるか、個人管理か」のようなもの。
🔹 設定例:
- 取引先:公開(すべてのユーザーが見られる)
- 商談:非公開(自分が所有するものだけ見られる)
📝 ポイント:
- プロファイルとは異なり、組織全体の初期ルールのようなイメージ。
- これが「非公開」だと、後から他ユーザーに共有する仕組みが必要になります(次の③に続く)。
🏗️ ③ ロール階層・共有ルール・手動共有
- 組織の共有設定が「非公開」だった場合に、どうやって他のユーザーにも共有するか? を定める仕組み。
✅ ロール階層(Role Hierarchy)
- 上司は部下のデータを見られるようにする
- 例:営業部長 → 営業担当Aが持っている商談を見られる
✅ 共有ルール(Sharing Rules)
- チーム間で特定の条件に合うデータを共有するルール
- 例:「関西営業チーム」はお互いの取引先を見られる
✅ 手動共有(Manual Sharing)
- 特定のレコードだけを個別に他のユーザーに共有する
- 例:営業Aが「この商談だけ、営業Bにも見せたい」と設定する
📝 ポイント:
- ②の組織の共有設定を細かく補うための仕組み。
- 「誰にどこまで見せるか」を個別にカスタマイズする役割。
🧠 最後にまとめ:この3ステップで考える!
| 段階 | 目的 | 主な設定 |
|---|---|---|
| ① プロファイル | 個人が何をできるか | 作成・編集・削除などの権限 |
| ② 組織の共有設定 | 全体の初期共有ルール | 公開/非公開など |
| ③ 共有の補足設定 | 誰とどこまで共有するか | ロール・共有ルール・手動共有など |
Discussion