問題の概要
ダッシュボードを編集して保存しようとすると、以下のエラーが表示されます。
- エラー内容: 「このユーザーでは、データを参照する権限がありません。」
- 発生条件: フォルダの「管理」権限を持ち、編集画面までは入れるが、保存ボタンを押したタイミングでエラーになる
調査と検証を行ったので、同じ問題に遭遇した人のために共有します。
結論
このエラーは、ダッシュボードの設定にある 「次のユーザーとしてダッシュボードを参照」 に指定されたユーザー(以下、参照ユーザー)と、編集実行者のロール階層の関係によって発生します。
-
「上位ロール」は「下位ロール」が参照ユーザーのダッシュボードを上書きできる
編集実行者が、参照ユーザーに設定されているユーザーよりも上位のロールにいる場合、そのまま編集・保存が可能です。 -
「同階層」や「別階層」は上書きできない
たとえフォルダ権限があっても、自分と同等、自分より上位、あるいは自分とは異なる系統のロールが参照ユーザーになっているダッシュボードは保存できません。 -
参照ユーザーを変えれば保存できる
編集画面で 参照ユーザーを「自分」等に変更することで、元の参照ユーザーが誰であっても編集・保存が可能になります。 -
すべてのデータの参照権限があれば保存できる
「すべてのデータの参照」権限があればロールに関わらず保存可能です。 -
動的ダッシュボードは保存できる
「次のユーザーとしてダッシュボードを参照」を「ダッシュボード閲覧者」にすることで編集可能になります。
動的ダッシュボードはEnterprise Editionでも組織全体で5つしか作成できない制限があり、
「すべてのデータの参照権限」はダッシュボードの利用者に付与するには強すぎるため、
私の環境では参照ユーザーを「自分」に都度変更する運用回避を採用しました。
考察:なぜこのような仕様になっているのか
この制限は、データの覗き見を防ぐための意図的な仕様と考えられます。
もし、自分より上位の権限(例:CEO)を参照ユーザーに設定したダッシュボードを自由に編集できると、レポートの条件を書き換えるだけで、本来見ることができない売上データや個人情報を間接的に参照できてしまうからです。
不便ではありますが、データの安全性を守るためのガードレールと言えます。
補足:結論に至るまで調べたこと
ググって出てきた情報
ideaExchangeでも「エラーが出るから修正してくれ」という要望は2018年からあるようです。
私は採用しませんでしたが、「動的ダッシュボード」か「すべてのデータの参照権限」の付与が、広く採用されているようです。
「次のユーザーとしてダッシュボードを参照」の検証
参照ユーザーと編集実行者のロールを組み合わせて検証を行いました。
検証環境の前提
-
編集を実行する人:
- メンバーのユーザー(下位ロール)
- リーダーのユーザー(上位ロール)
- 専門職のユーザー(別階層ロール)
検証パターンと結果
| No | 参照ユーザー | 編集実行者 | 結果 |
|---|---|---|---|
| ① | メンバー | リーダー | 保存可能 |
| ② | リーダー | メンバー | 不可 |
| ③ | 専門職 | リーダー | 不可 |
| ④ | リーダーから、自分(メンバー)に変更 | メンバー | 保存可能 |
