LoginSignup
4
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@joney19860716(張 悦)in株式会社PanGu

Salesforce App bulider:Salesforce データセキュリティ

Last updated at Posted at 2021-03-28

データセキュリティ

組織レベル

ユーザ作成

要求:
①ユーザ名:世界唯一
②メール:パスワード通知またリセットする時送信対象アドレス、複数ユーザは同じ設定可能
③ロール:作成する時、していしなくでも大丈夫です、ロール階層設定用
④ユーザライセンス:該当ユーザ所属ライセンス(開発する時、お客様と確認)
⑤プロファイル:該当ユーザの利用プロフィール指定(権限など関連)
⑥パスワードをリセットしてユーザに通知する:事前作成のユーザは、このチェック外す、利用必要の時にパスワードリセットする。
 ↑パスワードリセットのメールのデフォルト有効期限は7日、変更できる期限は「1日」と「180日」
※ユーザ削除不可、退職ユーザは無効を設定すれば、ライセンス解放
・新規ユーザ
image.png
・複数ユーザを追加:同時10人まで追加可能
image.png

ログインIP制限設定(プロファイル別)

image.png

ログイン時間帯設定(プロファイル別)

image.png

パスワードポリシーの設定

パスワード有効期限、複雑さ、ログイン失敗によりロックするまでの回数、ログアウトの有効期間など設定可能
image.png
※代理管理者
image.png
image.png

オブジェクトレベル

プロファイルまたは権限セットを使用して設定できます。1 人のユーザには 1 つのプロファイルと複数の権限セットを設定できます。

・ユーザのプロファイルによって、ユーザがアクセスできるオブジェクトと、オブジェクトレコードでユーザが実行できる操作 (作成、参照、編集、削除など) が決まります。
・権限セットを使用すれば、ユーザに追加の権限を付与したり、アクセスを設定することができます。適用した特定のグループまたユーザに対して、プロファイルの補足の認識で大丈夫です。
 ※アクセス権限は縮小することができないので、プロファイルに応用対象ユーザの最小権限を設定する。
例えば、プロファイルにあるオブジェクトを編集可能設定して、権限セットに参照のみを設定しても、該当オブジェクト対して、編集可能です。
  一部のユーザの権限縮小したい場合、新しいプロファイル作成必要

標準プロファイル

標準プロファイルは下記のようなものがある、権限は既定ですので、変更不可
・標準ユーザ(オブジェクトレベルのカスタムオブジェクトアクセスできない、ただし、項目レベルアクセス可能、統計関連標準オブジェクトのアクセス権限付いていない)
・マーケティングユーザ
・契約管理者
・システム管理者(全オブジェクトの全権限がある)
・最小アクセス - Salesforce

プロファイル作成

 ・プロファイルを作成する最も簡単な方法は、作成するプロファイルと似た既存のプロファイルをコピーし、それを変更することです。
※[拡張プロファイルユーザインターフェース] が「有効化」に設定必要、この設定有効化すると、プロファイルの表示方法が変わります
image.png
設定前
image.png

設定後
image.png

コピー作成のプロファイルオブジェクトレベル権限設定可能(カスタム、標準両方)
image.png

権限セット作成

image.png
image.png
image.png

項目レベル

プロファイル

image.png

権限セット

image.png

※オブジェクトレベルと項目レベルの区別: オブジェクトレベル:新規、削除、全表示、全編集の権限指定可能。           読む、編集については実際の権限は項目レベルの権限です。 項目レベル:項目表示また編集出来るかどうか指定する、画面表示用基準レベルの認識で宜しいです

レコードレベルセキュリティ

$\huge{※自分作成のレコードではなく、}$
$\huge{他のユーザー作成のレコードのアクセス権限設定}$
・組織の共有設定
・ロール階層
・共有ルール
・共有の直接設定
image.png

組織の共有設定:

相互のレコードに対するユーザのデフォルトのアクセスレベルを指定します。(「設定」-「共有設定」)
共有設定はオブジェクトレベルと権限セット依存、オブジェクトレベル参照権限のみの場合、編集権限付いても、編集不可
そして、共有設定は「公開/参照・更新可能」設定する時、他のレコード全権限が持っているので、ロール、共有ルール設定必要がない
image.png

ロール階層:

マネージャには常にその部下と同じレコードへのアクセス権を付与します。階層の各・ロールは、ユーザまたはユーザグループが必要とするデータアクセスのレベルを表します。(ロール)
ロール設定して、上位の権限と下位の権限違うの場合、プロファイルまた権限セット追加必要
例えば、あるオブジェクトに対して、CEOは参照のみ、SPは参照、新規、更新、削除権限がある場合、ユーザは同じプロファイルを利用して、SP用の権限セットとCEO用の権限セット作成必要
image.png

共有ルール:

特定のユーザグループに対して組織の共有設定の例外を自動的に作成して、所有していないレコードや通常は参照できないレコードへのアクセス権を付与します。(共有ルール)

共有ルール作成方法

①グループ、ロール作成(共有ルールの前提条件)
image.png
②「共有設定」-「共有ルール」対象オブジェクトの共有ルール作成
あるグループ所属のユーザ作成したレコードをグループの全員共有
設定できる所属また共有先は「ロール」、「ロール&下位ロール」と「グループ」のみ
・レコード所有者に基づく
image.png
image.png
・条件に基づく
image.png

共有の直接設定:

レコード所有者が、レコードへのアクセス権がないと思われるユーザに参照および編集権限を付与できるようにします。(レコード手動共有)
image.png
image.png

4
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?