こんにちは。日本マイクロソフトの向井です。
今回はPower Apps Portals で階層型のセキュリティーを実現する方法をご紹介します。
0. 実現したい階層型セキュリティー
今回実現したいのは以下のような階層型セキュリティーです。
コントソ庁に所属する人はすべてのレコードを参照できる。
宮城県に所属する人は宮城県、仙台市、名取市、事業者A、事業者B、事業者Cのレコードを参照できる。
・・・
といった感じです。
このように所属によってアクセスできるレコード(データ)を変えるには以下の作成、設定が必要です。
①親子関係をもつ取引先企業を作成する
②取引先担当者を作成し取引先企業に紐づける
③取引先担当者にWebロールを付与する
④階層構造をもったテーブルのアクセス許可を作成し、テーブルのアクセス許可をWebロールに紐づける
今回使用する各テーブルの関係は以下のようになっています。
これらについて、1つずつ詳しく解説していきます。
1. 親子関係をもつ取引先企業の作成
Power Apps では所属先の企業、組織などは取引先企業というあらかじめ用意されたテーブルで管理します。
取引先企業には親子関係を持たせることができます。(この機能は通常、親会社、子会社のような関係を表すのに使用します。)
今回の場合ですと、
宮城県、埼玉県の親はコントソ市
仙台市、名取市の親は宮城県・・・
というようになります。
まず、Power Apps の画面からデータ>テーブル>取引先企業(英語名はAccount)を開き、データタブからレコードの追加をクリックして取引先企業レコードを作成していきます。
※画像では既にデータが登録されています。
上の階層のレコードから作成していきます。
今回は「コントソ庁」という名前の取引先企業を作成します。
入力後、保存して閉じるをクリックします。
同様にして、1つ下の階層のレコードを作っていきます。
今回は「宮城県」というデータを作成します。
宮城県の親はコントソ庁となるので、Parent Account(英語な場合)にで先ほど作成したコントソ庁を選択します。
入力後、保存して閉じるをクリックします。
この手順で、他のレコードも作成し、親子関係を作っていきます。
2. 取引先担当者の作成
Power Apps Portals で作成したポータルにサインインするユーザーの情報は取引先担当者というテーブルで管理します。
取引先担当者には所属する取引先企業の情報を紐づけることができます。
ポータル管理アプリ(モデル駆動型アプリ)を開き、左のメニューから取引先担当者(=Contacts)を選択し、新しいレコードを作成します。
ハイライトしたように所属する組織の情報を紐づけ、保存します。
各ユーザーをこのようにして取引先企業に紐づけます。
3. 取引先担当者にWebロールを付与する
前項で作成した取引先担当者にWebロールを紐づけていきます。
関連(Related)をクリックして、Webロールを選択します。
既存のWebロールを追加する(Add Existing Web Role)をクリックします。
今回はPartner Sellerを追加しました。
(もちろん新しいWebロールを作成して使用することもできますが、今回は簡単のため、既存のWebロールを使用しました。)
※画像では既に追加されています。
ここでもう一度今回実現したい階層セキュリティーを確認します。
コントソ庁に所属するユーザーはすべてのレコードにアクセスできるようにしたいので、特別なWebロールを付与します。(今回はAdministratorを付与しました。)
それ以外の組織に所属するユーザーは、自分の組織配下のレコードにアクセスできるようにします。
これらには同一のWebロール(今回はPatener Seller)を付与し、そのWebロールに紐づけるテーブルのアクセス許可に階層を持たせることで、これを実現します。
これで取引先担当者にWebロールを紐づけることができました。
4. テーブルのアクセス許可をWebロールに追加する
4.1 テーブルアクセス許可の作成
Power Apps Portals では各テーブルごとにテーブルのアクセス許可を作成する必要があります。
たとえば、「取引先企業」テーブルと「サポート案件」テーブルをポータル上で参照させたい場合は、「取引先企業」用のテーブルのアクセス許可と「サポート案件」用のテーブルのアクセス許可が必要です。
また、テーブルのアクセス許可にも親子関係を作成することができます。
この親子関係の使用場面は
①今回のように所属組織によってアクセスできるレコードを変えたい場合
②「取引先企業」と「サポート案件」のような関係のテーブルへのアクセス許可を作成したい場合
になります。(今回は話がややこしくなるため割愛します)
です。
今回は「取引先企業」テーブルのテーブルアクセス許可を作成していきます。
宮城県に所属するユーザーhに注目すると、
宮城県に紐づく取引先企業レコードは①のテーブルのアクセス許可で、
仙台市に紐づく取引先企業レコードは②のテーブルのアクセス許可で、
事業者Aに紐づく取引先企業レコードは③のテーブルのアクセス許可で、アクセスすることができます。
①のテーブルのアクセス許可は、元から用意されているAccess to Parent Partner Accountを使用しました。
②③のテーブルのアクセス許可を作成していきます。
左のメニューからテーブルのアクセス許可(Table Permissions)を選択し、新しくレコードを作成します。
Table Nameはaccount(=取引先企業)
Access TypeはParent
を選択します。
Parent Table Permissionは、親となるテーブルのアクセス許可(今回はAccess to Parent Partner Account)を選択します。
その他必要項目を入力後、保存します。
同様に、2階層目のテーブルのアクセス許可も作成します。
これでテーブルのアクセス許可を作成することができました。
4.2 テーブルのアクセス許可にWebロールを追加する
3 でユーザーに付与したWebロールをテーブルのアクセス許可に追加します。
階層の一番上のテーブルのアクセス許可であるAccess to Parent Partner Accountを開き、関連からWebロールを選択します。
Add Existing Web Roleから3 でユーザーに付与したWebロールであるPartner Sellerを追加します。
※画像では既に追加されています。
以上の設定により階層を持たせたアクセス制御を行うことができます。