Security Specialist

Trailへのリンク
有志による翻訳
Challenge2の解決に参照したスレッド

####全体を通したコツ

• アクセス制限する方法はいろいろあるけど、緩い方が優先されることを覚えておくと学びがある。

#要件

• SNSを用いた金融サービスのスタートアップ企業が大手金融企業に買収されることになった。買収先のセキュリティ監査に耐えうるセキュリティ要件を満たさなければならなくなった。

#Challenge1 - 事前準備

• Field Sales User
  • 商談が使えるユーザライセンスを用いる
    • 面倒なのでシステム管理者を用いる
  • ユーザ自身のリストビューを作成できる
    • Create and Customize List Views = true
  • 他人のリストビューの作成や管理は出来ない
    • Manage Public List Views = false
  • レポートやダッシュボードを作成できる
    • Create and Customize Reports = true
    • Create and Customize Dashboards = false
  • レポートやダッシュボードフォルダの作成や管理はできない
    • Create Report Folders = false
    • Create Dashboard Folders = false
  • ログイン時間帯制限はない
    • Login Hoursに何も登録しない
  • 所有する商談を参照・作成・編集できる
    • Standard Object Permissionsから
  • すべての取引先を参照・編集できる
    • Standard Object Permissionsから
• Inside Sales User
  • IPアドレス0.0.0.0のメインオフィスからのみアクセスできる
    • 指定されたIPアドレスで保存しようとするとエラーが出るので、Save this IP Range even though it does not cover my current IP addressにチェックを入れて保存。
  • 平日8時から18時のみアクセスできる
    • Login Hoursから。終日アクセスさせないためにはStartとEndを同じ時間に設定する。
  • モバイルアクセス不可
    • プロファイル側で設定できるのはConnected App Accessだけ。今回は触らない。
  • レポートやダッシュボードを作成・管理できる
  • レポートやダッシュボードフォルダを作成・管理できる
  • 自身あるいは他人のリストビューを作成・管理できる
  • 取引と商談を作成できる
  • すべての取引と商談へ参照・編集できる
• Sales Executive User
  • 共有設定に関わらずすべての取引先と商談を参照できる
  • 取引先と商談の作成・編集・削除はできない
  • レポートやダッシュボードを作成できる
  • レポートやダッシュボードフォルダの作成や管理はできない
  • ユーザ自身のリストビューを作成できる
  • 他人のリストビューの作成や管理は出来ない
  • モバイルアクセス可能
  • ログイン時間帯制限はない

#Challenge2 - Set record-level security settings

• 非管理パッケージのインストール：インストールしようとすると注意書きが出るが構わずインストール。
• ユーザを作成：Samantha Cordero
• Opportunityレコードを2件作成。
• チャレンジに明記されていないがビジネス要件に記載されている部分はここで消化する。
  • Role
    • 図に従ってField Sales、Inside Sales、Sales Executiveのロールを営業部門配下に作成する。
    • Opportunity Accessは、Users in this role cannot access opportunities that they do not own that are associated with accounts that they do ownを選択する。取引先に紐づいた商談を参照できるか設定することができるが、今回は商談を所有するユーザ以外にアクセス権限を与えてはいけないため。
  • Public Group
    • Project Managersを作成し、Cordero氏を追加する。
  • [Sharing Setting]
    • Opportunityをprivateに設定
    • プロジェクトマネージャとレコードを共有するためのルール、つまりOpportunity Sharing Rulesを設定する。
      • 共有ルールとは、本来見られない筈のレコードを例外的に見られるようにする仕組み。今回は他ユーザが作成した商談オブジェクトが特定の状態に更新されたときに参照できるようにしたい。
    • 1つ目の共有ルール
      • TypeとStageを指定する。
      • Select the users to share withに先ほど作成したPublic Groupを追加する。これにより、「特定のレコードをPMが閲覧できる」状態を設定できた。
      • Read Only
    • 2つ目の共有ルール
      • Based on record owner
      • Opportunity: owned by members of ：Role: Field Sales
      • Share with：Role: Inside Sales
      • Read/Write
    • 3つ目の共有ルール
      • Based on record owner
      • Opportunity: owned by members of ：Role and Subordinates: Sales Executive
      • Share with：Role: Inside Sales
      • Read Only

#Challenge4 - Track field-level changes

• [Object Manager]->[Opportunity]->[set History Tracking]
• 項目の変更履歴を追跡することが出来る。

#Challenge5 - Set report, dashboard, and public list view security settings

• 要件どおりプロファイルを作成できているなら何もしなくても通るはず。

#Challenge6 - Set up two-factor authentication

• ユーザインターフェース上で二要素認証が実施されるようにする。