共有ルールの定義
学習の目的
共有ルールを使用したアクセス権の拡大
組織の共有設定では、各オブジェクトに対して (比較的に制限の厳しい) ベースラインのアクセスレベルが指定されます。組織の共有設定が [公開/参照のみ] または [非公開] の場合は、共有ルールを使用して一部のユーザにアクセスを許可できます。共有ルールにより、選択されたユーザセットに、組織の共有設定の自動的な例外を作成できます。
共有ルールは、レコードの所有者またはレコード内の項目値に基づくことができます。たとえば、共有ルールを使用して、共有アクセス権を公開グループまたはロール内のユーザに拡大することが考えられます。ロール階層と同様に、共有ルールを組織の共有設定より厳しくすることはできません。特定のユーザのアクセス権を拡大するのみです。
各共有ルールは次の 3 つの要素で構成されます。
どのレコードを共有するか。
特定のユーザが所有するレコードまたは特定の条件を満たすレコードを共有できます。条件に基づく共有ルールは、所有権、あるいは項目値に基づいて共有するレコードを決定します。
どのユーザと共有するか。
ロール別、テリトリー別、または公開グループの定義によってユーザグループを定義できます。公開グループとは、システム管理者が定義したユーザのグルーピングであり、このグルーピングを使用して共有ルールを簡便に作成できます。組織で使用可能なグループメンバー種別に応じて、公開グループは次の組み合わせで構成できます。
- 個々のユーザ
- ロール
- ロール & 下位ロール
- テリトリー
- テリトリーおよび下位テリトリー
- その他の公開グループ
どのアクセス権か。
「参照のみ」と「参照・更新」のいずれかのアクセス権を割り当てることができます。
共有ルールが最大限の効果を発揮するのは、数人のユーザが頻繁に入れ替わるグループではなく、事前に決定または予測可能な特定のユーザグループに対して共有ルールが定義された場合です。たとえば、社員募集アプリケーションの場合は、それぞの職種、応募者、求人応募、審査を各採用担当者と共有することが重要になります。ロール階層ではすべての採用担当者が採用担当マネージャと採用担当者のいずれかのロールに属するため、共有ルールを使用して、上記のオブジェクトを採用担当マネージャロールおよびその下位ロールと簡単に共有できます。
また、社員募集アプリケーションの別のユースケースを考えてみます。面接官には、自身が面接を実施する相手の応募者と求人応募レコードに対する参照アクセス権が必要です。この場合、面接官全員を事前に予測することは非常に困難です。採用担当マネージャは欠員補充する職種に応じて面接官を指名するものと思われ、面接官が属するロール階層が異なる可能性があるためです。したがって、このユースケースには共有ルールは適さないと思われます。特定のマネージャが指名する面接官チームを予測することが非常に難しいからです。
共有ルールを使用すべきか
ここで、実装しておきたい一連の必須権限を確認して、共有ルールの使用が最適なものを探してみましょう。
採用担当者に、アプリケーションに存在する各職種、応募者、求人応募、審査レコードに対する参照および更新アクセス権が必要である。はい。前述のとおり、採用担当者グループはロール階層で簡単に選択できます。
採用担当マネージャには自分が採用担当マネージャとなる職種と求人掲載レコードに対する参照および更新アクセス権が必要である。
いいえ。どの職種がどの採用担当マネージャに割り当てられるかを予測するのは難しすぎます。このユースケースは別の方法で処理する必要があります。
採用担当マネージャには自分が採用担当マネージャとなる応募者レコードに対する参照アクセス権が必要である。
いいえ。この場合も、どの職種がどの採用担当マネージャに割り当てられるかを予測するのは難しすぎます。
採用担当マネージャには各求人応募と審査レコードに対する参照および更新アクセス権が必要である。
はい。採用担当マネージャが参照および更新できる求人応募および審査を制限するわけではないため、ロール階層からすべての採用担当マネージャを簡単に選択して、この全員に対する共有ルールを定義できます。
面接官には、自分が面接を実施する相手の候補者と求人応募レコードに対する参照アクセス権が必要である。
いいえ。前述のとおり、特定の職種の面接チームのメンバーを予測することは困難です。
社員募集アプリケーションで定義する主な共有ルールを次にまとめました。
| オブジェクト | ルールの表示ラベル | 所有者 | 共有先 | アクセスレベル |
|---|---|---|---|---|
| Review (審査) | 審査の編集 | 組織全体 | 採用担当者と採用担当マネージャ | 参照・更新 |
| Candidate (候補者) | 応募者の編集 | 組織全体 | 採用担当マネージャのロール & 下位ロール | 参照・更新 |
| Position (職種) | 職種の編集 | 採用担当マネージャのロール & 下位ロール | 採用担当マネージャのロール & 下位ロール | 参照・更新 |
この単元の残りの部分では、これらの権限を実装するための公開グループと共有ルールの作成方法について学習します。
公開グループの定義
共有ルールを作成する前に、適切な公開グループを設定することが重要です。公開グループは、全員が共通の機能を持つ個々のユーザ、他のグループ、個々のロールまたはテリトリー、下位ロールを持つロールまたは下位テリトリーを持つテリトリーなどの集まりです。たとえば、採用担当者プロファイルを持つユーザとソフトウェア開発マネージャロールを持つユーザはどちらも求人応募を確認します。
共有ルールを定義するときに公開グループを使用すると、ルールが作成しやすく、そして何よりも、後でルールが理解しやすくなります。これは、特に大きな組織で多くの共有ルールを維持する場合には重要です。定義する共有ルールの対象が 1 つか 2 つのグループ、ロール、個人を超える場合は、公開グループを作成します。
- [設定] で [クイック検索] ボックスを使用して、[公開グループ] を検索します。
-
[新規] をクリックします。
![[設定] の公開グループ作成ページ](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/modules/data_security/data_security_sharing_rules/images/ja-JP/7f6b8c92cbd8eaa596213171231769b1_new-public-group.png)
- グループの表示ラベルを指定します。[グループ名] テキストボックスをクリックすると、自動的に入力されます。これは、API および管理パッケージで使用される一意の名前です。
- [検索] ドロップダウンリストで、ユーザ選択の対象となる個人ユーザ、その他のグループ、またはロールを選択し、下位ロールも対象となるかどうかを指定します。公開グループにはメンバー種別の組み合わせを含めることができます。
- [選択可能なユーザ] リストで、ユーザを選択し、[追加] をクリックします。
- [保存] をクリックします。
グループの定義が完了したら、グループを使用して共有ルールを定義できます。
社員募集アプリケーションの公開グループ
社員募集アプリケーションで実装しようとしている必須権限を見ると、共有ルールに公開グループが必要なオブジェクトは、Job Application と Review の 2 つだけです。幸い、この 2 つのオブジェクトは 1 つのグループで対応できます。これは、Review オブジェクトが主従関係の従側にあり、Job Application オブジェクトに適用する共有設定が継承されるためです。
採用担当者と採用担当マネージャの両方が求人応募への参照と更新のアクセス権を必要とするため、「Reviewers」 (審査担当者) という公開グループを定義して、採用担当者と採用担当マネージャを含めることができます。このグループに、[SW Dev Manager (ソフトウェア開発マネージャ)]、[Director Product Management (製品管理責任者)]、[Director QA (QA 責任者)] を追加し、さらに [Recruiting Manager (採用担当マネージャ)] のロールと下位ロールを追加します。
共有ルールの定義
共有ルールは、1 つの公開グループ、ロール、またはテリトリーに対して定義できます。共有ルールを、下位ロールを持つロールまたは下位テリトリーを持つテリトリーに対して定義することもできます。
- [設定] で、[クイック検索] を使用して [共有設定] を検索します。これは組織の共有設定の定義に使用するのと同じページです。
- [共有設定を管理する対象] ドロップダウンリストで、共有ルールを作成するオブジェクトを選択します。このドロップダウンリストのオブジェクトを選択すると、一度に 1 つのオブジェクトの組織の共有設定と共有ルールのみを表示することができ、長いページに表示されるすべてのオブジェクトを見る必要がありません。これは、大きな組織でいくつものカスタムオブジェクトがある場合に便利です。
- [共有ルール] エリアで、[新規] をクリックし、ルールの表示ラベルを指定します。[ルール名] テキストボックスをクリックすると、自動的に入力されます。
- ルールタイプでは、共有ルールが所有者に基づくか、条件に基づいて一致するレコードを対象とするかを選択できます。この共有ルールには、[レコード所有者に基づく] を選択します。
- [共有するレコードを選択します] で、最初のドロップダウンリストからカテゴリを選択し、次のドロップダウンリストまたは参照項目からユーザセットを選択します。
- [共有先のユーザを選択します] で、データへのアクセス権を取得するユーザを指定します。
- 共有アクセス設定を選択します。
- [保存] をクリックします。
社員募集アプリケーションの共有ルール
社員募集アプリケーションには、組織のメンバーが記述して所有している審査票をすべての採用担当者および採用担当マネージャと共有するルールが必要です。Job Application オブジェクトと Review オブジェクトの両方に適用される共有ルールを作成します。
Job Application の所有者ベースの共有ルールを作成し、表示ラベルは「Review Records (審査レコード)」とします。[共有するレコードを選択します] で [公開グループ] を選択し、[すべての内部ユーザ] を選択します。これらのレコードが、先ほど作成した [Reviewers (審査担当者)] 公開グループと共有されることを指定し、アクセスレベルを [参照・更新] に設定します。
すべての審査担当者と採用担当マネージャが審査票を参照および更新する必要があるため、1 つの共有ルールと公開グループで全員を処理しました。