権限セットグループを作成する
学習の目的
この単元を完了すると、次のことができるようになります。
- 権限セットグループを作成する。
- ユーザーを権限セットグループに割り当てる。
- 既存のプロファイルや権限を分析し、権限セットグループを含むモデルを開発する。
メモ
日本語で受講されている方へ
Challenge は日本語の Trailhead Playground で開始し、かっこ内の翻訳を参照しながら進めていってください。Challenge での評価は英語データを対象に行われるため、英語の値のみをコピーして貼り付けるようにしてください。日本語の組織で Challenge が不合格だった場合は、(1) この手順に従って [Locale (地域)] を [United States (米国)] に切り替え、(2) [Language (言語)] を [English (英語)] に切り替えてから、(3) [Check Challenge (Challenge を確認)] ボタンをクリックしてみることをお勧めします。
翻訳版 Trailhead を活用する方法の詳細は、自分の言語の Trailhead バッジを参照してください。
アクセシビリティ
この単元には、スクリーンリーダーユーザー向けの追加の説明が用意されています。この単元の詳細なスクリーンリーダー版を利用するには、以下のリンクをクリックしてください。
ビジネス要件を収集する
権限セットグループの作成に取り掛かる前に、ビジネスニーズを分析しておきましょう。営業 VP である E.J. Argawal のチームでは、メンバーが販売注文処理業務の特定のタスクを実行する必要があります。E.J. によると、一部の営業スタッフには注文を変更する権限が必要で、他の営業スタッフは注文と契約の両方を変更する必要があるということです。
タスクに基づいていくつかの権限セットを作成します。そして、E.J. のユーザーが実施する職務に的を絞った権限セットグループにその権限を追加します。
ここでふと、「権限セットを次々と作成している限り、いつまで経っても時間を節約できないのではないか?」と考えます。
まっとうな疑問です。ここで、権限セットが再利用可能なことを思い出します! E.J. の要件に応じた権限セットをグループ化する場合、必要に応じて個々の権限セットを他のグループにも追加することができます。
つまり、E.J. のためだけに独自の権限セットを作成するわけではないものの、E.J. のニーズに合わせて権限セットグループを調整できるということです。そこで 2 つのカスタム権限セットを作成します。
権限 |
ユーザーグループ 1 |
ユーザーグループ 2 |
権限セット |
|---|---|---|---|
注文の有効化 |
必要 |
必要 |
Sales Orders (販売注文) |
注文の参照 |
必要 |
必要 |
Sales Orders (販売注文) |
注文の作成 |
必要 |
必要 |
Sales Orders (販売注文) |
注文の編集 |
必要 |
必要 |
Sales Orders (販売注文) |
注文の削除 |
必要 |
必要 |
Sales Orders (販売注文) |
契約の参照 |
不要 |
必要 |
Sales Contracts (販売契約) |
契約の作成 |
不要 |
必要 |
Sales Contracts (販売契約) |
契約の編集 |
不要 |
必要 |
Sales Contracts (販売契約) |
契約の削除 |
不要 |
必要 |
Sales Contracts (販売契約) |
権限セットグループを作成する準備をする
ではここで Trailhead Playground を起動して、このモジュールの手順を実行してみましょう。Trailhead Playground を開くには、ハンズオン Challenge までスクロールダウンし、[起動] をクリックします。また、ハンズオン Challenge を実行するときにも Playground を使用します。
権限セットを作成する
では、販売注文の権限セットを作成してみましょう。
- [Setup (設定)] の [Quick Find (クイック検索)] に
Permission Sets(権限セット) と入力し、[Permission Sets (権限セット)] を選択します。
-
[New (新規)] をクリックします。
- [Label (表示ラベル)] に、
Sales Orders(販売注文) と入力します。
- [ライセンス] は [なし] のままにします。
- 権限セットを保存します。
注文を有効化するためのアプリケーション権限 (ユーザー権限) を追加します。
- [Find Settings (設定の検索)] に
Orders(注文) と入力し、[Activate Orders (注文の有効化)] をクリックします。
- [App Permissions (アプリケーション権限)] ページで、[Edit (編集)] をクリックします。
- [Sales (販売)] セクションまでスクロールして、[Activate Orders (注文の有効化)] を有効にします。
- 権限セットを保存します。[権限変更確認] ボックスが開きます。[注文の参照] と [注文の編集] の両方が有効になっています。注文を有効にするためには、注文を参照して変更できる必要があるためです。
- 変更内容を保存します。
注文の作成や削除を行うオブジェクト権限を追加します。
- [Find Settings (設定の検索)] に
Orders(注文) と入力し、[Orders (注文)] をクリックします。
- 注文の [Object Settings (オブジェクト設定)] ページで、[Edit (編集)] をクリックします。
- [Create (作成)] オブジェクト権限と [削除] オブジェクト権限を有効にします。
- 変更内容を保存します。
契約の権限セットを作成します。
- メインの [Permission Sets (権限セット)] 設定ページに移動します。[New (新規)] をクリックします。
- [Label (表示ラベル)] に、
Sales Contracts(販売契約) と入力します。
- [ライセンス] は [なし] のままにします。
- 権限セットを保存します。
契約を参照、作成、編集、削除する権限を追加します。
-
[Find Settings... (設定の検索...)] に
Contracts(契約) と入力し、[Contracts (契約)] をクリックします。
- 契約の [Object Settings (オブジェクト設定)] ページで、[Edit (編集)] をクリックします。
- [参照]、[Create (作成)]、[Edit (編集)]、[削除] オブジェクト権限を有効にします。
- 変更内容を保存します。
やりました! これで、2 つの権限セットを含む権限セットグループを作成できます。
ユーザーを作成する
ユーザーがいなければ、権限セットも権限セットグループも役に立ちません。そこでまず、2 人のユーザーを組織に追加します。
- [設定] で、[ユーザー] を開きます。
- 次の 2 人のユーザーを作成します。
- Max Jackson:
- 役職: Sales Contracts Manager (営業契約マネージャー)
- ライセンス: Salesforce
- プロファイル: 最小アクセス - Salesforce
- メール: 任意のメールアドレスを入力します。ユーザー名とニックネームは自動的に入力されます。
- Anuj Singh:
- 役職: Sales Coordinator (営業コーディネーター)
- ライセンス: Force.com - Free
- プロファイル: Force.com - Free User
- メール: 任意のメールアドレスを入力します。ユーザー名とニックネームは自動的に入力されます。
いよいよメインイベントです!
権限セットグループを作成する
- [Setup (設定)] の [Quick Find (クイック検索)] ボックスに
Permission Set Groups(権限セットグループ) と入力し、[Permission Set Groups (権限セットグループ)] を選択します。
-
[新規権限セットグループ] をクリックします。
- [Label (表示ラベル)] に、
Sales Processing(販売処理) と入力します。
- 権限セットグループを保存します。
この権限セットグループに権限セットを追加します。
- [権限セット] で、[グループ内の権限セット] をクリックします。
-
[権限セットを追加] をクリックします。
-
[Sales Orders (販売注文)] と [Sales Contracts (販売契約)] を選択します。
-
[Add (追加)] をクリックします。
-
[Done (完了)] をクリックします。
ご覧ください! 「Sales Processing (販売処理)」という 1 つ目の権限セットグループが出来上がりました。
各自の権限セットグループに移動して、グループの状況が [更新] であることを確認します。
確認したら、[まとめられた権限] までスクロールダウンして、[オブジェクト設定] をクリックします。[契約] オブジェクトと [注文] オブジェクトのどちらの設定にも、グループの 2 つの権限セットで付与したアクセス権が反映されています。
次に、ユーザーをグループに追加します。
- [Sales Processing (販売処理)] 権限セットグループに戻ります。
-
[割り当ての管理] をクリックします。
-
[割り当てを追加] をクリックします。
-
[Max Jackson] を選択して、[Next (次へ)] をクリックします。
-
[割り当て] をクリックします。権限セットグループが 1 人のユーザーに割り当てられたことを示す確認メッセージが表示されます。
-
[Done (完了)] をクリックします。
- Anuj Singh を追加してみます。エラーが表示されます。権限セットの場合と同様に、割り当てようとしている権限がライセンスで許可されない場合には、ユーザーを権限セットグループに割り当てることができません。
- メッセージを無視して、[Done (完了)] をクリックします。
Anuj Singh は、ライセンスが更新されるまでグループに追加されません。権限セットグループを処理している間、ライセンス要件は変わりません。
うまくできています。が、それだけではありません!
既存の権限構造を分析する
権限セットグループを作成し、権限セットグループの強力な機能を多少なりとも実感することができました。ところで、既存の権限セットやユーザーはどうすればよいのでしょうか? 組織の割り当て構造を分析し、権限セットグループを使い始める準備をする際に、どのようなことを検討すべきなのかと疑問に思うかもしれません。まず、「最小権限の原則」を思い出します。つまり、ユーザーには、各自の業務の遂行に必要な最小限の権限を付与するようにします。権限セットグループを処理するときは、この原則を念頭に置いておきます。
ここで、プロファイル、権限セット、権限セットグループの目的を確認しておきましょう。
プロファイルには、各ユーザーのデフォルト設定 (デフォルトのレコードタイプ、IP 範囲など) が定義されます。Salesforce では、ユーザーへの割り当てのベストプラクティスとして、最小アクセス - Salesforce プロファイルを使用することをお勧めします。どのユーザーもプロファイルを 1 つのみ設定できます。
権限セットは、設定や権限の集合体です。プロファイルによってユーザーが一部のタスクを実行可能になるのに対し、権限セットでは追加のタスク (プロファイルでは有効にならないタスク) を実行できるようになります。たとえば、リストビューを作成やカスタマイズする権限、契約を有効にする権限など、他の権限をいくつでも追加できます。
権限セットグループは、権限セットをまとめたものです。権限セットグループに割り当てられたユーザーには、グループ内のすべての権限セットの権限がまとめて付与されます。権限セットグループは、ユーザーの職務に対応します。
上記の定義を念頭に、E.J. のために作成した権限セットグループに戻りましょう。この目標は、営業スタッフメンバーが販売処理業務を遂行できるようにすることでした。
- 最初に、販売処理業務に伴うタスクをリストアップしました。
- 注文の有効化
- 注文の参照、作成、編集、削除
- 契約の参照、作成、編集、削除
- 続いて、「既存の権限セットを変更できるか、新規作成する必要があるか?」と自問し、次の 2 つの権限セットを新規作成する必要のあることを認識しました。
- Sales Orders (販売注文)
- Sales Contracts (販売契約)
- 後に、どのユーザーが販売処理の職務を実施するのかを確認し、Max を権限セットグループに割り当てました。
ヒント: 権限セットグループの権限セットに含める権限は、ユーザーが各自の職務で遂行するタスクに対応している必要があります。対応していない場合は、職務の目標を見直します。たとえば、Max に「注文の有効化」権限が必要ない場合は、「Sales Processing (販売処理)」権限セットグループにこの権限が必要かどうか自問します。必要な場合には、Max をその職務に適した別の権限セットグループに割り当てることができないか確認します。
ちなみに、権限セットグループに含める権限セットを新規作成しなければならないことが判明した場合は、グループ外でもその権限セットを使用する方法を検討します。他の職務の中に、ユーザーが部分的に同じタスクを実施する必要のあるものがないか調べます。権限セットを他の権限セットグループにも追加できることがあるかもしれません。ユーザーが実行するタスクの権限セットをモデル化すれば、権限セットを柔軟かつ効率的に活用できます。
権限セットグループは、権限セットグループの職務の変化に合わせて更新することができます。権限セットグループの大きな利点は、簡単に調整できることです。たとえば、販売処理の職務を行うユーザーが、商談オブジェクトも編集できるようにする必要があることが判明したとします。そのような場合でも、権限セットグループに新しい権限セットを追加するか、権限セットグループに既存の権限セットに新しい権限を追加するだけで対処できます。
権限セットグループを使い始める際に役立つツール
権限割り当て分析に時間がかかることがあります。そのような場合には、AppExchange で入手可能な User Access and Permissions Assistant アプリケーションが役立ちます。このアプリケーションでは、ユーザーに付与されている権限を確認したり、一部のプロファイルを権限セットに変換したりすることができます。たとえば、既存のプロファイルの権限を選択し、このアプリケーションで権限セットに変換することができます。
また、権限セットと権限セットグループの概要を使用すると、有効になっているオブジェクト、ユーザー、項目、カスタム権限を簡単に確認できます。また、権限セットがどの権限セットグループに含まれているか、そして権限セットグループにどの権限セットが含まれているかも確認できます。権限セットまたは権限セットグループの詳細ページで、[View Summary (概要を表示)] をクリックします。
分析の完了後に、プロファイルベースのモデルをより柔軟な権限セットや権限セットグループのモデルに移行することが考えられます。
まとめ
これまでに最初の権限セットグループを作成し、既存の権限セットを分析可能なツールについて学習しました。たくさんの内容を見てきたため、権限セットグループがどれほど貴重なものかおわかりいただけたのではないでしょうか。ただし、まだ終わりではありません。次の単元では、権限セットグループの柔軟性を高めるミュート権限セットについて説明します。
リソース
- Salesforce ヘルプ: 権限セットグループの作成
- Salesforce ヘルプ:
- AppExchange: User Access and Permissions Assistant アプリケーション