上司「うち大丈夫なの?」Salesforce Experience Cloudアクセス権限とセキュリテイを説明してみた
2020年12月25日、Salesforce設定による不正アクセス問題。
SNSで多くのSalesforceアドミンや、コンサルタントの方々がセキュリティ対策を投稿されてます。
とはいえ「Salesforceアクセス権限の知識、正直自信がない」という方はすべての内容把握は難しく、年末最後の出社で上司に誤った報告をしてしまうかもしれません…
上司「え?取引先が公開になってるって???大事件じゃん!!」
投稿動機
昨年2019年12月頃の私は、Salesforce知識がまったくなく、Trailheadでもくもく勉強してる人でした。
Salesforceの相談相手も少なく、SNSとTrailheadが頼りでした。
もしもそんな中、今回のニュースを見たら絶望したことでしょう。
「ちゃんと設定できているの?Salesforce使うの怖い。使うの辞めたい…」と
そのような過去の私のような人に伝えたい…!
「不安ですよね!でも大丈夫!これらをチェックしてみましょ!!」
これが動機のすべてです。
・出来る限り正確な情報をご提供したいと考え、りかるでぃさん、佐伯さんにCommunity知識・解釈・資料共有等、連日にわたりサポート頂きました。
・ただ本noteの誤りや誤解を招く表現は、最終投稿者の私の責任です。
・note構成は「Salesforce権限の初歩的な知識」と、「話題に挙がっているゲストユーザ・プロファイルの解説」を混ぜて作成しております。
・免責としてイチユーザーの執筆であり、公式以上の正確性は担保できません。ご容赦ください。
それでは本題開始です!
「ゲスト」ってなんだ?
※コミュニティの外部データ公開機能に絞った解説です。
Salesforceは細やかなアクセス権限を設定できます。
そのうち、Experience Cloudは適切な権限設定を前提に、Salesforce内部の情報をSalesforce外部に公開できるサービスです。
うまく利用すれば追加料金無しでFAQサイト・会員サイトを構築できます。(追加料金でより詳細の設定が利用できます…!)
例えば下記サイトはExperience Cloudを利用して2-3分で構築しました(Developer Edition)
https://sample20201225-developer-edition.ap15.force.com/faq/s
そして、上記URLにアクセスできた皆様が「ゲスト」です。
ゲストとは、
Communityサイト立ち上げに伴い、自動作成されるユーザ・プロファイル権限であり、ID PASS無しにアクセス可能な権限です。
つまりコミュニティやサイト機能を利用しない限り、ゲストユーザ・プロファイルは作成されません。
コミュニティ設定の有無
私のSalesforce環境にはコミュニティが既にあるのかな?と気になる方は、下記URLをXXXXを自社のサイト設定に変更しアクセスしてみてください。
https://xxxxx.lightning.force.com/lightning/setup/NetworkSettings/home
すると、「コミュニティ設定」ページに遷移したかと思います。
「コミュニティを有効化」にチェックマークをつけられる方はコミュニティがない証です。
コミュニティ保有されている組織は、URLが表示されます。
ここまでお読みの方は、よしわかった
Experience Coludを利用していなかった!では安心だね!
という訳ではありません。外部は問題ないですが、内部でも同じ話だと思います。今後内部統制上「ゲスト」の話関わらず、セキュリティ管理を徹底されている会社は多いと思います。
例)この人はこのデータにアクセスできないなど。
次のセクション以降はコミュニティ有無に関わらず確認すべき権限をまとめたいと思います。
組織アクセス権限サマリ
先述通り、Salesforceは内部・外部ユーザに柔軟なアクセス権限を設定できます。アクセスコントロール設定一覧は、リゾルバの佐伯さんが関係図も含めて1枚図にまとめてくださっております。
ただ初見ではどうしても専門用語が多く、わかりづらいと思います。またゲストは、外部アクセスを内部で統制する、特殊な権限の為、この中では注記して記載はありません。
次のページ以降は、私達に特に関わる情報を抜粋して解説したいと思います。
「組織」の共有モデル
アクセス制限の基本は、上位概念でキツく制限。下位で緩和することだと思っております。その為、アクセス制限である共有設定と、機能制限であるプロファイルでキツく縛り、例外条件(共有ルール・権限セット等)で緩和するように設定します。
共有設定について
下記URLのXXXを自身の環境に変更し、共有設定という画面に移動してみてください。下記の画像ページが表示されたら、成功です。
https://XXXXX.lightning.force.com/lightning/setup/SecuritySharing/home
真ん中左にある「編集」ボタンをクリックすると、オブジェクト別のアクセス権を編集できます。
真ん中上の「デフォルトの内部アクセス権」「デフォルトの外部アクセス権」はそれぞれ「Salesforceの内部」「Salesforce外部」を指しております。
公開は、所有権に関わらず、閲覧できるという意味。
非公開は、所有するレコード以外見れなくなる意味です。
結論、基本は非公開設定で問題ないと思います。
また一部、緩和したい条件を設定する場合は、共有設定の下部に「共有ルール」設定情報があります。
共有ルールで、オブジェクト別にユーザ・グループ・所有者ベースで公開非公開を柔軟に設定できます。
※あくまで例外条件を記載してください。
またゲストユーザを保有する組織の方は、ゲストユーザのアクセス権限保護は有効もお忘れなく…!
プロファイルについて
Salesforceは部署などのプロファイルを設定して、触れるオブジェクトを限定できます。たとえ、共有設定で公開設定でもプロファイルで参照権限がなければ、オブジェクトを操作できません。
ゲストプロファイルは、このプロファイルの一つで、どのオブジェクトにアクセス可能かを設定できます。(画像では商談に参照権限がついている様子)
※ゲストプロファイル遷移の場合、Salesforce設定検索で「ゲスト」と調べて、ゲストユーザ>ゲストプロファイルに移動がおすすめです。
そしてゲストプロファイルはAPI接続の可能性も危険視されている為、
APIの有効化切ったままにしておきましょう…!
権限セットについて
オブジェクトの例外条件設定です。
プロファイルで基本設定、権限セットで例外条件の設定です。
権限セットはライセンス付与等諸々できる機能ですが、説明は省略します。
・権限セットはユーザ
https://XXXXXX.lightning.force.com/lightning/setup/PermSets/home
・権限セットグループはグループ等にも設定できます。https://XXXXX.lightning.force.com/lightning/setup/PermSetGroups/home
※例のようにURLは変えてご利用くだださい。
またゲストユーザの権限セット、権限セットグループの件数はご確認ください。特殊事情を除き0件が正しいです。
Salesforceからの重要なお知らせ・更新は定期的にチェックしましょう!
Salesforceは定期的に重要なお知らせ・更新は操作中に画面でお知らせしてくれます。例えば上記はExperience Cloudに関する重要な情報です。
特に重要なものはポップアップやヘルプテキスト等で紹介してくれるケースがあります。重要なお知らせは見逃さないようにしたいですね!
以上です…!
謝辞
最後までお読みいただき、誠にありがとうございます。
また謝辞を書かせてください。
本note記載にあたり、りかるでぃさん、佐伯さんに心から感謝しております。本当にありがとうございました。年の瀬かつ、顧客・自社のExperience Cloud設定を見直す多忙なスケジュールの中、本note投稿のサポートいただいたかと思います。
原稿用紙10枚程度の本noteはお二人の温かいサポートで成り立ってます(それと同程度の量の議論が裏では繰り広げられてました)
それもおそらく多くのSalesforceユーザの不安を緩和したい、という気持ちでサポートしてくださったかと思います。お二人とこのnoteに挑戦できたことは素敵な経験でした。
来年も皆様のSalesforceライフがより良くなることを祈り筆を置きます。
今後とも宜しくお願い致します。
この記事が気に入ったらサポートをしてみませんか?