Salesforce：プロファイルと権限セット

権限制御をプロファイルでするか、権限セットを使うのかの選択ラインがむずかしいと質問した時にいただいたアドバイスの覚え書。

プロファイルと権限セットの概要

プロファイルで制御する権限

• IPアドレス制限・時間帯制限（組織へのログイン）

• オブジェクト権限

• 項目レベルセキュリティー

業務範囲ごとにプロファイルを作成して複数のユーザに割り当てる。

権限セット

プロファイルの権限に追加できる。（オブジェクト権限、項目レベルセキュリティーに関して）

権限セットグループ

複数の人に複数の同じ権限セットを割り当てるときは、権限セットを一つにまとめた権限セットグループが使える。

例えば
役職A（３名）に「商談削除」「キャンペーン削除」「〇〇項目参照」の権限セットを付与したい
↓
３つの権限セットを３名に付与＝３☓３工程
↓
３つ権限セットをまとめた権限セットグループを３名に付与＝１☓３工程

ミュート権限セット

権限セットグループの内の権限セットの一部をはずすことができる。

例えば　役職Aの権限セットグループを付与した３名の中のひとりだけは「キャンペーン削除」権限をはずす場合、「キャンペーン削除」権限をミュートした権限セットグループを付与する。

プロファイルの権限制御と権限セットの使い分け

プロファイルの権限制御をベースにして
権限セットは一部のユーザに権限を追加したい時に使う。
また、権限セットや権限セットグループに有効期限を設定して、一時的な権限追加もできる。
プロファイルを増やさなくてよいメリットがある一方、
権限セットも権限セットグループも一人ずつに設定する手数がかかるので、人数が多い場合はプロファイルで制御が推奨される。
営業部のマネージャーだから「営業部プロファイル＋マネージャー権限セットグループ」と固定して考えるのではなく、人数によってどちらが管理しやすいかを考える。プロファイルが増えるとその分だけカスタムオブジェクト作成時など権限付与工程が発生するので、どちらのメリットをとるかという秤にかけることもある。
また、権限セットグループは多用すると管理が複雑になってしまうので注意すること。