本記事では、『請求管理ロボ for Salesforce』のインストールおよび運用において推奨する権限管理の方針について解説します。
弊社では、運用管理の工数削減とトラブル防止の観点から、「権限セット」による個別の権限付与ではなく、インストール時の「すべてのユーザにインストール」設定を推奨しております。
1. 推奨設定:すべてのユーザにインストール
パッケージのインストール(または更新)時には、以下の設定を選択することを強く推奨します。
・ 選択設定: 「すべてのユーザにインストール」
◆ この設定を推奨する理由
この設定を選択すると、組織内のすべてのプロファイルに対し、パッケージに含まれるオブジェクトや項目へのアクセス権限(メタデータ権限)が自動的に付与されます。
「すべてのユーザ」とありますが、セキュリティ上の懸念はありません。
実際のデータ閲覧や機能利用の可否は「AppExchangeライセンスの割り当て」によって制御されるためです。
※ライセンスがないユーザは、権限があっても画面やデータには一切アクセスできません
◆ メリット
・ メンテナンスフリー:
バージョンアップで新しい機能(オブジェクトや項目)が追加された際、自動的に全プロファイルに権限が反映されます。
・ 設定ミスの防止:
「権限はあるがライセンスがない」状態のユーザは機能が見えないだけなので、セキュリティ事故にはなりません。
2. 非推奨設定:管理者のみのインストール(権限セットによる管理)
以下の設定および運用方法は、管理コストの増大とエラー発生のリスクが高いため、推奨しておりません。
・ 選択設定: 「管理者のみのインストール」
・ 運用方法: 一般ユーザに対して、個別に作成した「権限セット」を割り当てて制御する
◆ 非推奨とする理由(運用上のリスク)
管理パッケージの権限管理において「権限セット」を使用すると、主にアップデート(バージョンアップ)時に以下の問題が発生します。
① アップデート時の工数増大
パッケージのバージョンアップにより新しいコンポーネント(新規オブジェクトや新規項目)が追加された場合、それらの権限は既存の「権限セット」には自動追加されません。
システム管理者は、アップデートのたびにリリースノートを確認し、手動で権限セットを編集して新しい権限を追加する必要があります。
② 設定漏れによるエラーの発生
手動での更新作業は設定漏れを引き起こしやすく、結果としてユーザ側で以下のようなトラブルが発生する原因となります。
・ 「画面に特定の項目が表示されない」
・ 「保存しようとすると『権限不足』のエラーが出る」
・ 「急に機能が使えなくなった」
③ 権限管理の複雑化
プロファイル側の権限と権限セット側の権限が混在することになり、トラブルシューティング時の原因切り分け(どこで権限がブロックされているか)が困難になります。
3. まとめ:推奨される運用フロー
トラブルを未然に防ぎ、スムーズな運用を行うために、以下のフローを推奨いたします。
1. インストール/更新時
・ 「すべてのユーザにインストール」を選択する。
・ これにより、全プロファイルにシステム的なアクセス権限(土台)を一括付与します。
2. 利用ユーザの制御
・ 「AppExchangeライセンスの割り当て」のみで行う。
・ ライセンスを付与されたユーザだけが、システムを利用できます。
この運用により、システム管理者は細かな権限メンテナンスから解放され、ライセンスの付与・剥奪のみでシンプルに利用者を管理することが可能になります。
関連ヘルプ記事
・ 【請求管理ロボ for Salesforce】AppExchangeライセンスの割り当て有無によるユーザ権限の違い
・ 【請求管理ロボ for Salesforce】初期セットアップガイド・Sandbox作成手順
