データアクセスコントロール

データ アクセスコントロール
∼取引先・商談データへのアクセス権設定、チームセリング∼
株式会社 セールスフォース・ドットコム
2007年 4月
Salesforceは、お客様の業務に合わせ顧客・案件情報のアクセス権や利用ユーザ毎の
機能制限を様々な形で制御することが可能です。
当資料では、データに対するアクセスコントロールをプロファイル/ロールの設定や共有モデル、
チームセリング(取引先チーム/商談チーム)を利用して、どのように実現するかをご説明いたします。
データアクセス権設定例
同一営業部内では案件情報を共有するが、営業部間では参照させない。
営業部門では、課のレベル内で担当顧客情報を共有し、
管理部門には、全営業部門の担当顧客情報へのアクセス権を付与する。
顧客担当営業の変更権限(所有者変更)は一部のユーザのみに付与する。
利用ユーザの部署やタイトルによって、顧客管理画面を変更する。
データのエクスポート権限は承認された必要最小限の社員に付与する。
顧客情報にある財務関連項目は特定ユーザにしか参照させたくない。
派遣社員には営業時間内のみログイン可能とする。
ログイン可能な場所を社内だけに限定する。
P.2
2
組織&データアクセス権の設定例
営業担当
(所有者)
第一営業部
第一部長
XXX事業部
取引先
商 談
加藤 AAA株式会社
商談AAA-1
加藤1
山下 BBB株式会社
商談BBB-1
山下1
斉藤 CCC株式会社
商談CCC-1
斉藤1
事業部長
営業担当
(所有者)
第二営業部
第二部長
案件担当
(所有者)
商 談
案件担当
(所有者)
商談CCC-2
田中2
田中 MMM株式会社
商談MMM-1
田中2
本田 NNN株式会社
商談NNN-1
本田2
堀田 LLL株式会社
商談NNN-2
本田2
取引先
サービス部
サービス部長
取引先・商談に対するアクセス権
参照権限
更新権限
取引先
事業部全体で参照可能
営業主担当(取引先所有者)とその上司のみ可能
商 談
営業部内でのみ参照可能
1) 案件主担当(商談所有者)とその上司のみ可能
2) 個別商談毎にサービス部員を商談チームとし、更新可能とする。
3
P.3
プロファイル/ロール概要
∼ データアクセス権を制御する基本要素 ∼
1) プロファイル
プロファイルとは、Salesforceのオブジェクト(タブ/項目/レイアウト)に対するアクセス権や各種機能の実行権限を
ユーザに付与するための権限設定情報の集まりです。ユーザにプロファイルを割当てることで、権限のコントロールが
可能となります。(例:システム管理者、標準ユーザー等)
2) ロール
ロールとは、会社組織上の階層を定義するもので、ロールの設定によりユーザが組織のデータにアクセスできるレベル
が決まります。
部門長には、部下の保有データに対するフルアクセス権(参照/編集/削除/所有者の移行)を付与するために、
上司用のロールを部下のロールの上位に作成するなど、組織階層を元にデータアクセスコントロールを考慮しながら
設定を行います。
※すべてのユーザには、プロファイルとロールを割り当てる必要があります。
ユーザが所属できるロールは1つのみ。適用できるプロファイルも1つとなります。
1)オブジェクトに対するアクセス権
取引先
×
商談
A株式会社
A商談
B株式会社
B商談
×
C株式会社
2)個別データに対するアクセス権限
C商談
プロファイルによる制御
取引先タブへアクセス可能。
商談タブはアクセス不可。
ロールによる制御
A社,B社の顧客データのみ
アクセス可能。
P.4
4
データアクセス権における基本原則
1) データ所有者と上司の権限
・ Salesforceのデータには、所有者が設定されています。この所有者とその上司(所有者の上位ロールに所属
するユーザ)には、各データに対するフルアクセス権(参照/編集/削除/所有権の移行)が付与されます。
・ あるユーザーに他ユーザが所有するデータへのアクセス権が付与された場合、付与されたユーザの上司
にも同一のアクセス権が付与されます。
2) システム管理者
システム管理者には、Salesforce内の全てのデータに対するフルアクセス権が付与されます。
また、「すべてのデータの参照/編集」権限を付与されたユーザは全データへの参照/編集権限を持ちます。
*この権限はプロファイルにて設定可能
データアクセスレベル
権限レベル
高
低
説
明
フルアクセス
データレコードの参照、編集、削除、所有者の移行ができます。また、他の
ユーザに対してアクセス権を拡張することも可能です。
参照・更新
データレコードの参照、編集を行うことができます。また、関連するデータ
レコード、メモ、添付ファイルを追加できます。
参照のみ
データレコードの参照を行うことができます。また、関連するレコードを追加する
ことができますが、レコードの編集やメモ、添付ファイルの追加はできません。
非公開
データレコードへのアクセス権はありません。
P.5
5
データアクセスコントロール設定の流れ
【設定の考え方】
データアクセス権設定の考え方は、デフォルトの共有モデル(下表③)にて、アクセス権
を制限した状態から、④以降の設定で必要なアクセス権を付与/拡張する方式。
設定方法
説
明
① プロファイル
プロファイル毎の各タブに対するアクセス権の設定
② ロール
組織階層によるアクセス権の設定
③ デフォルト共有設定
Salesforce組織デフォルトの共有モデル設定
④ タブ毎の共有ルール
タブ毎の共有ルール設定
⑤ 個別データ毎の共有
個別データレコード毎の共有設定
⑥ チームセリング
取引先/商談チームによるデータレコード毎の共有設定および、
チームメンバーの一括再割り当て
⑦ データ所有者の変更
個別データレコードの所有者移行および、所有者の一括変更
※ 上表のうち、プロファイルによる設定が最も強く機能する。
ロール以下(②∼⑥)の設定において、相反する権限設定が行われた場合、付与された権限の中
で、最も高い権限が付与される。
P.6
6
データアクセス権の設定方法
① プロファイル
…8
② ロール
…12
③ 共有設定
…14
④ タブ毎の共有ルール
…18
⑤ 個別データの共有ルール …21
⑥ チームセリング
…22
⑦ 所有者の変更
…26
7
① プロファイル 制御可能な権限設定
デフォルトのプロファイルとして「システム管理者」、「ソリューション管理者」、「マーケティングユーザ」、「契約管理者」、
「参照のみ」、「標準ユーザ」の6つのプロファイルが用意されています。
これらのプロファイルでは、管理者権限、一般ユーザ権限、タブへの権限設定は変更できません。
お客様独自作成のプロファイル(カスタム プロファイル)はEnterpriseEdition,UnlimitedEditionで作成可能です。
権限設定項目
概
要
アプリケーション
アプリケーションに対するアクセス権を設定可能。{アクセス可/アクセス不可/デフォルト}
タブ
タブに対するアクセス権 {参照/作成/編集/削除} および、タブの表示設定 {デフォルト表示
/デフォルト非表示/タブを隠す}を設定可能。
*タブを隠してある場合でもアクセス権があれば、編集や削除を実行可能。
項目
項目に対するアクセス権 {アクセス可/アクセス不可/参照のみ}を設定可能。
レイアウト
表示する画面レイアウトの割り当てが可能。またレコードタイプを利用することで、同一プロファイ
ルでも複数のレイアウトを利用するように制御可能。
管理者権限
管理者機能に対する権限をON/OFF設定可能。
例) ユーザの管理、カスタマイズ権限、すべてのデータの参照/編集、所有権の移行、
チーム再割り当てウィザードの使用、公開レポートの管理、ダッシュボードの管理 など。
一般ユーザ権限
一般ユーザ機能に対する権限をON/OFF設定可能。
例) 個人データのインポート、リードの管理、レポートの作成とカスタマイズ、
レポートのエクスポート、契約の承認、ケースの管理、メールの送信 など
ログイン制御
ログイン時間帯の制御、ログインIPアドレスの制御が可能。
P.8
8
プロファイルによるデータアクセス権の設定1
設定画面 : 「設定」→「管理者設定」→「ユーザの管理」→「プロファイル」
実行権限者: システム管理者 もしくは以下の権限をもつユーザが実施可能。
カスタムプロファイルの作成/編集/削除には「ユーザの管理」権限が必要。
ユーザにプロファイルを割り当てるには、「すべてのデータの編集」権限が必要。
カスタムプロファイル設定
◆ システム管理者権限
管理者権限の中から、必要な
権限を付与可能。
◆ カスタムアプリケーション設定
アプリケーションに対する
アクセス権を設定可能。
P.9
9
プロファイルによるデータアクセス権の設定2
カスタムプロファイル設定
◆ タブの表示設定
タブに対する表示設定が可能。
設定できる表示設定は
「デフォルトで表示」、「デフォルト
で非表示」、「タブを隠す」。
◆ 標準オブジェクト権限
標準オブジェクト(タブ)に対する
アクセス権を設定可能。
設定できる権限は 「参照」
「作成」「編集」「削除」。
※標準オブジェクト権限には依存関係があります。
例) 「編集」権限をOFFにすると「削除」権限も自動的にOFFとなる。
P.10
10
プロファイルによるデータアクセス権の設定3
カスタムプロファイル設定
商談項目
◆ 項目レベルセキュリティ
項目に対するアクセス権設定が
設定可能。
設定できるアクセス権は
「アクセス可」、「参照のみ」、
「アクセス不可」。
商談レイアウト (レコードタイプ有りタイプ)
カスタムオブジェクト
◆ レイアウトの割り当て
画面レイアウトの割当てが可能
レコードタイプの設定がある
場合は、プロファイル別レコード
タイプ別にレイアウトを指定。
P.11
11
② ロール
ロール設定とユーザの所属ロールによりユーザが組織のデータにアクセスできる権限レベルが決まります。
株式会社恵比寿商事
社長・役員
ロール上位者は、部下の所有するデータに対する
フルアクセス権(参照/編集/削除/所有権の移行)
を持ちます。
ロール間の組織横断的なデータアクセス権
の付与は、共有ルールの設定や
チームセリング機能にて
制御可能です。
他のユーザが所有するデータへの
アクセス権を付与された場合、その
ユーザの上司にも同一の
アクセス権が付与されます。
営業本部
管理本部
【設定ヒント】
最下レベルのロールは
同一組織内の上司を
上位ロールとする。
東京営業部
部長
関西営業部
部長
サポート部
部長
企画部
部長
東京営業部
関西営業部
サポート部
企画部
・・・ ロール
・・・ ユーザ
P.12
12
ロールによるデータアクセス権の設定
設定画面 : 「設定」→「管理者設定」→「ユーザの管理」→「ロール」
実行権限者: システム管理者 もしくは「ユーザの管理」権限を持つユーザ
ロール設定
※所有する取引先に関連した他ユーザ所有の商談/ケースへのアクセス権設定
下記の組織例において、顧客:AAA株式会社様に対する3つの案件のうち、顧客所有者である加藤さん以外の方が
所有する案件に対して、顧客所有者である加藤さんのアクセス権を設定可能。
ロール
第一営業部
営業担当
(所有者)
取引先
商 談
案件担当
(所有者)
加藤
AAA株式会社
商談AAA-1
加藤
斉藤
BBB株式会社
商談AAA-2
斉藤
商談AAA-3
井上
XXX事業部
事業部長
第二営業部
井上
加藤さんから見た
これら商談に対する
アクセス権
P.13
13
③ 共有設定
共有設定とは、Salesforce全体の
データアクセス権を定義した組織のデータ共有モデル。
【共有ルール設定の基本的な考え方】
部署ごとに、データアクセス制限をかける設定を行う場合、タブ毎の「デフォルトの共有設定」
でアクセス権を限定した上で、必要部署への権限を「個別の共有ルール」にて付与していく形で
設定を行う。
タブ毎の権限付与方法は、データ所有者の所属部署と共有先の部署、アクセス権の3つを指定する。
部署としては、ロール、ロール&下位ロール、公開グループで指定可能。
*1 公開グループとはユーザ、ロールを組み合わせてグループ化したもの。
部署横断的なプロジェクトチームなどに利用可能です。
【設定例】
取引先は全社で参照可能とし、商談はすべて営業本部で参照可能とする場合
設定種別
タブ
設 定 内 容
取引先
参照のみ
商 談
非共有
商 談
所有者の所属 − 公開グループ : 組織全体
共有先
− ロール&下位ロール : 営業本部
アクセス権
− 参照のみ
デフォルトの共有設定
タブ毎の共有ルール
P.14
14
共有ルール設定
設定画面 : 「設定」→「管理者設定」→「セキュリティのコントロール」→「共有設定」
デフォルトの
共有設定
タブ毎の
共有ルール設定
P.15
15
共有ルールで設定可能なアクセス権
種 別
デフォルトの
共有設定
タブ毎の
共有ルール
対象オブジェクト
選択可能アクセス権、その他備考
リード
{非公開/参照のみ/参照・更新/参照・更新・所有権の移行}
取引先
(取引先責任者、契約、納入商品)
{非公開/参照のみ/参照・更新}
商談
{非公開/参照のみ/参照・更新}
ケース
{非公開/参照のみ/参照・更新/参照・更新・所有権の移行}
活動
{非公開/親レコードに連動}
カレンダー
{詳細非表示/詳細非表示・新規追加/詳細表示/
詳細表示・新規追加}
価格表
{アクセス権限なし/参照のみ/使用}
カスタムオブジェクト
{非公開/参照のみ/参照・更新}
リード
{参照のみ/参照・更新}
取引先
(取引先責任者、契約、納入商品)
{参照のみ/参照・更新}
*取引先に関連する商談およびケースに対するアクセス権も設定可
それぞれ{非公開/参照のみ/参照・更新}
商談
{参照のみ/参照・更新}
ケース
{参照のみ/参照・更新}
カスタムオブジェクト
{参照のみ/参照・更新}
P.16
16
デフォルトの共有設定
設定画面 : 「設定」→「管理者設定」→「セキュリティのコントロール」→「共有設定」
実行権限者: システム管理者 もしくは「アプリケーションのカスタマイズ」、「ユーザの管理」権限を持つユーザ
デフォルトの共有設定では、各タブに対するデフォルトの共有設定を行うことができます。
設定できるタブは、リード、取引先、商談、ケース、活動、カレンダー、価格表、カスタムオブジェクトです。
※カスタムオブジェクトの共有設定
カスタムオブジェクトを親子関係にてリレーション設定した場合、アクセス権はリレーション元である親レコードの共有設定に依存。
※価格表の共有設定
「使用」以外の設定を行った場合は、価格表詳細画面の「共有」ボタンから共有ルール設定が可能。
“非公開”と設定した場合、
各データはその所有者と上司、システム管理者のみにアクセス権が与えられ、他のユーザは
アクセス不可となる。(同一ロール内においても他のユーザのデータにはアクセス不可)
P.17
17
④ タブ毎の共有ルール
設定画面 : 「設定」→「管理者設定」→「セキュリティのコントロール」→「共有設定」
実行権限者: システム管理者 もしくは「ユーザの管理」権限を持つユーザ
タブ毎の共有ルールでは、デフォルトの共有設定に付加する形でアクセス権を拡張することができます。
設定できるタブは、リード、取引先、商談、ケース、カスタムオブジェクトです。
■ 取引先の共有ルール
取引先の共有ルールでは取引先のアクセス権とともに、該当取引先に関連付く商談およびケースに
対するアクセス権の設定を行うことが可能です。
特定の取引先が共有された場合、この取引先に関連付いた商談は所有者に関係なくアクセス権を付与
されます。
※所有者の所属、
共有先ともに、
ロール、
ロール&下位ロール、
公開グループの中
から選択可能です。
■ 他タブの共有ルール
P.18
※価格表は詳細画面から、共有ルールの設定が可能。価格表ごとに利用可能ロールを設定
「商品」タブ→「価格表の管理」→「価格表名」選択→「共有」ボタン
18
タブ毎の共有ルール 設定例(取引先の共有ルール)
【社内組織】
ロール
営業担当
(所有者)
取引先
商 談
案件担当
(所有者)
加藤
AAA株式会社
商談AAA-1
加藤
第一営業部
斉藤
BBB株式会社
商談AAA-2
斉藤
第二営業部
井上
商談AAA-3
井上
XXX事業部
事業部長
営業企画部
上田
【データアクセス権の要件】
1) 第一営業部では、所有する取引先/案件を部内で共有し、他の営業部へは非公開とする。
2) 第一営業部の取引先と、その取引先に関連する商談/ケースを営業企画部へ共有する。
デフォルトの共有設定 (取引先、商談のみ)
取引先のアクセス権
非公開
商談のアクセス権
非公開
取引先: 共有ルール
所有グループ
共有先
取引先のアクセス権
商談のアクセス権
ケースのアクセス権
ロール: 第一営業部
ロール: 第一営業部
参照・更新
参照のみ
参照のみ
ロール: 第一営業部
ロール: 営業企画部
参照のみ
参照のみ
参照のみ
営業企画部 上田様は、
・第一営業部が所有する取引先、商談への参照権限を持ち、第二営業部が所有する商談AAA-3
についても、第一営業部が所有する取引先に関連しているため参照権限を持つ。
・この様に、「取引先の共有ルール」内で設定する商談のアクセス権の設定では、共有された
取引先に関連付くすべての商談にアクセス可能となる。
P.19
19
タブ毎の共有ルール 設定例(商談の共有ルール)
【社内組織】
ロール
営業担当
(所有者)
取引先
商 談
案件担当
(所有者)
加藤
AAA株式会社
商談AAA-1
加藤
第一営業部
斉藤
BBB株式会社
商談AAA-2
斉藤
第二営業部
井上
商談AAA-3
井上
サービス本部
石田
XXX事業部
事業部長
【データアクセス権の要件】
1) 第一営業部の商談をサービス本部に共有(参照・更新)する。
デフォルトの共有設定 (商談のみ)
商談のアクセス権
非公開
商談: 共有ルール
所有グループ
ロール: 第一営業部
共有先
ロール: サービス本部
商談のアクセス権
参照・更新
※サービス本部 石田様は、
・第一営業部が所有する商談への参照・更新権限を持ちます。
また、商談へのアクセス権を持つことで、自動的に関連する取引先への参照権限を持ちます。
・第二営業部が所有する商談にはアクセスできません。
P.20
20
⑤ 個別データ毎の共有
設定画面 : 対象データの詳細画面→「共有」ボタン
実行権限者: 所有者、ロール上位者、システム管理者
顧客/案件担当者は、自分が所有するデータを他のユーザに共有することが可能です。
各データの詳細画面にて「共有」ボタンをクリックし、共有したいユーザとアクセスレベルを設定します。
取引先
特定のデータに対し公開権限を拡張
※共有先は、
ユーザ、ロール、
ロール&下位ロール、
公開グループの中
から選択可能です。
※共有ボタンは取引先の共有設定を「非共有」等、アクセス制限を
行った場合のみ表示されます。
また、画面レイアウトの編集により非表示とすることも可能です。
※共有設定を行った場合、共有されたユーザの上位ロール者
にも部下と同一のアクセス権が自動的に付与されます。
P.21
21
⑥ チームセリング (取引先チーム、営業チーム)
設定画面 : 対象データの詳細画面→チームの「追加」ボタン
実行権限者: 所有者、ロール上位者、システム管理者 (取引先チームでは、該当取引先データに対する更新権限保持者もメンバー追加が可能)
顧客/案件担当者は、取引先や商談に対してチームとして活動する社内ユーザをメンバー登録し、それぞれ
の役割とアクセス権を設定することができます。この設定を行うことでメンバーとして登録されたユーザは、
該当データへのアクセスが可能となります。
登録されたメンバーは取引先や商談の関連リストに名前、役割、権限が一覧表示されます。
レポートを利用することでチームメンバーに関する商談レポートやダッシュボードが作成可能です。
取引先 詳細画面
※チームセリングには、取引先チームと商談の営業チームの2種類があり、
業務に合わせていづれもご利用いただけます。
※取引先チーム内の更新権限保持者が新たなメンバーを追加する場合、
参照権限のみを付与可能。(営業チームでは不可)
※ダッシュボード、
レポートによる
可視化も可能
メンバー追加を行うと、そのメンバーの上司も同一の権限が付与されます。
また、商談に対するアクセス権が付与された場合は、関連する取引先への
参照権限も同時に付与されます。
P.22
22
チームセリング機能の有効化
チームセリング機能を利用する場合は、以下の有効化の設定が必要となります。
1)チームセリング機能の有効化
取引先チーム : 「設定」→「アプリケーションの設定」→「カスタマイズ」→「取引先」→「取引先チーム」
営業チーム : 「設定」→「アプリケーションの設定」→「カスタマイズ」→「商談」→「商談チームセリング」
2)チーム内の役割の設定
メンバーの役割として、選択可能な役割を追加/変更する。
3)ページレイアウト変更
取引先/商談のページレイアウトを編集し、取引先チーム、
営業チームの関連リストを表示する。
有効化の時点でも設定可能。
P.23
23
デフォルトチームの設定
設定画面 : 「設定」→「私の個人情報」→「個人情報」 または 「設定」 →「管理者設定」→「ユーザの管理」→「ユーザ」
実行権限者: 所有者、システム管理者、もしくは「ユーザの管理」権限を持つユーザ
個々のユーザ(営業担当)は、デフォルトのチームメンバーを登録しておくことが可能です。
※取引先詳細画面から、
「デフォルトのチーム追加」ボタン
でデフォルトメンバーを追加可能
となります。
※デフォルトメンバーの追加画面内で、自動的にメンバーを追加するか否かの設定が可能。
※新規取引先作成時や取引先
の担当者変更が発生した場合に
自動的にデフォルトのチーム
メンバーがセットされるようにする
ことも可能です。
※所有する全取引先にメンバーを
追加することが可能。
P.24
24
チームの一括再割り当て
設定画面 : 「設定」→「管理者設定」→「データの管理」→「チームの一括再割り当て」
実行権限者: 所有者、システム管理者、もしくは「チーム再割り当てウィザードの使用」権限を持つ&該当データに対する
フルアクセス権を持つユーザ
チームの一括再割り当て機能では、抽出条件に適合した複数の取引先/商談に対して、
メンバーの追加/削除/置き換え処理を一括で実行可能です。
<実施手順> :メンバー追加のケース
1) メンバーの追加/削除/置き換えの中から実行する処理を選択。
2) 抽出条件をセットしてデータを一覧表示し、
一括割り当てを行う該当データを選択する。
3) メンバー、役割、アクセス権を設定する。
P.25
25
⑦ 所有者の変更
設定画面 : 対象データの詳細画面→所有者の横にある「変更」ボタン
実行権限者: 所有者、ロール上位者、システム管理者 もしくは「所有権の移行」権限&データ参照権限を持つユーザ
<実施手順> :取引先の所有者変更
※移行によって、現在の所有者が所有する
進行中の商談や取引先責任者なども移行
されます。
※オプションとして以下の所有者変更が可能
現在の取引先チームを引き継ぐ。
完了した商談
進行中のケース、完了したケース
P.26
26
取引先所有者の一括変更
設定画面 : 「設定」→「管理者設定」→「データの管理」→「所有権の一括変更」
実行権限者: システム管理者、もしくは「所有権の移行」権限を持つユーザ
「所有権の一括変更」はリード、
取引先、カスタムオブジェクトに対して
実施可能
<実施手順>
1) 新しい所有者を移行先として指定。
同時に移行元、抽出条件を
設定し、取引先を一覧表示する。
2) 移行する取引先を選択後、「移行」
ボタンを押す。
※移行によって、現在の所有者が所有する
進行中の商談、取引先責任者なども移行
されます。
※オプションとして、以下の所有者変更可
-現在の所有者以外のユーザが
所有する商談
-完了した商談
-進行中のケース、完了したケース
-現在の取引先チームを利用
P.27
27