1. Sales and Fusion Serviceの保護
  2. データ・セキュリティ・ポリシーからアクセス・グループ・ルールへの移行
機械翻訳について

データ・セキュリティ・ポリシーからアクセス・グループ・ルールへの移行

データ・セキュリティ・ポリシー、アクセス・グループ・ルール、またはその両方の組合せを使用して、営業およびサービス・データへのアクセスをユーザーに提供できます。

リリース22Bより前に営業アプリケーションの使用を開始した場合は、事前定義済のジョブ・ロールと、作成したカスタム・ジョブ・ロールによって、データ・セキュリティ・ポリシーを使用したデータ・アクセスがユーザーに提供されます。 ただし、データ・セキュリティ・ポリシーまたはアクセス・グループ・ルールを使用して、各タイプのロールが提供するアクセスを補足または調整できます。

また、提供するデータ・アクセスがアクセス・グループ・ルールのみを使用して達成されるように、カスタム・ジョブ・ロールを構成することもできます。 たとえば、ユーザーにカスタム営業担当ジョブ・ロールを割り当てて、アクセス・グループ・ルールを使用してオブジェクト・レコードにアクセスするようにできます。 これを行うには、カスタム・ジョブ・ロールに割り当てられたデータ・セキュリティ・ポリシーを非アクティブ化し、カスタム・ロールに対して生成されたシステム・アクセス・グループに同じアクセス権を提供するアクセス・グループ・ルールを割り当てます。

ノート: 事前定義済ジョブ・ロールのデータ・セキュリティ・ポリシーはロックされ、非アクティブ化できません。

カスタム・ロールを移行して、主にアクセス・グループ・ルールを介してデータ・アクセスを提供するプロセスには、5つのステップがあります:

  1. 非アクティブ化するデータ・セキュリティ・ポリシーの理解
  2. データ・セキュリティ・ポリシーに対応するアクセス・グループ・ルールの識別
  3. カスタム・ロール用に生成されたアクセス・グループへのルールの追加
  4. データ・セキュリティ・ポリシーの非アクティブ化
  5. データへのユーザー・アクセスの検証
    ヒント: 移行プロセスの前後のユーザー・データ・アクセスを比較するために使用できるいくつかのユースケースを考案することをお薦めします。 このようにして、ギャップを特定し、潜在的なユーザー・アクセスの問題を回避できます。

非アクティブ化するデータ・セキュリティ・ポリシーの理解

アクセス・グループ・ルールのデータ・アクセスを使用するためにカスタム・ジョブ・ロールを移行するプロセスの最初のステップは、カスタム・ロールに割り当てられたデータ・セキュリティ・ポリシーを識別し、非アクティブ化できるポリシーを決定し、アクセス・グループ・ルールに置き換えることです。

  1. ITセキュリティ・マネージャ・ジョブ・ロールを持つユーザーとしてアプリケーションにサインインし、「ナビゲータ」 > 「ツール」 > Sales and Service Access Management。を選択
  2. Sales and「サービス・アクセス管理」ページの「データ・ポリシーの管理」タブをクリックします。
  3. 「データ・ポリシーの管理」ページで、移行するカスタム・ロールを「ロール」フィールドで選択します。
    この例では、ロールが「営業担当カスタム」という名前であるとします。
  4. 「オブジェクト」フィールドでオブジェクトを選択します。 たとえば、「商談」オブジェクトを選択して、ロールに割り当てられた商談データ・セキュリティ・ポリシーを表示します。
  5. 「ポリシーの検索」をクリックします。
    「アクティブなポリシー」表には、営業担当カスタム・ジョブ・ロールに割り当てられている商談オブジェクトのアクティブなデータ・セキュリティ・ポリシーがすべてリストされます。
  6. 「編集」アイコンをクリックします。
    選択したロールおよびオブジェクトのアクティブなポリシー編集ページが表示されます。
  7. リストされたポリシーを確認し、ロック解除され編集可能なアクティブなデータ・セキュリティ・ポリシーを識別します。
    一部のポリシーはロックされており、非アクティブ化できない可能性があります。 たとえば、事前定義済ロールは編集できないため、事前定義済職務ロールから継承されたポリシーは非アクティブ化できません。 これらのポリシーの権限はグレー表示されます。
  8. 非アクティブ化の対象となるデータ・セキュリティ・ポリシーを識別します。

    ポリシーの条件名に'アクセス・グループ'への参照が含まれているポリシーは編集しないでください。 スクリーン・ショットに示されているこれらのポリシーは、ユーザーがアクセス・グループを介してオブジェクト・データにアクセスするために必要であり、カスタム・ロールに関連付けられたままである必要があります。


    アクセス・グループへのアクセス権を付与するデータ・セキュリティ・ポリシーを示すスクリーンショット。
  9. 非アクティブ化に適格な、ロックされていないアクティブなポリシーがすべて必要なかどうかを確認します:
    1. 必要な各ポリシーをノートにとり、ポリシーごとに、選択した現在の権限レベルをノートにとります。
      これらのポリシーと同じアクセス・レベルを提供する、対応するアクセス・グループ・ルールをアクティブ化する必要があります。
    2. 不要な各ポリシーをノートにとります。 対応するアクセス・グループ・ルールをアクティブ化しなくても、これらのポリシーを非アクティブ化できます。

      営業UI権限に基づいてアクセス権を付与するポリシーは、非アクティブ化できます。 これらのポリシーは冗長です。 これらの権限の条件名には、スクリーンショットに示すように、sales UIへの参照が含まれています。


      営業UI権限に基づいてアクセス権を付与するデータ・セキュリティ・ポリシーを示すスクリーンショット。
  10. アクセス・グループ・ルール・データ・アクセスを使用して移行する営業担当カスタム・ロールに関連付けられた各オブジェクトについて、ステップ3から8を繰り返します。 カスタム・ロールを移行して、すべてのオブジェクトまたは特定のオブジェクトに対してのみアクセス・グループ・ルールを使用できます。

結果:

プロセスの最後に、カスタム・ロールおよびオブジェクトについて、次のことを識別して注意する必要があります:
  • 非アクティブ化するすべてのデータ・セキュリティ・ポリシー
  • 対応するアクセス・グループ・ルールを割り当てる必要がある、非アクティブ化対象としてマークされたすべてのポリシー
  • 割り当てる各ルールに対して設定する必要があるアクセス・レベル

データ・セキュリティ・ポリシーに対応するアクセス・グループ・ルールの識別

カスタム・ジョブ・ロールのデータ・アクセスを提供する方法として、データ・セキュリティ・ポリシーをアクセス・グループ・ルールに置き換えるには、ロールに対して非アクティブ化する各ポリシーと同じデータ・アクセスを提供するルールを指定します。 この章では、アクセス・グループをサポートする各オブジェクトの表について説明します。 各表には、オブジェクトに定義されている各データ・セキュリティ・ポリシーに対応するアクセス・グループ・ルールがリストされています。

  1. 移行するオブジェクトの関連表を確認し、非アクティブ化する各ポリシーと同じアクセス権を提供するオブジェクト共有ルールをノートにとります。
  2. アクセス・グループ・ルールのデータ・アクセスを使用するように切り替える各オブジェクトについて、ステップ1を繰り返します。

    たとえば、Opportunityオブジェクトに定義されている各データ・セキュリティ・ポリシーが、そのオブジェクトに定義されているアクセス・グループ・ルールにどのようにマップされるかを確認するには、「商談オブジェクト・マッピング」表を確認します。 次に、必要に応じて、リード、アカウント、担当者などのプロセスを繰り返します。

    1つのデータ・セキュリティ・ポリシーを複数のアクセス・グループ・ルールにマップできます。 ポリシーを非アクティブ化する場合は、関連するアクセス・グループに対してポリシーがマップされているすべてのルールを有効にしてください。 たとえば、「商談オブジェクト・マッピング」表には次の行が含まれます:

    データ・セキュリティ・ポリシー・ビジネス・オブジェクト

    データ・セキュリティ・ポリシー事前定義インスタンス・セット

    データ・セキュリティ・ポリシー条件名

    アクセス・グループ・オブジェクト

    事前定義済ルール名

    事前定義済ルール番号

    事前定義済条件名

    事前定義済条件コード

    商談

    MOOOPTYZBS99904

    商談アカウント・チーム、アカウント・テリトリ・チームまたは上昇テリトリ階層のメンバーまたは管理チェーンにある表MOO_OPTYの商談にアクセス

    商談

    アカウント・チーム

    AccountPR9

    アクセス・グループ・メンバーがアカウントに関連付けられたテリトリのメンバーであるアカウント

    ACCOUNTTERRITORY

    商談

    MOOOPTYZBS99904

    商談アカウント・チーム、アカウント・テリトリ・チームまたは上昇テリトリ階層のメンバーまたは管理チェーンにある表MOO_OPTYの商談にアクセス

    商談

    アカウント・チーム階層

    AccountPR10

    アクセス・グループ・メンバーが、アカウントに関連付けられたテリトリの祖先であるテリトリのメンバーであるアカウント

    ACCOUNTTERRITORYHIER

    この場合、1つのデータ・セキュリティ・ポリシー(列3を参照)によって、テリトリ・チームとテリトリ・チーム階層メンバーシップに基づくデータ・アクセスが提供されます。 ただし、同じアクセスを提供するには、2つのアクセス・グループ・ルール、アカウント・テリトリ・チームとアカウント・テリトリ・チーム階層(列5を参照)を割り当てる必要があります。

カスタム・ロール用に生成されたアクセス・グループへのルールの追加

カスタム・ジョブ・ロールに対して非アクティブ化する各ポリシーに対応するアクセス・グループ・ルールを特定したら、ロールの作成時にカスタム・ロールに対して生成されたシステム・アクセス・グループにルールを割り当てます。 この方法では、オブジェクト・データへの既存のアクセス・パスは失われません。

カスタム・ジョブ・ロールを作成すると、そのロールに対してシステム・アクセス・グループが生成されますが、アクセス・グループ・ルールは割り当てられません。 前のステップで特定したルールをカスタム・アクセス・グループには手動で追加できますが、通常は、同様のアクセスを提供する別のアクセス・グループからオブジェクト共有ルールをコピーし、必要に応じてルールを編集する方が簡単です。

たとえば、Sales Representative Custom(営業担当カスタム)ジョブ・ロールを作成すると、システム・グループSales Representative Custom Group(営業担当カスタム・グループ)が生成されました。 オブジェクト共有ルールは、事前定義済のSales Representative (営業担当)ジョブ・ロール(営業担当グループ)に対して生成されたグループからコピーし、必要に応じてSales Representative Custom Group (営業担当カスタム・グループ)で編集できます。 使用するステップは次のとおりです。

  1. 営業およびサービス・アクセス管理作業領域にナビゲートします。
  2. 「アクセス・グループ」ページで、「リスト」メニューから「システム・グループ-ロール」を選択します。
  3. ルールをコピーするアクセス・グループを選択します。 この例では、「営業担当グループ」を選択します。
  4. 編集アクセス・グループ: 概要ページで、「アクション」メニューから「ルールのコピー」オプションを選択します。 「オブジェクト共有ルールのコピー」ダイアログが表示されます。
  5. コピー先グループ・ドロップ・ダウン・リストから、ルールのコピー先のグループを選択します。 この例では、「営業担当カスタム・グループ」を選択します。
  6. 「保存」をクリックします。 選択したグループにルールがコピーされます。
  7. アクセス・グループの編集で「保存してクローズ」をクリック: 概要サブタブ。
  8. ルールがコピーされたら、「アクセス・グループ」ページで、ルールのコピー先のアクセス・グループ(この場合は「営業担当カスタム・グループ」)を選択します。
  9. 編集アクセス・グループ: 概要ページで、オブジェクト・ルール・サブタブをクリックします。
  10. 前のステップでノートしたルールのリストに対して、グループに割り当てられた新しいルールをレビューします(データ・セキュリティ・ポリシーに対応するアクセス・グループ・ルールを識別します)。
  11. ルールの削除アイコンをクリックして、アクセス・グループで不要なルールを削除します。
  12. 「ルールの追加」をクリックし、追加するルールを選択して、必要な追加のルールを追加します。
  13. 必要なルールの場合:
    1. ルールに定義されているアクセス・レベルが正しいことを確認します。

      ルールのアクセス・レベルは、対応するデータ・セキュリティ・ポリシーに定義されているレベルと同じである必要があります。 必要に応じてアクセス・レベルを変更します。

    2. グループに対して有効にする各ルールの「有効化」チェック・ボックスをクリックします。
    3. ルール名のリンクをクリックして、非アクティブであるルールをアクティブ化します。

      編集「オブジェクト共有ルール」ページで、「アクティブ」チェック・ボックスをクリックしてルールをアクティブ化し、「保存してクローズ」をクリックします。

  14. 「オブジェクト共有ルール」ページで、「保存してクローズ」をクリックして変更を保存します。
  15. 「アクセス・グループ」ページに移動し、オブジェクト「ルール」タブを選択し、「アクション」メニューから「ルールの公開」を選択して、カスタム・アクセス・グループに対してコピーして有効にした新しいルールを公開します。

関連トピック

データ・セキュリティ・ポリシーの非アクティブ化

必要なアクセス・グループ・ルールをカスタム・アクセス・グループ(この場合は営業担当カスタム・グループ)に追加すると、非アクティブ化するデータ・セキュリティ・ポリシーの識別ステップで、非アクティブ化の候補として指定したポリシーを非アクティブ化します。

ポリシーに割り当てられているすべての権限を削除することで、ポリシーを非アクティブ化できます。 あるいは、ポリシーの終了日を入力し、これらのステップを使用して過去の日付を指定できます。

  1. 営業およびサービス・アクセス管理作業領域にナビゲートします。
  2. 「データ・ポリシーの管理」タブをクリックします。
  3. 「ロール」フィールドで、カスタム・ジョブ・ロール(「営業担当カスタム」など)を検索します。
  4. 「オブジェクト」フィールドで、「商談」などのオブジェクトを選択し、「ポリシーの検索」をクリックします。
  5. 「アクティブなポリシー」表の編集アイコンをクリックします。

    選択したロールおよびオブジェクトのアクティブなポリシー編集ページが表示されます。

  6. 「アクティブなポリシー」表で、オブジェクトの非アクティブ化するポリシーごとに、ポリシーの「終了日」フィールドで渡された日付を選択します。 たとえば、昨日の日付を選択します。
  7. アクセス・グループ・ルールのデータ・アクセスを使用して移行するロールに割り当てられている他のすべてのオブジェクトについて、ステップ3から5を繰り返します。
  8. 「保存してクローズ」をクリックします。

関連トピック

データへのユーザー・アクセスの検証

移行プロセスがオブジェクト・データへのユーザー・アクセスに影響しなかったことを確認します。

Testグループ・ルールにアクセスするために移行した各タイプのオブジェクト・データへのユーザーのアクセス。 カスタム・ロールを割り当てられたユーザーが、移行前と同じデータへのアクセス権を持っていることを確認します。