認定Platformアプリケーションビルダー　備忘録③

◆プロファイル 
　・オブジェクト・項目へのアクセスを制御する 
　※既存のプロファイル一部の権限のみを拡張したい場合は、権限セットを使用 

◆デフォルトのレコードアクセス権 
　基準はレコードの所有者 
　・適切なプロファイル権限がある限り、レコードを所有するユーザは 
 1、レコードの参照と編集 
 2、別の所有者へのレコード所有権の移行 
 3、レコードの削除 
 上記3つが操作可能 

◆組織の共有設定、ロール階層、共有の関係 
　組織の共有設定でオブジェクトが非公開または公開（参照のみ）に制限されている場合 
　組織の共有設定 
　アクセスを制限 
　↓ 
　ロール階層 
　アクセス開放（上位から下位の縦方向アクセス） 
　↓ 
　共有ルール 
　アクセス開放（横方向アクセス） 
　↓ 
　共有の直接設定 
　アクセス開放（柔軟） 

◆組織の共有設定 
　・各オブジェクトについて、ユーザが自分の共有していないレコードにアクセスする場合のデフォルトレベルを設定 
 　公開/参照・変更可能 
 　公開/参照のみ 
 　非公開 
 　のどれかになる 

◆組織の共有設定の設計 
　基本は、対象オブジェクトに対して一番制限を厳しくするユーザを基本に検討する 
 1、制限すべきユーザは誰か 
 2、参照することを許されないユーザがいるかどうか：いる→非公開 
 3、編集することが許されないレコードが存在するか：する→参照のみ、しない→参照・更新可能 

◆ロールおよびロール階層 
　ロールとは？ 
　・ユーザに与えるレコードへのアクセスレベルをコントロールするもの 
　・1ユーザ1ロールが割り当て可能 
　・ロール割り当ては必須ではない 
　ロール階層とは？ 
　・レコードへのアクセスレベルをコントロール 
 　　基本的に階層内で自分より下位のロールユーザが所有するデータ、およびそのユーザに共有されている権限を継承する 
　・必ずしも実際の会社組織と同じになるわけではない 
　※考慮事項 
 ・標準オブジェクトでは、レコードのアクセス権がロール階層を通して上位に拡張される 
 ・カスタムオブジェクトでは、アクセス権をロール階層の上位に拡張するかどうかをシステム管理者が選択することができる 

◆共有ルール 
　ユーザグループに対してオブジェクトごとに追加のレコードアクセスを許可する 
　3つの要素で構成されている 
　・共有するレコードは？ 
 　→特定のユーザが所有 
 　→特定の条件に適合 
　・共有するユーザは？ 
 　→公開グループ 
 　→ロール 
 　→ロールおよび下位ロール 
　・アクセスレベルは？ 
 　→参照のみ 
 　→参照/更新 

◆手動共有設定（共有の直接設定） 
　自分の個々のレコードに対する一時的なアクセスを、ユーザ、ロール、公開グループに付与することができる 
　・設定対象者 
 　→レコードの所有者、ロール階層における所有者のマネージャ、管理者 
　・設定対象オブジェクト 
 　→組織の共有設定で公開（参照のみ）か、非公開に設定されたオブジェクト 
　※Lightningでは使用できません 

◆アクセス制御の確認 
　・プロファイルの権限 
 　　・システム権限 
　　 　-すべてのデータの参照 
 　　　-すべてのデータの編集 
 　　・オブジェクト権限 
 　　　-すべて変更 
　　　 　-すべて表示 
　・レコードの所有者 
　・組織の共有設定 
　　 -公開/参照のみ 
　　 -公開/参照・更新 
　・ロール階層 
　　 -所有者より上位か？ 
　・共有 
 　　-共有ルール 
　　 -共有の直接設定 

========================================================================