目次
3. Step 2: 権限セット側の 「すべてのレコードの参照」「すべてのレコードの編集」 を確認
4. Step 3: プロファイルの「すべてのレコードの参照」を確認
1. はじめに
本手順は、docutize をご利用中のお客様が出力履歴・実行履歴の参照範囲が想定どおりに設定されているかご自身で確認するための手順です。
実施にあたって
- Salesforceのシステム管理者権限を持つユーザーで実施します。
- 検証環境(Sandbox)・本番組織のどちらでも実施できます。
- 本手順は確認のみです。変更操作は以下の記事の内容に従って対応してください。
【重要】帳票DX for Salesforceにおける履歴情報のアクセス制御に関する推奨設定
【重要】docutize v1.101 へのアップデート手順
想定外の参照が発生するケース
以下の 3 つの設定のいずれかに該当する場合、一般ユーザーが他のユーザーの履歴レコードを閲覧できてしまう可能性があります。
| 確認箇所 | 内容 |
| (a) 権限セット | docutize v1.100 以前の場合、docutizeが内包する権限セット「Docutize General User Permission Set」内の「D3Worker 実行履歴」オブジェクトへの権限設定にて 「すべてのレコードの参照」が設定されている。 |
| (b) プロファイル | 一般ユーザー向けプロファイルで参照権限が付与されていると(a)(c)の設定を行っていても参照が可能になる。 |
| (c) 共有設定 | 共有設定が「公開/参照・更新可能」の場合、共有ルール/制限ルールがないかぎり全ユーザーが全件参照可能になる。 |
2. Step 1: 対象オブジェクトの 共有設定 の確認
目的:共有設定が「非公開」になっているかを確認します。「公開/参照・更新可能」のままになっていると、すべてのユーザーが全件参照できてしまいます。
手順:
① Salesforceの設定 → 共有設定 を開く
② デフォルトの共有設定 > 組織の共有設定 で以下を確認する
・帳票出力履歴(Output History) → 「非公開」(内部/外部ともに)
・D3Worker実行履歴(D3Worker Execution History) → 「非公開」(内部/外部ともに)
3. Step 2: 権限セットの「すべてのレコードの参照」「すべてのレコードの編集」を確認
目的:パッケージに同梱されている権限セットの設定を確認します。
手順:
① Salesforceの設定 → 権限セット を開く
② 下表の権限セットを順に開き、「オブジェクト設定」 → 各対象オブジェクトの「すべてのレコードの参照」「すべてのレコードの編集」を確認する
| 権限セット | 想定挙動(最新版 v1.101 以降) | 警告: 現行 v1.100 以前の挙動 |
| Docutize Full Permission Set | 「D3Worker実行履歴」「帳票出力履歴」ともに「すべてのレコードの参照」「すべてのレコードの編集」にチェックあり(管理者向け・許容範囲) | 同左 |
| Docutize General User Permission Set | 「D3Worker実行履歴」「帳票出力履歴」ともに「すべてのレコードの参照」「すべてのレコードの編集」にチェックなし | 「D3Worker実行履歴」の「すべてのレコードの参照」「すべてのレコードの編集」にチェックが入っている可能性あり |
4. Step 3: プロファイルの「すべてのレコードの参照」を確認
目的:一般ユーザー向けプロファイルに「すべてのレコードの参照」が付与されていないかを確認します。この権限がプロファイルに付与されている場合、(a) 権限セット・(c) 共有設定 の設定に関わらず全件参照が可能になります。
手順:
① Salesforceの設定 → プロファイル を開く
② 各プロファイルを順に開き、「オブジェクト設定」 → 「帳票出力履歴」「D3Worker実行履歴」 の「すべてのレコードの参照」「すべてのレコードの編集」を確認する
| プロファイル種別 | 推奨 |
| システム管理者プロファイル(管理者向け) | 「すべてのレコードの参照」「すべてのレコードの編集」にチェックあり(業務上必要) |
| 一般ユーザー・コミュニティユーザー向けプロファイル | 「すべてのレコードの参照」「すべてのレコードの編集」にチェックなし |
5. Step 4: リクエストパラメータ項目の確認
目的:「OPROARTS リクエストパラメータ」「D3Worker リクエストパラメータ」項目への参照権限を確認します。レコード自体が見えてしまう場合でも、この項目を非表示にすることでリスクを軽減できます。
手順:
① Salesforceの設定 → 「オブジェクトマネージャー」 → 「帳票出力履歴」を開く
② 「項目とリレーション」 → 「OPROARTS リクエストパラメータ」項目を選択する
③ 「項目レベルセキュリティの設定」をクリックする
④ 「項目レベルセキュリティ」を確認する
| プロファイル | 推奨 |
| 管理者プロファイル | 「参照可能」にチェックあり |
| 一般ユーザー向けプロファイル | 「参照可能」のチェックなし |
⑤ 「D3Worker実行履歴」オブジェクトの「D3Worker リクエストパラメータ」項目も同様に確認する
6. Step 5: カスタムリストビューの列構成確認
目的:リストビューに「リクエストパラメータ」項目が含まれていると、一覧表示だけで個人情報等が画面に表示されてしまいます。
手順:
① Salesforceの設定 → 「オブジェクトマネージャー」 → 「帳票出力履歴」を開く
② 「検索レイアウト」でカスタムのレイアウトを1つずつ開き、「選択済みの項目」に「OPROARTS リクエストパラメータ」項目が含まれていないか確認する
③ 「D3Worker実行履歴」オブジェクトの「D3Worker リクエストパラメータ」項目も同様に確認する
7. Step 6: レコードレベルでの参照テスト
目的:設定が正しく反映されているかを、テストユーザーで動作確認します。
手順:
① テスト用 Salesforce ユーザーを用意する(既存の一般ユーザーでも代替可能です)
② そのユーザーで Salesforce にログインする(代理ログイン機能 or プライベートブラウザで別ログイン)
③ 以下の URL に直接アクセスし、自分が出力していないレコードが表示されていないことを確認する
https://<組織>/lightning/o/docutize__OutputHistory__c/home(「帳票出力履歴」のリストビュー)
https://<組織>/lightning/o/docutize__D3WorkerExecutionHistory__c/home(「D3Worker実行履歴」のリストビュー)
④ 他のユーザーが出力した特定レコードの ID を使って URL に直接アクセスし、「レコードにアクセスできません」等のエラーになることを確認する
https://<組織>/lightning/r/docutize__OutputHistory__c/<他ユーザーのレコードID>/view
8. Step 7: パッケージバージョン確認
目的:docutize の最新版が適用されているか確認します。
手順:
① Salesforceの設定 → インストール済みパッケージ を開く
② docutize のバージョン番号を確認する
9. 点検内容のまとめ
当ドキュメントで示した点検内容のまとめです。振り返りにご利用ください。
| Step | 項目 | 確認内容 |
| 1 | 帳票出力履歴(Output History)の共有設定 | 「非公開」になっている |
| 1 | D3Worker実行履歴(D3Worker Execution History)の共有設定 | 「非公開」になっている |
| 2 | 権限セット「Docutize General User Permission Set」の「D3Worker実行履歴」の「すべてのレコードの参照」「すべてのレコードの編集」 | チェックが入っていない |
| 3 | 一般ユーザー向けプロファイル「すべてのレコードの参照」「すべてのレコードの編集」 | チェックが入っていない |
| 4 | 一般ユーザー向けプロファイル「OPROARTS リクエストパラメータ」項目、「D3Worker リクエストパラメータ」項目の参照権限 | チェックが入っていない |
| 5 | カスタムリストビューでの「OPROARTS リクエストパラメータ」項目の使用有無 | 使用していない |
| 6 | テストユーザーで他人のレコードの参照可否 | 参照不可になっている |
| 7 | docutizeのバージョン | 1.101 以降のバージョンになっている |