分かりそうで分からないセキュリティロールを頑張って説明してみる
3.7K Views
January 19, 25
スライド概要
2025/01/19
Power Platform Administrator 勉強会 #03でお話しした内容です。
イベント概要
https://jppac.connpass.com/event/339559/
組み込みソフトウェアプログラマ → 情シス → ITコンサルタント → 技術営業 → ITコンサルタントを経て、現在はPower PlatformのアーキテクトとしてPower Platformのガバナンス策定、開発、技術支援、教育等の職務に従事。 書籍「Microsoft Power Apps入門 手を動かしてわかるローコード開発の考え方」共著者。 https://www.shoeisha.co.jp/book/detail/9784798173955
関連スライド
各ページのテキスト
分かりそうで分からない セキュリティロールを 頑張って説明してみる 2025/01/19 Power Platform Administrator 勉強会 #03 じゅんじゅん
セキュリティロール
ユーザPPAC > 環境 > (環境名) > 設定 > セキュリティ ロール > (ロール名)
セキュリティロールの 機能理解度はどの程度でしょうか?
今日の目的 Power Platformのセキュリティロールを 「なんも分からん」 「難しいけどなんか面白いな?」 にする
スピーカー:自己紹介 じゅんじゅん と申します。 お仕事 Power Platform 運用管理方針策定支援 Power Platform システム開発(Apps、Automate、Pages、Dataverse) Power Platform 内製開発支援・トレーニング SNSなど X (Twitter):@KodamaJn LinkedIn:Junichi-kodama 著書:Microsoft Power Apps入門 手を動かしてわかるローコード開発の考え方 |翔泳社 YouTube:@kodamachallenge
https://kodamachallenge.connpass.com/
セキュリティロール って何だっけ?
https://learn.microsoft.com/ja-jp/power-platform/admin/database-security
ワカラナイヨ。。。
管理者 開発者 利用者
管理者 開発者 利用者 なんでもOK 開発はさせたい 環境変更はさせたくない アプリ実行だけさせたい 一部のテーブルだけ読み書きさせたい
管理者 開発者 利用者 環境設定変更OK 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発NG アプリ実行OK 一部のテーブルだけ読み書きOK
管理者 開発者 利用者 環境設定変更OK 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発NG アプリ実行OK 一部のテーブルだけ読み書きOK
管理者 開発者 利用者 環境設定変更OK 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発NG アプリ実行OK 一部のテーブルだけ読み書きOK これ。
セキュリティロールとは 環境内のすべてのデータやアプリ等へのアクセス権を ひとまとめにした権限のセット。 ユーザーの役割(ロール)に応じて用意する/されている。
なるほど分かった!
設定画面を見てみましょう。
…分かるような、分からないような… よくよく考えると 色々な疑問が…
今日は、セキュリティロールの基本概念を ご紹介します! ※ ※ 私もまだまだ説明可能になっていない機能があるためすべてのご質問にはご回答できないかもしれません ※ 私個人の理解であり、正確とは限りません。間違っていたらごめんなさい
コネクタ セキュリティロールの基本概念 2つのポイント
コネクタ セキュリティロールの基本概念 2つのポイント ① 権限
コネクタ セキュリティロールの基本概念 2つのポイント どういう操作を ① 権限
コネクタ セキュリティロールの基本概念 2つのポイント どういう操作を ① 権限 ② アクセスレベル
コネクタ セキュリティロールの基本概念 2つのポイント どういう操作を ① 権限 どの範囲までできるか ② アクセスレベル
コネクタ セキュリティロールの基本概念 2つのポイント どういう操作を ① 権限 どの範囲までできるか ② アクセスレベル → すべての①に対して②を設定する。
どういう操作を ① 権限
権限のタイプ コネクタ 権限の設定は3つのタイプに分類されています。 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#define-the-privileges-and-properties-of-a-security-role
権限のタイプ コネクタ 権限の設定は3つのタイプに分類されています。 ①-1 テーブルに対する権限 読み取り、作成、削除、書き込みなど、テーブルのレコードへのアクセス権を定義する 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#define-the-privileges-and-properties-of-a-security-role
権限のタイプ コネクタ 権限の設定は3つのタイプに分類されています。 ①-1 テーブルに対する権限 読み取り、作成、削除、書き込みなど、テーブルのレコードへのアクセス権を定義する ①-2 その他の権限 一括編集、一括削除、監査履歴の表示など、特定の操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/miscellaneous-privileges 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#define-the-privileges-and-properties-of-a-security-role
権限のタイプ コネクタ 権限の設定は3つのタイプに分類されています。 ①-1 テーブルに対する権限 読み取り、作成、削除、書き込みなど、テーブルのレコードへのアクセス権を定義する ①-2 その他の権限 一括編集、一括削除、監査履歴の表示など、特定の操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/miscellaneous-privileges ①-3 プライバシー関連の権限 データのエクスポート、印刷など、 データの出力に関連する操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/privacy-related-privileges 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#define-the-privileges-and-properties-of-a-security-role
設定画面を見てみましょう。
権限のタイプ コネクタ 権限の設定は3つのタイプに分類されています。 ①-1 テーブルに対する権限 テーブル数 × 権限の種類 読み取り、作成、削除、書き込みなど、テーブルのレコードへのアクセス権を定義する ①-2 その他の権限 66個 一括編集、一括削除、監査履歴の表示など、特定の操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/miscellaneous-privileges ①-3 プライバシー関連の権限 8個 データのエクスポート、印刷など、 データの出力に関連する操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/privacy-related-privileges 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#define-the-privileges-and-properties-of-a-security-role
権限のタイプ コネクタ 権限の設定は3つのタイプに分類されています。 ①-1 テーブルに対する権限 読み取り、作成、削除、書き込みなど、テーブルのレコードへのアクセス権を定義する 今日のメインはここ。 ①-2 その他の権限 大半は できる/できないを設定するだけ。 一括編集、一括削除、監査履歴の表示など、特定の操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/miscellaneous-privileges ①-3 プライバシー関連の権限 すべて できる/できないを設定するだけ。 データのエクスポート、印刷など、 データの出力に関連する操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/privacy-related-privileges 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#define-the-privileges-and-properties-of-a-security-role
①-1 テーブルに対する権限
権限のタイプ(再掲) コネクタ 権限の設定は3つのタイプに分類されています。 ①-1 テーブルに対する権限 読み取り、作成、削除、書き込みなど、テーブルのレコードへのアクセス権を定義する ①-2 その他の権限 一括編集、一括削除、監査履歴の表示など、特定の操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/miscellaneous-privileges ①-3 プライバシー関連の権限 データのエクスポート、印刷など、 データの出力に関連する操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/privacy-related-privileges 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#define-the-privileges-and-properties-of-a-security-role
権限のタイプ(再掲) コネクタ 権限の設定は3つのタイプに分類されています。 ①-1 テーブルに対する権限 読み取り、作成、削除、書き込みなど、テーブルのレコードへのアクセス権を定義する ①-2 その他の権限 ここを深堀りします。 一括編集、一括削除、監査履歴の表示など、特定の操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/miscellaneous-privileges ①-3 プライバシー関連の権限 データのエクスポート、印刷など、 データの出力に関連する操作を実行する権限を定義する 具体的な権限の内容は → https://learn.microsoft.com/ja-jp/power-platform/admin/privacy-related-privileges 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#define-the-privileges-and-properties-of-a-security-role
テーブルに対する8種類の権限 コネクタ Learnでは「特権」と 表現しています よく聞くCRUDも含め、合計で8種類の権限があります。 これらはテーブル単位で設定できます。 権限 説明 作成 新しいレコードを作成する 読み取り レコードを開いて内容を表示する 書き込み レコードを変更する 削除 レコードを完全に削除する アペンドする(追加) 現在のレコードを別のレコードに関連付ける アペンドする先(追加先) レコードを現在のレコードに関連付ける 割り当てる レコードの所有権を別のユーザーに付与する 共有 自分のアクセスを保持しながら別のユーザーがレコードにアクセスする 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#table-privileges
テーブルに対する8種類の権限 コネクタ Learnでは「特権」と 表現しています よく聞くCRUDも含め、合計で8種類の権限があります。 これらはテーブル単位で設定できます。 CRUDは ここ。 権限 説明 作成 新しいレコードを作成する 読み取り レコードを開いて内容を表示する 書き込み レコードを変更する 削除 レコードを完全に削除する アペンドする(追加) 現在のレコードを別のレコードに関連付ける アペンドする先(追加先) レコードを現在のレコードに関連付ける 割り当てる レコードの所有権を別のユーザーに付与する 共有 自分のアクセスを保持しながら別のユーザーがレコードにアクセスする 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#table-privileges
テーブルに対する8種類の権限 コネクタ Learnでは「特権」と 表現しています よく聞くCRUDも含め、合計で8種類の権限があります。 これらはテーブル単位で設定できます。 CRUDは ここ。 こいつら 何者?! 権限 説明 作成 新しいレコードを作成する 読み取り レコードを開いて内容を表示する 書き込み レコードを変更する 削除 レコードを完全に削除する アペンドする(追加) 現在のレコードを別のレコードに関連付ける アペンドする先(追加先) レコードを現在のレコードに関連付ける 割り当てる レコードの所有権を別のユーザーに付与する 共有 自分のアクセスを保持しながら別のユーザーがレコードにアクセスする 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#table-privileges
追加と追加先 コネクタ 親子テーブルについて、子レコードに親レコードの情報を保持させる(=親子 レコードを紐づける)ために必要な権限です。 どっかの子に俺の 情報追加してええで 追加先 権限 親テーブル ID列 追加 権限 参照列に親の情報 追加してええで 子テーブル 参照列 12345 12345 ※ 追加と追加先どちらも必要です。両想いじゃないとお付き合いできません。 ※ 多対多の関係がある場合は、関連付けまたは関連付け解除の対象となる両方のテーブルで追加先権限を持っている必要があります。
追加と追加先 コネクタ 親子テーブルについて、子レコードに親レコードの情報を保持させる(=親子 レコードを紐づける)ために必要な権限です。 俺の情報はどこにも 追加すんなよ! 追加先 権限なし 親テーブル ID列 追加 権限あり 参照列に親の情報 追加してええで 子テーブル 参照列 12345 12345 ※ 追加と追加先どちらも必要です。両想いじゃないとお付き合いできません。 ※ 多対多の関係がある場合は、関連付けまたは関連付け解除の対象となる両方のテーブルで追加先権限を持っている必要があります。
追加と追加先 コネクタ 親子テーブルについて、子レコードに親レコードの情報を保持させる(=親子 レコードを紐づける)ために必要な権限です。 どっかの子に俺の 情報追加してええで 追加先 権限あり 親テーブル ID列 追加 権限なし レコードは作っていいけど、 参照列に親の情報追加 すんなよ! 子テーブル 参照列 12345 12345 ※ 追加と追加先どちらも必要です。両想いじゃないとお付き合いできません。 ※ 多対多の関係がある場合は、関連付けまたは関連付け解除の対象となる両方のテーブルで追加先権限を持っている必要があります。
追加と追加先 コネクタ 親子テーブルについて、子レコードに親レコードの情報を保持させる(=親子 レコードを紐づける)ために必要な権限です。 どっかの子に俺の 情報追加してええで 追加先 権限 親テーブル ID列 追加 権限 参照列に親の情報 追加してええで 子テーブル 参照列 12345 12345 ※ 追加と追加先どちらも必要です。両想いじゃないとお付き合いできません。 ※ 多対多の関係がある場合は、関連付けまたは関連付け解除の対象となる両方のテーブルで追加先権限を持っている必要があります。
割り当てる Dataverseのテーブルには、各レコードが誰の持ち物かを示すための所有者列 が存在します。 「割り当てる」権限は、レコードの所有者列に登録されている所有者を変更する ”割り当て機能”を利用するために必要な権限です。 ※ 所有者列のないテーブルもあります。所有者列のないテーブルには「割り当てる」権限は設定できません。 ※ デフォルトでは、レコードを作成したユーザーがレコードの所有者になります。 ※ 割り当て機能はモデル駆動型アプリに標準搭載されています。
共有 コネクタ Dataverseには、テーブルの各レコードを誰かに特例で操作させるために、 レコードを共有するという概念が存在します。 「共有」権限は、レコードを他のユーザーに共有する”共有機能”を利用する ために必要な権限です。 ※ 所有者列のないテーブルには「共有」権限は設定できません。 ※ 共有機能はモデル駆動型アプリに標準搭載されています。
テーブルに対する8種類の権限(再掲) コネクタ よく聞くCRUDも含め、合計で8種類の権限があります。 これらはテーブル単位で設定できます。 権限 説明 作成 新しいレコードを作成する 読み取り レコードを開いて内容を表示する 書き込み レコードを変更する 削除 レコードを完全に削除する アペンドする(追加) 現在のレコードを別のレコードに関連付ける アペンドする先(追加先) レコードを現在のレコードに関連付ける 割り当てる レコードの所有権を別のユーザーに付与する 共有 自分のアクセスを保持しながら別のユーザーがレコードにアクセスする 参考: https://learn.microsoft.com/ja-jp/power-platform/admin/security-roles-privileges#table-privileges
設定画面を見てみましょう。
どの範囲までできるか ② アクセスレベル
アクセスレベル コネクタ レコードを操作するための各権限には、最大5つのレベルを定義できます。 レベル 説明 組織 ユーザーは、自分や環境が属する部署の階層レベルに関係なく、組織内のすべてのレコードに アクセスすることができます。 部署配下 ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。 部署 ユーザーは、自分の部署内のレコードにアクセスすることができます。 ユーザー ユーザーは、自分が所有するレコード、組織と共有されているオブジェクト、自分と共有されている オブジェクト、自分が所属するチームと共有されているオブジェクトにアクセスできます。 なし アクセスは許可されません。 つよい よわい ※ 所有者列のないテーブルは、組織 or なしのみ設定できます。
CRUDなどの権限ごとに できる/できない だけじゃないの? レベルがあるってどういうこと?
アクセスレベル コネクタ レコードを操作するための各権限には、最大5つのレベルを定義できます。 レベル 説明 組織 ユーザーは、自分や環境が属する部署の階層レベルに関係なく、組織内のすべてのレコードに アクセスすることができます。 部署配下 ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。 部署 ユーザーは、自分の部署内のレコードにアクセスすることができます。 ユーザー ユーザーは、自分が所有するレコード、組織と共有されているオブジェクト、自分と共有されている オブジェクト、自分が所属するチームと共有されているオブジェクトにアクセスできます。 なし アクセスは許可されません。 つよい よわい ※ 所有者列のないテーブルは、組織 or なしのみ設定できます。
設定画面を見てみましょう。
アクセスレベル コネクタ レコードを操作するための各権限には、最大5つのレベルを定義できます。 まだわかる。 まだわかる。 レベル 説明 組織 ユーザーは、自分や環境が属する部署の階層レベルに関係なく、組織内のすべてのレコードに アクセスすることができます。 部署配下 ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。 部署 ユーザーは、自分の部署内のレコードにアクセスすることができます。 ユーザー ユーザーは、自分が所有するレコード、組織と共有されているオブジェクト、自分と共有されている オブジェクト、自分が所属するチームと共有されているオブジェクトにアクセスできます。 なし アクセスは許可されません。 つよい よわい ※ 所有者列のないテーブルは、組織 or なしのみ設定できます。
アクセスレベル コネクタ レコードを操作するための各権限には、最大5つのレベルを定義できます。 まだわかる。 こいつら 何者?! まだわかる。 レベル 説明 組織 ユーザーは、自分や環境が属する部署の階層レベルに関係なく、組織内のすべてのレコードに アクセスすることができます。 部署配下 ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。 部署 ユーザーは、自分の部署内のレコードにアクセスすることができます。 ユーザー ユーザーは、自分が所有するレコード、組織と共有されているオブジェクト、自分と共有されている オブジェクト、自分が所属するチームと共有されているオブジェクトにアクセスできます。 なし アクセスは許可されません。 つよい よわい ※ 所有者列のないテーブルは、組織 or なしのみ設定できます。
レコードの所属部署 Dataverseのテーブルには、所有者列の他に所属部署列が存在します。 各環境には部署という概念があり、ユーザーは必ずいずれかの部署に属します。 所属部署列には所有者の所属する部署が自動で設定されます。 社長室 システム部 営業部 営業1課 営業2課 ※ 所有者列のないテーブルには所属部署列は存在しません。
設定画面を見てみましょう。
アクセスレベル コネクタ レコードを操作するための各権限には、最大5つのレベルを定義できます。 読み取り権限の例 レベル 説明 全員のレコード見える 組織 ユーザーは、自分や環境が属する部署の階層レベルに関係なく、組織内のすべてのレコードに アクセスすることができます。 自分の部署配下の人の レコードしか見えへん 自分と同じ部署の人の レコードしか見えへん 部署配下 ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。 部署 ユーザーは、自分の部署内のレコードにアクセスすることができます。 ユーザー ユーザーは、自分が所有するレコード、組織と共有されているオブジェクト、自分と共有されている オブジェクト、自分が所属するチームと共有されているオブジェクトにアクセスできます。 なし アクセスは許可されません。 自分のレコードしか見えへん 誰のレコードも見えへん つよい よわい
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 誰のレコードも 見えへん 社長室 読み取り権限:なし B A 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 自分のレコードしか 見えへん 社長室 読み取り権限:ユーザー B A 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 自分と同じ部署の人の レコードしか見えへん 社長室 読み取り権限:部署 B A 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 自分の部署配下の人の レコードしか見えへん 社長室 読み取り権限:部署配下 B A 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 全員のレコード見える 社長室 読み取り権限:組織 B A 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 誰のレコードも 見えへん 社長室 A A 読み取り権限:なし 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 自分のレコードしか 見えへん 社長室 A A 読み取り権限:ユーザー 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 自分と同じ部署の人の レコードしか見えへん 社長室 A A 読み取り権限:部署 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 自分の部署配下の人の レコードしか見えへん 社長室 A A 読み取り権限:部署配下 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
所有者/所属部署とアクセスレベル レコードに記録されている所有者と所属部署をもとに、各アクセスレベルで どのレコードを制御できるかを判定します。 全員のレコード見える 社長室 A A 読み取り権限:組織 勤怠テーブル システム部 営業部 D B C 営業1課 営業2課 F E 残業理由 所有者 所属部署 ゴルフ A 社長室 提案資料作成 B 営業部 提案資料作成 C 営業部 うえーい D システム部 顧客対応 E 営業1課 顧客対応 F 営業2課
アクセスレベル コネクタ レコードを操作するための各権限には、最大5つのレベルを定義できます。 書き込み権限の例 全員のレコード更新できる レベル 説明 組織 ユーザーは、自分や環境が属する部署の階層レベルに関係なく、組織内のすべてのレコードに アクセスすることができます。 自分の部署配下の人の 部署配下 レコードしか更新できへん 部署 自分と同じ部署の人の レコードしか更新できへん 自分のレコードしか更新でき ユーザー へん ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。 誰のレコードも更新できへん なし アクセスは許可されません。 つよい ユーザーは、自分の部署内のレコードにアクセスすることができます。 ユーザーは、自分が所有するレコード、組織と共有されているオブジェクト、自分と共有されている オブジェクト、自分が所属するチームと共有されているオブジェクトにアクセスできます。 よわい
アクセスレベル コネクタ レコードを操作するための各権限には、最大5つのレベルを定義できます。 削除権限の例 レベル 説明 全員のレコード消せる 組織 ユーザーは、自分や環境が属する部署の階層レベルに関係なく、組織内のすべてのレコードに アクセスすることができます。 自分の部署配下の人の レコードしか消せへん 自分と同じ部署の人の レコードしか消せへん 部署配下 ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。 部署 ユーザーは、自分の部署内のレコードにアクセスすることができます。 ユーザー ユーザーは、自分が所有するレコード、組織と共有されているオブジェクト、自分と共有されている オブジェクト、自分が所属するチームと共有されているオブジェクトにアクセスできます。 なし アクセスは許可されません。 自分のレコードしか消せへん 誰のレコードも消せへん つよい よわい
あれ? 作成(Create)権限は?
ん? 既存のレコードに対するアクセスレベルは理解できたのだけど、 新規(これからレコードを作る)時のアクセスレベルってどういうこと?
作成権限のアクセスレベルは”どの所有者を指定できるか” コネクタ レコード作成時、所有者列に自動設定されている自分の名前を削除し、 自分以外の誰を指定できるかをアクセスレベルで制御できます。 例: 部署の場合は自分と同じ部署の ユーザーを指定可能
設定画面を見てみましょう。
アクセスレベル(再掲) コネクタ レコードを操作するための各権限には、最大5つのレベルを定義できます。 つよい レベル 説明 組織 ユーザーは、自分や環境が属する部署の階層レベルに関係なく、組織内のすべてのレコードに アクセスすることができます。 部署配下 ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。 部署 ユーザーは、自分の部署内のレコードにアクセスすることができます。 ユーザー ユーザーは、自分が所有するレコード、組織と共有されているオブジェクト、自分と共有されている オブジェクト、自分が所属するチームと共有されているオブジェクトにアクセスできます。 なし アクセスは許可されません。 よわい ※ 所有者列のないテーブルは、組織 or なしのみ設定できます。
コネクタ おさらい: セキュリティロールの基本概念のポイント 権限 どういう操作を 3つのタイプがあって、テーブルには8種類の権限があるよ。 ひとまずテーブルだけ押さえておけばOK。 アクセスレベル どの範囲までできるか 5種類あるよ。レコードの所有者や所属部署によって範囲を変えられる。
ロールベースアクセス制御(RBAC) セキュリティロールのような、ユーザーのロール(役割)を ベースにアクセスを制御する考え方をRBAC といいます。 ※ 街を歩いていて「あーるばっく」って聞こえたら、それはきっと このロールベースアクセス制御のことでしょう。知らんけど。 ※ Role-Based Access Control 参考: https://www.okta.com/jp/identity-101/what-is-role-based-access-control-rbac/
いかがでしたでしょうか? セキュリティロールの基本概念は網羅できた(はず
いかがでしたでしょうか? セキュリティロールの基本概念は網羅できた(はず ドヤ! ワイ セキュリティロール チョットワカル(概念は)
注意 Learnをお読みいただく際は、「権限」のことを 「権限」と言ったり「特権」と言ったりしています。 英語で読むとどちらも「privileges」なので同じです。(多分)
ちなみに… セキュリティロールとそのお友達機能はまだまだ深いよ。 ・チーム ・フィールドセキュリティ ・Webロール などなど。
ちなみに… セキュリティロールとそのお友達機能はまだまだ深いよ。 ・チーム ← ここまで理解できれば最低限はOKだと思う ・フィールドセキュリティ ・Webロール などなど。
ちなみに… セキュリティロールとそのお友達機能はまだまだ深いよ。 ・チーム ← ここまで理解できれば最低限はOKだと思う ・フィールドセキュリティ ← ここまで理解できればDeveloperになれると思う ・Webロール などなど。
ちなみに… セキュリティロールとそのお友達機能はまだまだ深いよ。 ・チーム ← ここまで理解できれば最低限はOKだと思う ・フィールドセキュリティ ← ここまで理解できればDeveloperになれると思う ・Webロール ← ここまで理解できればPower Pagesを扱えると思う などなど。
様々な機能を楽しく学び、 楽しいPower Platform Lifeを!
ご清聴ありがとうございました。