代理管理者の設定についてです。これを使用するとSalseforceライセンスのユーザでなくてもユーザとカスタムオブジェクトに関する管理者権限を持たせることができるようになります。
代理管理者は、次の作業を実行できるとのことです。
- ユーザの作成と編集、指定されたロールとそのすべての下位ロールのユーザのパスワードのリセット、目標の設定、デフォルトの商談チームの作成、および非公開グループの作成
- ユーザのロック解除
- 指定されたプロファイルへのユーザの割り当て
- 管理者へのログインアクセスの許可を受けたユーザとしてのログイン
- 管理者が作成したカスタムオブジェクトの管理
設定はセキュリティコントロール→代理管理者から行えます。
最初に新規ボタンでグループ名とログインアクセスを許可させるかの指定を行います。
この画面で対象のユーザと与える管理者権限を設定していきます。
前提条件
代理管理者に設定するにはプロファイルの設定・定義を参照するにチェックがついている必要があります。対象ユーザのプロファイルでチェックをつけてください。
代理管理者の設定について
ここで管理者権限を与えるユーザを指定できます。
ここで指定できるのはユーザのみで公開グループやロールなどを指定することはできないみたいです。一度の操作で追加できるユーザは5人までのようですが、保存後に再度追加を行うことができるので上限が5人というわけでは無いみたいです。
こんな感じでユーザを検索します。
追加後はこのように表示されます。
代理管理者に追加された時点ではまだ代理ログインはできません。
新規ユーザを作成しようとしても選択できるロールとプロファイルがありません。
代理ログイン権限をつけるにはユーザ管理者への追加、新規ユーザの作成権限をつけるには割り当て可能なプロファイル権限の追加が必要になります。
カスタムオブジェクトの編集権限もありません。権限を与えるにはカスタムオブジェクト管理権限の追加が必要になります。
カスタムタブの作成権限は付いている感じでしたが...
選択できるオブジェクトがありませんでした。編集リンクや削除リンクもクリックしてみたところアクセス権がありませんというエラーメッセージが表示されました。
Webタブは新規ボタン自体表示されませんでしたが、Visualforceタブは新規で作成することができるみたいです。ただし、編集、削除権限はありませんでした。
代理管理者に追加されたユーザの権限はこんな感じです。
ユーザ管理者
ユーザ管理者の設定では作成、編集できるロールを指定できます。ここで指定されたロールと下位ロールのみ作成や編集を行う権限が与えられます。
例えば次のようなロール階層で「Director, Direct Sales」を対象とすると「Eastern Sales Team」と「Western Sales Team」のロールを持つユーザのみ作成、編集が可能になります。
追加したロールは次のように表示されます。
これに追加することで対象ロールのユーザを編集することができるようになります。
新規ユーザ画面では対象のロールのみ選択できるようになっています。ただし、割り当て可能なプロファイルを設定前はプロファイルの選択ができません。
ユーザ管理者の設定でできることはこんな感じです。この機能で制限をつけることで許可無く上位ロールのユーザの作成ができないようになっています。
割り当て可能なプロファイル
ここで代理管理者が選択できるプロファイルを指定することができます。
プロファイル選択画面はこのように表示されます。
追加したプロファイルは次のように表示されます。
これで許可されたプロファイルをもつユーザを作成できるようになります。
割り当て可能なプロファイルの設定についてはこんな感じです。ここで制限をつけることで許可無くシステム管理者プロファイルのユーザを作成したりできないようになっています。
ユーザ周りの権限委任については以上なのですが、代理ログインだけ上手くいきませんでした。どこか設定ができていなかったみたいです。
・・・という問題があったのですが原因がわかりました。検証時のユーザにログインする際に代理ログインをしていたことが原因でした。代理ログイン中のユーザで代理ログインは使えないという単純な理由です。
ちゃんとログインした状態で確認したら代理ログインのリンクが表示されました。ちょっと面白かったのが自分自身への代理ログインもできちゃうみたいです。
念のため検証してみましたが代理ログインできるユーザは「ユーザ管理者」で指定したロールと下位ロールのユーザのみです。割り当て可能なプロファイルは関係ないみたいです。
カスタムオブジェクト管理
代理管理者は、プロファイルのカスタムオブジェクト権限を設定することを除き、カスタムオブジェクトのすべての面を管理できます。とあるようにカスタム項目を作成したり入力規則をつくったりできるようです。
ここでは対象となるカスタムオブジェクトを一つずつ選択していきます。
検索画面はこんな感じです。
追加されたカスタムオブジェクトは次のように表示されます。
これで代理管理者はこの「Demo」オブジェクトに対してのみ権限が与えられます。
まずカスタムタブが作成できるようになります。
編集や削除権限も与えられていました。
対象のオブジェクトのみ編集、削除できるようになっています。
項目の追加やデータ型の変更、レコードタイプの追加や入力規則の作成などこの画面でできることは基本的に実行できます。
ただし、項目履歴の管理に関しては変更できないようです。
以上が代理管理者の設定方法になります。
代理管理者を利用するとSalseforceライセンスでなくても管理者権限をあたえることができるので無理にSalseforceライセンスを用意する必要もなくなります。
例えば部署ごとに代理管理者グループを用意することで特定のロールやプロファイルのユーザのみを管理できるようになるので、管理者権限を与えるためだけに細かい権限を設定したプロファイルを用意したりする必要もなくなるので組織を綺麗にできるんじゃないかなと思います。
通常のシステム管理者だと参照のみ項目も編集可能になったりするので、実際に運用で使用するのには向いていないと思います。この代理管理者を利用すればきちんと制限が適用されるユーザで必要な管理者権限が使えるようにできるかなと思いました。