tyoshikawa1106のブログ

- Force.com Developer Blog -

SFDC:ゲストユーザの権限まわりの仕様変更の影響調査と対応したこと

Salesforce Lightning Force.com

2020年3月1日を期限にサイトゲストユーザのアクセス権限周りの仕様変更がリリースされる件についてセキュリティアラート設定ページで通知されました。(情報が公開されていたのはWinter'20のリリースノートとのこと。)

f:id:tyoshikawa1106:20200218215006p:plain


どのような変更になるのかのイメージはこちら。


ざっくりいうと今まで公開グループに追加して参照権限と更新権限の付与を行うことができましたが、サイトゲストユーザの公開グループへの追加不可になり、共有ルールの設定は可能ですが設定内容は変更されて更新権限の付与もできなくなります。とのことでした。


共有ルールの変更によりに影響を受ける箇所が見つかったため、サポートに3月1日で強制的に有効化され更新権限は利用できなくなるのか問い合わせてみました。


その後の3月1日の有効化に関しての状況が変わりましたがそのときはこんな感じ。

  • 3月1日に有効化されるが、設定を手動で変更することで一時的に有効化前の挙動に戻すことができる。(おそらく次回のSummer'20リリースが期限だと思います。)
  • ヘルプに公開された情報のとおり、有効化することで発生する問題を解決できない理由等を記載して申請すれば、妥当な理由の場合は強制有効化機能をオプトアウトできる可能性がある。(一時的な処置でその場合も次回リリース時には有効化される可能性が高い。)

※後半に記載していますが3月1日のサイトゲストユーザの権限まわりの仕様変更リリースは延期となっています。


詳細についてのヘルプはこちらです。
f:id:tyoshikawa1106:20200228054217p:plain

ゲストユーザセキュリティに関する追加サポートの依頼


サポートの方に3月1日のタイミングでは強制有効化をしないでください。と申請するときの内容はこちらでした。
f:id:tyoshikawa1106:20200228054514p:plain


ヘルプ内にリンクがありますが申請時に必要になるサイトゲストユーザのアクセスレポートはAppExchangeアプリで取得できます。
f:id:tyoshikawa1106:20200228054607p:plain

Guest User Access Report - Salesforce Labs - AppExchange


AppExchangeの方は本番と同じ設定状況を用意したSandbox組織にインストールして試しました。英語表記ですが、作業自体はシンプルなので内容を確認しながら進めればそれほど問題はないと思います。サイトゲストユーザのアクセスレポートをPDF出力してその他必要事項と一緒にサポートに3月更新のオプトアウトを申請できました。



ちなみにインストール後にアクセスできるページに、キャプチャと同じ緑のボタンが配置されていますが、そちらはすべての影響範囲のチェックが完了し、問題ないことを確認できたときにクリックするボタンとなります。

3月の仕様変更の延期について

実際には上記のオプトアウト申請作業の途中に並行してサポートから連絡を受けていましたが、3月1日のゲストユーザの仕様変更に関するリリースは延期となりました。理由の一つとして、Visualforce メールテンプレートの機能に予期せぬ影響が見つかったとのことです。その件についても上記のヘルプページに情報が公開されています。

f:id:tyoshikawa1106:20200228055408p:plain


同じくヘルプページにリンクがありますが、今回の件の最新情報はコミュニティページで公開されています。
f:id:tyoshikawa1106:20200228055734p:plain

Securing Community Cloud


米国本社からの情報ですので英語表記となりますが、Google翻訳でざっくり意味は確認できました。


ということで3月1日の強制有効化自体は延期されましたが、Visualforceメールテンプレートの問題が解決すれば改めてリリースについての通知があると思います。

その他のセキュリティアラートページの通知事項

「ゲストユーザの組織の共有設定と共有モデルの保護」が延期になり一安心していましたが、3月1日に有効期限となっているものがもうひとつあります。「ゲストユーザによって作成されたレコードのデフォルトの所有者への割り当て」です。



ゲストユーザの組織の共有設定と共有モデルの保護の件を意識しすぎていてこっちについては完全失念していました。同じくゲストユーザまわりの更新なのでもしかすると一緒に延期になるのではとも少し考えたのですが、特に明記もされていなそうだったので、急いで有効化の影響をチェックしました。結果として有効化しても大きな問題はなかったので、自分の環境での対応は無事に完了できました。

まとめ

今回の件について、影響を受けることについて気づくのが遅れたのは良くなかったと思います。セキュリティアラートのページはWinter'20ぐらい?で追加されたページでしたが、次からは適宜チェックをしていくように気をつけようと思います。


一応「ゲストユーザの組織の共有設定と共有モデルの保護」以外のセキュリティアップデートに関しては大きな問題もなく有効化することができました。あとはVisualforceメールテンプレートの件で延期となった「ゲストユーザの組織の共有設定と共有モデルの保護」が有効化される際に現在の課題が解決できる状況になっていればいいなと思います。

補足

類似の仕様変更の通知機能で重要な更新ページもありますのでそちらも適宜チェックをして順次有効化をしていくようにすると問題発生時に迅速に対応を開始できると思います。