アカウントによるオブジェクトデータへのアクセス制限
利用可能な Liferay 7.4 U58+/GA58+
複数のビジネスアカウント があるシナリオでは、アカウントごとにオブジェクトエントリへのアクセスを制限することができます。 これを行うには、カスタムオブジェクトがアカウントシステムオブジェクトとの有効な関連を持っている必要があり、入力データの制限にこの関連を使用するようにカスタムオブジェクトを構成する必要があります。 設定が完了すると、カスタムオブジェクトにエントリーを追加する人は、アカウントを選択する必要があります。 このアカウントがエントリーのオーナーになります。 ロール タイプがエントリへのアクセスを制御する方法については、 アカウント制限とユーザー ロール を参照してください。
アカウント制限は、ドラフトオブジェクトにのみ設定できます。 publishing 以降は、これらの設定を変更することができなくなります。
アカウント制限を設定する場合。
グローバルメニュー(
)を開き、 [コントロールパネル] タブに移動して、 [オブジェクト] をクリックします。アカウントシステムオブジェクトの編集を開始します。
Accountオブジェクトを目的のドラフトオブジェクトに関連付ける一対多のリレーションシップを追加します。 詳細については、オブジェクト関連の定義を参照してください。
オブジェクトページに戻り、目的のカスタムオブジェクトの編集を開始します。
詳細]タブで、 アカウント制限 を有効にし、使用するアカウント関係を選択します。
[Save] をクリックします。
これにより、アカウント関係フィールドが必須となり、ユーザーはエントリーを作成する際にアカウントを選択する必要があります。 利用可能なアカウントオプションは、各ユーザーの パーミッション によって決定されます。 エントリー作成後、選択されたアカウントはエントリーのオーナーとなり、変更することはできません。
アカウント制限とユーザーロール
アカウントによるオブジェクトデータの制限を行った後、ユーザーの権限に従ってエントリーが表示されます。 通常のロールスコープでのパーミッションはすべてのオブジェクトデータに適用され、組織またはアカウントスコープでのパーミッションは特定のアカウントに適用されます。 例えば、ユーザーが閲覧権限を持つレギュラーロールを持っている場合、すべてのアカウントのすべてのデータを閲覧することができます。 ただし、ユーザーが閲覧権限を持つアカウントロールしか持っていない場合は、自分のアカウントに関連するオブジェクトデータしか閲覧できない。
| 許可範囲 | 説明 |
|---|---|
| 標準ロール | アカウントや組織の役割の権限による制限を受けることなく、すべてのオブジェクトデータに適用される権限です。 |
| 組織ロール | 組織およびそのサブ組織に関連する特定のアカウントのオブジェクトデータに適用される権限です。 |
| アカウントロール | 特定のアカウントのオブジェクトデータに適用される権限です。 |
アカウント制限のためのロールを設定する場合、以下の点を考慮してください。
標準ロールは、オブジェクトエントリーを作成するための
Accounts > Account Entry: View権限を持っている必要があります。これは、標準ロールがアカウントや組織と関連付けられていないためです。この権限がないと、標準ロールを持つユーザーは、エントリーの作成時にアカウントを選択することができません。組織ロールは、オブジェクトエントリーを作成するために次の権限を持っている必要があります:
User and Organizations > Organization: Manage AccountsandUser and Organizations > Organization: Manage Suborganizations Accounts。この権限がないと、組織ロールを持つユーザーは、エントリーの作成時にアカウントを選択することができません。組織とアカウントのロールを使用してカスタムオブジェクトにアクセスするには、グローバルメニュー(company-scopedの場合)またはサイトメニュー(site-scopedの場合)のいずれかのアプリケーションへのアクセスを許可する別の通常ロールをユーザーが持っている必要があります。 詳しくは、 Object Application Permissions を参照してください。
アカウントと組織のロールは、アカウント制限が有効になっているオブジェクトでのみサポートされています。
アカウント制限では、デフォルトのアカウントメンバーおよび組織のユーザーロールはサポートされていません。 これらのロールは、関連するオブジェクトデータへのアクセスを自動的に許可するものではありません。
ユースケース例:保険金請求
このような条件のもと、保険のシナリオを考えてみましょう。
- ビジネスアカウントのユーザーは、他のアカウントで行われたクレームを見ることなく、クレームを開く必要があります。
- カスタマーサクセスマネージャー(CSM)は、自分が管理しているアカウントからのクレームを確認する必要があります。
- クレームマネージャーは、すべてのクレームを監督しなければなりません。
これを実現するために、 アカウント制限を有効にしたClaimsオブジェクト を作成します。 次に、 CSM をグループ化するための組織 を作成し、 各組織 を適切なビジネスアカウントと関連付けます。 次の アカウント 、 組織 、 通常 ロールを作成し、 それらを 適切なユーザーに割り当てる。 Claimsオブジェクトはcompany-scopedなので、アカウントと組織のユーザーは、 Portalを許可する別のレギュラーロールも持っている必要があります。View Control Panel Menu および Claims:Access in Control Panel パーミッションが付与されます。 利便性のために、これらの権限をデフォルトのユーザー・ロールに割り当てることができます。
この例では、各ロールはクレーム項目を作成することができますが、組織と通常のロールにはその権限を付与する必要はありません。
アカウントロール
アカウントのユーザーに、アカウントのオブジェクトデータを作成および管理する権限を付与する。
| 権限 | 説明 |
|---|---|
| クレーム表示 | オブジェクトのアプリケーションページを表示します。 |
| クレーム > クレーム削除 | オブジェクトのエントリーを削除する。 |
| クレーム > クレーム:パーミッション | 個々のオブジェクトのエントリの権限を表示および変更します。 |
| 請求項 > 請求項:更新 | オブジェクトのエントリーを更新する。 |
| クレーム > クレーム:表示 | オブジェクトのエントリーを表示します。 |
| Claims > Claims:オブジェクトエントリの追加 | オブジェクトエントリーを作成する。 |
ユーザーは、異なるアカウントで異なるアカウントロールを持つことができます。
組織ロール
組織とそのサブ組織に関連するすべてのアカウントのオブジェクトデータを作成および管理する権限を組織のユーザーに付与します。
| 権限 | 説明 |
|---|---|
| クレーム表示 | オブジェクトのアプリケーションページを表示します。 |
| クレーム > クレーム削除 | オブジェクトのエントリーを削除する。 |
| クレーム > クレーム:パーミッション | 個々のオブジェクトのエントリの権限を表示および変更します。 |
| 請求項 > 請求項:更新 | オブジェクトのエントリーを更新する。 |
| クレーム > クレーム:表示 | オブジェクトのエントリーを表示します。 |
| Claims > Claims:オブジェクトエントリの追加 | オブジェクトエントリーを作成する。 |
| ユーザーと組織 > 組織。アカウント管理 | 組織のアカウントを表示します。 |
| ユーザーと組織 > 組織サブ組織のアカウント管理 | サブ組織に関連するアカウントを表示します。 |
標準ロール
全アカウントのオブジェクトデータを作成・管理する権限をユーザーに付与する。
| 権限 | 説明 |
|---|---|
| Accounts > Account Entry: View | アカウントエントリへのアクセスを表示します。 |
| Portal: View Control Panel Menu | グローバルメニュー( )にアクセスします。 |
| クレームについてコントロールパネルでのアクセス | グローバルメニューでオブジェクトにアクセスする。 |
| クレーム表示 | オブジェクトのアプリケーションページを表示します。 |
| クレーム > クレーム削除 | オブジェクトのエントリーを削除する。 |
| クレーム > クレーム:パーミッション | 個々のオブジェクトのエントリの権限を表示および変更します。 |
| 請求項 > 請求項:更新 | オブジェクトのエントリーを更新する。 |
| クレーム > クレーム:表示 | オブジェクトのエントリーを表示します。 |
| Claims > Claims:オブジェクトエントリの追加 | オブジェクトエントリーを作成する。 |