役割管理
出典: SugarForum.jp
SugarCRMでは各ユーザーに対して役割を与えることができます。役割ごとにデータアクセスの権限を変更することでアクセス制御が容易になります。
例えば、ある製品のサポートシステムを運用することを考えましょう。ここで以下の二つの役割を設計します。
- 「サポート」製品のサポートなどコード開発を担当するユーザ群
- 「セールス」製品のセールスを担当するユーザ群
ここで、モジュール「バグトラッキング情報」をSugarCRM上で共有したいのですが、役割に応じて以下の権限を付与したいとします。
- 「サポート」バグトラッカーへの書き込みを可能にしたい
- 「セールス」バグトラッカーの読み込みはできるが書き込みを可能にしたくない
ユーザに予め「役割」が設定されていれば、個々のユーザの権限を変更することなく、上記二つの役割の権限を変更するだけでアクセス制御が可能となります。
目次 |
アクセスコントロールリスト(ACL = Access Control list)
アクセスコントロールリストは、モジュール内のデータに対するリード、ライト、削除、更新、インポート、エクスポートなどの動作を決めます。以下の機能があります。
- 役割をユーザーにリンクさせる機能
- 各役割の各権限(リード、ライト、削除、更新、インポート、エクスポートなど)を設定する機能
役割の作り方
役割作成のショートカットをクリックし、モジュールを選択したら保存します。詳細な手順と補足は以下の通りです。
- 管理者としてログイン。
- 役割管理を選ぶ。
- ショートカットから役割作成を選ぶ。
- 新しい役割とその説明を入力。
- 権限を変更。例えば、顧客モジュールの削除権限をなしに変える。
- 保存。
- ユーザーサブパネルかユーザー管理セクションでユーザーに役割を与える。
- 権限を削除したモジュールは、他のモジュール内のサブモジュールとして動作する場合にも除去されます。
- 役割の変更は次のログインから有効になります。
権限の内容
一般的なオプションは、以下の通りです。
- すべて:全ての行動が許されることを示します。
- オーナー:レコードのオーナーのみ、その特定の行動を許されます。
- なし:誰もその特定の行動を許されません。
権限の種類
- アクセス:可/不可、というオプションがあります。デフォルトは可です。不可にするとモジュールがタブ、サブパネル、ナビゲーションまたはショートカットに表示されません。アクセス不可に設定されたユーザーは、他の設定に係らずそのモジュールと関連する行動を実行できません。
- 削除:すべて/オーナー/なし、というオプションがあります。レコードを削除する権限です。この文脈におけるオーナーとは、レコードと関連してアサインされたユーザーです。なしの場合、削除ボタンが使用できません。
- 編集:すべて/オーナー/なし、というオプションがあります。レコードを編集する権限です。なしの場合、編集ボタンが使用できません。その上、マスアップデート機能(リスト一覧の最下部)で、記録を更新することもできません。
- エクスポート:すべて/オーナー/なし、というオプションがあります。レコードをエクスポートする権限です。なしの場合、エクスポートボタンが表示されません。
- インポート:すべて/オーナー/なし、というオプションがあります。レコードをインポートする権限です。なしの場合、インポートボタンが表示されません。
- リスト:すべて/オーナー/なし、というオプションがあります。レコードをリストに表示させる権限です。なしの場合、モジュールのリスト一覧にアクセスすることができません。
- 表示:すべて/オーナー/なし、というオプションがあります。詳細表示の表示権限です。なしの場合、リスト一覧とサブパネルからの詳細表示のためのリンクが使用できません。また、リスト一覧やサブパネル関連以外のアクセスに対しては、認可がないことを示すエラーメッセージを表示します。
役割管理の注意点
- 同じユーザに複数の役割を与えた時、権限が矛盾することがあります。この場合、より制限の強い権限が優先されます。
- SOAP層は、アクセスコントロールリストのroot権限と同等の権限を持ちます。
