設問
Universal Containers は、事務用品に関連する経費の払い戻しリクエストを取得するために、払い戻しカスタムオブジェクトを作成しました。払い戻しリクエストは機密性の高いものである場合があるため、チームリーダーはコールセンターエージェントの役割のユーザーによって送信された払い戻し記録にアクセスできるべきではありません。サポートディレクターは、すべての償還記録へのアクセスを要求します。
ロール階層は以下のとおりです:
コールセンターエージェント → チームリーダー → サポートディレクター
アーキテクトは、償還オブジェクトのプライベート共有設定を前提として、この役割階層構造で適切な共有を確保するためにどのような手順を実行しますか?
選択肢
A. 償還オブジェクトを「デプロイ済み」ステータスのままにし、オブジェクト権限でサポート担当ディレクターのプロファイルを「すべて表示」に設定します。
B. 承認プロセスを使用して、サポート担当ディレクターへの提出時に償還記録の所有者を変更します。
C. オブジェクトの階層を使用したアクセス許可を無効にし、サポートディレクターとの共有を有効にする共有ルールを作成します。
D. 説明した共有シナリオは、アーキテクトが特別な構成を選択しなくても実行されます。
解答
C. オブジェクトの階層を使用したアクセス許可を無効にし、サポートディレクターとの共有を有効にする共有ルールを作成します。
解説
A. 償還オブジェクトを「デプロイ済み」ステータスのままにし、オブジェクト権限でサポート担当ディレクターのプロファイルを「すべて表示」に設定します。
不正解です。「すべて表示」はすべてのユーザーが作成したレコードを無制限に閲覧できるようになる強力な権限です。セキュリティの最小権限の原則に反し、今回の限定的アクセス要件を満たしません。限定ユーザーのみにアクセスを許可したい場合には、共有ルールを活用するべきです。
B. 承認プロセスを使用して、サポート担当ディレクターへの提出時に償還記録の所有者を変更します。
不正解です。所有者変更によりアクセスは得られますが、元の送信者が編集権を失うため業務フローが崩れます。また、アクセス制御の目的で所有者を操作するのは設計上好ましくありません。共有によって権限を付与する方が、トレーサビリティや運用維持に優れています。
C. オブジェクトの階層を使用したアクセス許可を無効にし、サポートディレクターとの共有を有効にする共有ルールを作成します。
正解です。階層アクセスを無効化することで、上位ロールへの自動共有を抑制できます。
そのうえで共有ルールを活用すれば、サポートディレクターにのみ明示的にアクセス権を付与可能です。セキュリティ制御と業務要件を同時に満たす最も安全で柔軟な方法です。
D. 説明した共有シナリオは、アーキテクトが特別な構成を選択しなくても実行されます。
不正解です。ロール階層が有効な状態では、チームリーダーも下位ユーザーのレコードにアクセス可能になります。要件ではチームリーダーへのアクセスを遮断したいので、階層設定の無効化は必須です。そのままの構成では要件を満たせず、誤解を招く説明です。
第121問
こちらをクリック
