2021/11/11のUI刷新 第一弾リリースにてカラースキーム(配色設計)とタイポグラフィ(文字の書体、大きさ、配列のしかたなど)を変更しております。オンラインマニュアルに掲載している画面キャプチャと実際の管理画面の配色や文字の状態が異なる場合がございますがご了承いただけますと幸いでございます。
このたび、セキュリティをより一層強化するため、権限ルール機能およびAPI連携における権限制御の仕様を一部変更することといたしました。
変更の主な内容は下記の通りです。
- 権限ルール機能に、「カスタマーのユーザー定義アクション」に対する項目を追加
- ユーザーに付与された権限ルールの設定に基づき、API機能のアクセスを制御できる仕組みに変更
本リリースに伴い、APIをご利用のお客様にはお願い事項がございます。
以下に詳細をご案内いたしますので、ご確認くださいますようお願いいたします。
仕様変更実施日
(2024年7月25日追記)
7月25日(木)に権限ルール機能およびAPI連携における権限制御の仕様の一部変更に伴うメンテナンスを予定しておりましたが、弊社の都合により実施を中止させていただきます。
お客様には度重なるご迷惑をおかけし、深くお詫び申し上げます。
今後のリリース予定につきましては、改めて詳細をご連絡いたします。
2024年6月26日(水)2024年7月26日(金)
(2024年7月16日追記)
リリース延期に伴うメンテナンスを以下の通り行います。
【メンテナンス日時】
2024年7月25日(木)23:00-26:00
※システムメンテナンスの終了時刻は進行状況によって前後することがございますので、あらかじめご了承ください。
(2024年6月27日追記)
6月26日(水)、仕様変更に伴うメンテナンスを実施いたしました。
しかしながら、メンテナンス後検証作業において意図しない挙動が確認されたため、お客様への影響を考慮し、誠に勝手ながらリリース前の状態に一時的に戻す対応を取らせていただきました。
お客様にはご迷惑をおかけし、深くお詫び申し上げます。
今後のリリース予定につきましては、改めて詳細をご連絡いたします。
なお、今回のリリース延期による、その他の機能への影響はございません。
※リリースに伴うメンテナンスの詳細につきましては、こちらをご参照ください。
仕様変更詳細
権限ルール機能への項目追加
[企業・組織管理] > [権限ルール] で設定できる権限ルールに、「カスタマーのユーザー定義アクション」の項目が新しく追加されます。
■カスタマーのユーザー定義アクションの追加権限
- 新規登録画面の表示
- 新規登録の実行
- 削除の実行
※「ユーザー定義アクション」の詳細についてはこちらをご参照ください。
※「権限ルール」の詳細についてはこちらをご参照ください。
■注意事項
項目の追加は、既存の権限ルールにも適用されます。
以下に詳細をご案内いたしますので、必要に応じて権限ルールの設定およびユーザーに付与する権限ルールを見直していただきますようお願いいたします。
- システム定義の以下の権限は、ユーザー定義アクションの操作に制限が追加されます。
- 閲覧のみ:新規登録、削除の操作が「禁止」となります。
- 削除禁止:新規登録の操作が「禁止」となります。
- 「設定がない権限のデフォルト値(※1)」を「禁止」に設定している場合、ユーザー定義の権限が設定されたユーザーでログインすると、ユーザー定義アクションの新規登録および削除ができなくなります。
従来と同様の操作を行いたい場合は、仕様変更後にユーザー定義アクションの各権限を「許可」に変更する必要があります。
権限ルールの編集が許可されていない場合は、許可されているユーザーに変更を依頼してください。
(※1)「設定がない権限のデフォルト値」の設定は、管理画面右上の人型アイコン [所属企業・組織] > [︙] > [企業アカウント情報] > 「設定がない権限のデフォルト値」から確認できます。
※システム定義およびユーザー定義の設定は、左カラムメニュー [企業・組織管理] > [権限ルール]の各タブ内で確認できます。
API機能のアクセス制御
API連携において、ユーザーアクセスキーとユーザーシークレットキーの取得元となるユーザーに、カスタマーの登録・編集・削除や、ユーザー定義アクションの新規登録の権限がない場合は、API経由でもそれらの操作ができなくなります。
■対象のAPI
■必要となる権限
| APIの種類 | 権限ルールの項目 | |||
| カスタマー | カスタマーのユーザー定義アクション(※新設) | |||
| カスタマー新規登録 | カスタマー情報の編集 | カスタマーの削除 | 新規登録の実行 | |
| 新規登録用 (registration.json) |
○ | |||
| 新規登録および更新用 (upsert.json) |
○ | |||
| 削除用 (delete.json) |
○ | |||
| カスタマーアクション追加API (add_action.json) |
○ | |||
APIをご利用のお客様へのお願い事項
メンテナンス実施に先立ち、以下のお願い事項がございます。
メンテナンス実施の6月26日までにご対応くださいますよう、お願いいたします。
(2024年7月17日追記)
リリース延期に伴いまして、改めて7月26日までにご対応くださいますようお願いいたします。
- API連携に利用している(ユーザーのユーザーアクセスキーおよびユーザーシークレットキーの取得元となる)ユーザーについて、カスタマーの新規登録・編集・削除や、ユーザー定義アクションの新規登録が制限された権限が付与されていないか、確認をお願いいたします。
該当する場合は、次のいずれかの対応が必要となります。
- 当該ユーザーの権限ルールを適切な権限に変更する。
- ユーザーアクセスキー、ユーザーシークレットキーの取得元を、適切な権限を持つユーザーに変更する。
- API連携の設定を外部に委託している場合、本リリース内容を伝え、上記の対応を依頼してください。
【対応が必要な例】
| ・「管理責任者」や「管理者」以外のシステム定義の権限が付与されたユーザーをAPI連携に利用している場合 ・必要となる権限が禁止されているユーザー定義の権限が付与されたユーザーをAPI連携に利用している場合 |
ユーザーアクセスキー、ユーザーシークレットキーの取得方法は、こちらをご参照ください。
なお、SATORI APIを利用した貴社システムとの連携方法や実装支援などはサポート範囲外とさせていただいております。
そのため、当社ではAPI連携の利用状況や対象システムの詳細について確認することができません。
API連携の利用状況を含め、設定変更のご対応などは技術的な知識を有する開発ご担当者様へご相談のうえ、対応いただけますようお願いいたします。