セキュリティをより一層強化するため、2025年10月21日(火)に、権限制御機能(API連携・権限ルール)の仕様変更を行います。
※本仕様変更に伴い、APIをご利用のお客様には事前確認をお願いしております。詳細は後述の「APIをご利用のお客様へのお願い」をご確認ください。
今回の仕様変更内容は以下の通りです。
本仕様変更に伴い、従来可能であった一部操作が制限される可能性があります。具体的な影響範囲については「仕様変更詳細」を必ずご確認ください。
仕様変更実施日
【メンテナンス日時】
2025年10月21日(火) 23:00~26:00
※システムメンテナンスの終了時刻は進行状況によって前後することがございますので、あらかじめご了承ください。
メンテナンスの詳細につきましては、こちらをご参照ください。
仕様変更詳細
変更点1:API機能のアクセス制御
SATORI管理画面で設定した権限ルール(カスタマー)が、API経由の操作にも適用されるようになります。
設定内容によっては既存のAPI利用に影響が出る可能性があるため、ご注意ください。
■対象のAPI
リクエストに利用するユーザーアクセスキー・ユーザーシークレットキーの取得元ユーザーに権限がない場合、API経由でも以下の操作ができなくなります。
■影響を受ける操作
- カスタマーの新規登録
- カスタマーの編集
- カスタマーの削除
- カスタマーの一括登録
- カスタマーステータスの一括取得
- カスタマーのユーザー定義アクション 新規登録
■必要となる権限
| APIの種類 | 権限ルールの項目 | |||||
| カスタマー | カスタマーのユーザー定義アクション | |||||
| カスタマー新規登録 | カスタマー情報の編集※1 | カスタマーの削除※1 | カスタマーの一括登録 | カスタマーステータスの一括取得※2 | 新規登録の実行※3 | |
|
新規登録用 (registration.json) |
〇 |
|
|
|
|
|
|
新規登録および更新用 (upsert.json) |
|
〇 |
|
|
|
|
|
削除用 (delete.json) |
|
|
〇 |
|
|
|
|
カスタマーバルクAPI 新規登録用 (bulk_customers/registration.json) |
|
|
|
〇 |
|
|
|
カスタマーバルクAPI 新規登録および更新用 (bulk_customers/upsert.json) |
|
|
|
〇 |
|
|
|
一括取得用 (bulk_customers/status.json) |
|
|
|
|
〇 |
|
|
カスタマーアクション追加API (add_action.json) |
|
|
|
|
|
〇 |
※1 「自分のみ」の場合:自分のAPIキーで登録したカスタマー、または自分が管理画面から登録したカスタマーに対してのみ実行可能です。
それ以外のカスタマー(他のユーザーや他のAPIキーで登録されたもの)には実行できません。
※2 権限ルールの項目に新しく追加されます。詳細は、こちらをご参照ください。
※3 権限ルールの項目に新しく追加されます。詳細は、こちらをご参照ください。
APIをご利用のお客様へのお願い
今回の仕様変更に伴い、APIをご利用中のお客様は既存の実装に影響が出る可能性があります。
事前にご確認いただき、必要に応じて以下の対応をお願いします。
- API連携に利用している(ユーザーアクセスキーおよびユーザーシークレットキーの取得元となる)ユーザーに、各種APIの操作を制限する権限が付与されていないか、ご確認をお願いします。
該当する場合は、次のいずれかの対応が必要となります。- 当該ユーザーの権限ルールを適切な権限に変更する。
- ユーザーアクセスキー、ユーザーシークレットキーの取得元を、適切な権限を持つユーザーに変更する。
- API連携の設定を外部に委託している場合、本リリース内容を伝え、上記の対応を依頼してください。
変更点2:権限ルールへの項目追加
[企業・組織管理] > [権限ルール] に、新たに以下の項目が追加されます。
「権限ルール」の詳細についてはこちらをご参照ください。
■ シナリオ > 編集の実行(許可・自分の物のみ・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:許可
- 請求情報のみ:禁止
■ カスタマー > カスタマーステータスの一括取得(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:許可
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
※対象は処理状況取得API(status.json)のみです。SATORI管理画面の操作には影響しません。
■ カスタマーのユーザー定義アクション > 新規登録画面の表示(許可・禁止)
※「ユーザー定義アクション」の詳細についてはこちらをご参照ください。
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
■ カスタマーのユーザー定義アクション > 新規登録の実行(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
■ カスタマーのユーザー定義アクション > 削除の実行(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:禁止
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
■ アクセス企業 >CSV出力(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
■ アクセス企業詳細 >CSV出力(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
■注意事項
項目の追加は、既存の権限ルールにも適用されます。
「設定がない権限のデフォルト値(※4)」を「禁止」に設定している場合、ユーザー定義の権限が設定されたユーザーでログインすると、今回新たに権限として追加されたシナリオの編集、ユーザー定義アクションの新規登録および削除、アクセス企業機能内のCSV出力ができなくなります。
従来と同様の操作を行いたい場合は、仕様変更後に対応する各権限を「許可」に変更する必要があります。
権限ルールの編集が許可されていない場合は、許可されているユーザーに変更を依頼してください。
(※4)「設定がない権限のデフォルト値」の設定は、管理画面右上の人型アイコン [所属企業・組織] > [︙] > [企業アカウント情報] > 「設定がない権限のデフォルト値」から確認できます。
関連オンラインマニュアル/FAQ
- 関連オンラインマニュアル:API(新規登録用・新規登録および更新用・削除用)
- 関連オンラインマニュアル:カスタマーバルクAPI(新規登録用・新規登録および更新用)
- 関連オンラインマニュアル:カスタマーアクション追加API