詳細情報:
EnableQueryWithFLS のオムニインテグレーション設定の定義を「True」に設定
OmniStudio Integration Procedure および DataRaptor によって実行される SOQL クエリ中に項目レベルセキュリティ (FLS) 検証を適用します。
コントロール名
OmniStudio - オブジェクトおよび項目レベルセキュリティ (EnableQueryWithFLS の [Omni Integration Configuration Setup (オムニインテグレーション設定)] を「True」に設定)。
制御の概要
OmniStudio Integration Procedure および DataRaptor によって実行される SOQL クエリ中に項目レベルセキュリティ (FLS) 検証を適用し、ユーザーがプロファイル/権限セットで参照することが明示的に許可されている項目のみを照会できるようにします。
説明
Omni Integration Configuration カスタム設定で有効化すると、OmniStudio は実行時にクエリ文字列を動的に変更し、FLS 参照アクセス権のない項目を除外します。動的クエリの構築によって、ローコードコンポーネントが標準の Salesforce 項目セキュリティを迂回するのを防ぎます。
推奨設定
[設定] > [カスタム設定] > [オムニインテグレーション設定] で EnableQueryWithFLS の [オムニインテグレーション設定] を [True] に設定します。
セキュリティへの影響
Integration Procedure でユーザー権限に関係なく制限された PII 項目を照会できる OmniStudio の FLS バイパスの脆弱性を排除します。ローコード開発と従来の Apex 開発で一貫した項目セキュリティを確保します。
ビジネスへの影響
OmniStudio クエリセキュリティをネイティブの Salesforce ガバナンスモデルと一致させます。Vlocity の実装を含むすべてのアプリケーションレイヤーで一貫した FLS の適用を示すコンプライアンス監査をサポートします。
設定されていない場合のセキュリティリスク
OmniStudio を使用するすべてのユーザーの項目レベルのクエリ権限を厳密に検証するための高度なセキュリティチェックの適用がないため、動的ローコードクエリを介して不正な項目アクセスが可能です。
脅威のシナリオ
外部ポータルユーザーまたは侵害された取引先は、FLS を無視する OmniStudio FlexCard を使用して機密 PII 項目 (SSN、医療 ID、財務データ) を照会します。内部ユーザーは、項目制限のない Integration Procedure 出力を使用して給与、業績、または機密データにアクセスします。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
既存の DataRaptor/Integration Procedure の包括的なテストが必要な変更。動的クエリの書き換えによるパフォーマンスオーバーヘッド。有効化後に権限セットの更新が必要になる可能性が高い。
より高いリスク
詳細な項目制限がある複雑な FLS モデル、PII オブジェクトにアクセスする外部/Experience Cloud ユーザー、顧客向けアプリケーションを強化する OmniStudio、制限された項目の Shield 暗号化。
低リスク
プロファイル間で項目アクセスを統一し、内部ユーザーのみ、動的クエリを使用しない参照のみの OmniStudio ダッシュボード、機密項目を使用しないシンプルなオブジェクトモデル。
ビジネスと統合に関する考慮事項
本番の OmniStudio リリースの場合は必須。まず Sandbox で有効にして、すべてのインテグレーション手順を検証する。本番ロールアウト前に PII オブジェクトの FLS 設定を監査する。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
そうに違いない
影響を受けるユーザー
Integration Procedure を作成する OmniStudio 開発者、FLS を管理するセキュリティ管理者、制限されたデータにアクセスする外部ポータルユーザー、項目セキュリティ適用を検証するコンプライアンスチーム。
