セキュリティをより一層強化するため、2025年10月21日(火)に、権限制御機能(API連携・権限ルール)の仕様変更を行いました。
※本仕様変更に伴い、APIをご利用のお客様にはご確認をお願いしております。詳細は後述の「APIをご利用のお客様へのお願い」をご確認ください。
今回の仕様変更内容は以下の通りです。
本仕様変更に伴い、従来可能であった一部操作が制限される可能性があります。具体的な影響範囲については「仕様変更詳細」を必ずご確認ください。
仕様変更実施日
【メンテナンス日時】
2025年10月21日(火) 23:00~26:00
メンテナンスの詳細につきましては、こちらをご参照ください。
仕様変更詳細
変更点1:API機能のアクセス制御
SATORI管理画面で設定した権限ルール(カスタマー)が、API経由の操作にも適用されるようになります。
設定内容によっては既存のAPI利用に影響が出る可能性があるため、ご注意ください。
■対象のAPI
リクエストに利用するユーザーアクセスキー・ユーザーシークレットキーの取得元ユーザーに権限がない場合、API経由でも以下の操作ができなくなります。
■影響を受ける操作
- カスタマーの新規登録
- カスタマーの編集
- カスタマーの削除
- カスタマーの一括登録
- カスタマーステータスの一括取得
- カスタマーのユーザー定義アクション 新規登録
■必要となる権限
| APIの種類 | 権限ルールの項目 | |||||
| カスタマー | カスタマーのユーザー定義アクション | |||||
| カスタマー新規登録 | カスタマー情報の編集※1 | カスタマーの削除※1 | カスタマーの一括登録 | カスタマーステータスの一括取得※2 | 新規登録の実行※3 | |
| 新規登録用(registration.json) | 〇 | |||||
| 新規登録および更新用(upsert.json) | 〇 | |||||
| 削除用(delete.json) | 〇 | |||||
| カスタマーバルクAPI新規登録用(bulk_customers/registration.json) | 〇 | |||||
| カスタマーバルクAPI新規登録および更新用(bulk_customers/upsert.json) | 〇 | |||||
| 一括取得用(bulk_customers/status.json) | 〇 | |||||
| カスタマーアクション追加API(add_action.json) | 〇 | |||||
※1 「自分のみ」の場合:自分のAPIキーで登録したカスタマー、または自分が管理画面から登録したカスタマーに対してのみ実行可能です。
それ以外のカスタマー(他のユーザーや他のAPIキーで登録されたもの)には実行できません。
※2 権限ルールの項目に新しく追加されます。詳細は、こちらをご参照ください。
※3 権限ルールの項目に新しく追加されます。詳細は、こちらをご参照ください。
APIをご利用のお客様へのお願い
今回の仕様変更に伴い、APIをご利用中のお客様は既存の実装に影響が出る可能性があります。
ご確認いただき、必要に応じて以下の対応をお願いします。
- API連携に利用している(ユーザーアクセスキーおよびユーザーシークレットキーの取得元となる)ユーザーに、各種APIの操作を制限する権限が付与されていないか、ご確認をお願いします。
該当する場合は、次のいずれかの対応が必要となります。- 当該ユーザーの権限ルールを適切な権限に変更する。
- ユーザーアクセスキー、ユーザーシークレットキーの取得元を、適切な権限を持つユーザーに変更する。
- API連携の設定を外部に委託している場合、本リリース内容を伝え、上記の対応を依頼してください。
変更点2:権限ルールへの項目追加
[企業・組織管理] > [権限ルール] に、新たに以下の項目が追加されます。
「権限ルール」の詳細についてはこちらをご参照ください。
シナリオ > 編集の実行(許可・自分の物のみ・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:許可
- 請求情報のみ:禁止
カスタマー > カスタマーステータスの一括取得(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:許可
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
※対象は処理状況取得API(status.json)のみです。SATORI管理画面の操作には影響しません。
カスタマーのユーザー定義アクション > 新規登録画面の表示(許可・禁止)
※「ユーザー定義アクション」の詳細についてはこちらをご参照ください。
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
カスタマーのユーザー定義アクション > 新規登録の実行(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
カスタマーのユーザー定義アクション > 削除の実行(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:禁止
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
アクセス企業 >CSV出力(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
アクセス企業詳細 >CSV出力(許可・禁止)
システム定義は以下の権限になります
- 閲覧のみ:禁止
- 削除禁止:許可
- コンテンツ制作向け:禁止
- 請求情報のみ:禁止
注意事項
項目の追加は、既存の権限ルールにも適用されます。
「設定がない権限のデフォルト値(※4)」を「禁止」に設定している場合、ユーザー定義の権限が設定されたユーザーでログインすると、今回新たに権限として追加されたシナリオの編集、ユーザー定義アクションの新規登録および削除、アクセス企業機能内のCSV出力ができなくなります。
従来と同様の操作を行いたい場合は、仕様変更後に対応する各権限を「許可」に変更する必要があります。
権限ルールの編集が許可されていない場合は、許可されているユーザーに変更を依頼してください。
(※4)「設定がない権限のデフォルト値」の設定は、管理画面右上の人型アイコン [所属企業・組織] > [︙] > [企業アカウント情報] > 「設定がない権限のデフォルト値」から確認できます。
