Управление тем, кто и что видит

Безопасность объекта (наборы полномочий и профили)

Безопасность объекта (или полномочия объекта) предоставляет самый простой способ управления доступом к данным. Чтобы запретить пользователю просмотр, создание, редактирование или удаление любого экземпляра определенного типа объекта (например, интереса или возможности), воспользуйтесь полномочиями объекта. Вы можете скрыть вкладки и объекты от выбранных пользователей, чтобы они даже не знали о существовании такого типа данных.

Полномочия объекта можно указать в наборах полномочий и профилях. Наборы полномочий и профили — это наборы параметров и полномочий, определяющие действия пользователя в приложении. Параметры аналогичны группе в сети Windows, где участники группы имеют одинаковые полномочия папки и доступ к одному программному обеспечению.

Обычно профили определяются функциональностью пользователя, например, администратором Salesforce или торговым представителем. Вы можете назначить один профиль многим пользователям, но можете назначить только один профиль на пользователя. Вы можете использовать наборы полномочий для предоставления дополнительных полномочий и параметров доступа пользователям. Теперь управлять полномочиями и доступом пользователей проще, поскольку можно назначить несколько наборов полномочий одному пользователю.

Безопасность поля (наборы полномочий и профили)

Иногда требуется, чтобы пользователи имели доступ к объекту, ограничивая при этом доступ к отдельным полям в этом объекте. Безопасность поля (или полномочия поля) определяет доступность, редактирование и удаление значения отдельного поля объекта. Вы можете защитить конфиденциальные поля, не скрывая весь объект. Полномочия поля можно также контролировать в наборах полномочий и профилях.

Полномочия поля определяют доступность полей в любой части приложения, включая связанные списки, списковые представления, отчеты и результаты поиска. Чтобы гарантировать пользователям доступ к определенному полю, используйте полномочия поля. Никакие другие параметры не предоставляют такой защиты полю. Макеты страниц определяют доступность полей только на страницах редактирования и просмотра сведений.

Примечание За некоторыми исключениями, результаты поиска не возвращаются для записей с полями, которые недоступны администратору или конечному пользователю из-за безопасности поля. Например, пользователь ищет Лас-Вегас в разделе «Организации», но не имеет доступа к полям «Организация» «Адрес для счета» и «Адрес отправки». Salesforce выполняет поиск по ключевым словам, сопоставляя термины «Лас-Вегас», «Лас-Вегас» и «Вегас» в полях, доступных для поиска. Результаты не возвращаются для записей, соответствующих только полям «Адрес для счета» и «Адрес отправки», поскольку у пользователя нет доступа к этим полям. Некоторые поля не поддерживают безопасность поля и возвращают результаты поиска.

Безопасность записи (общий доступ)

После настройки полномочий доступа на уровне объекта и поля можно настроить параметры доступа для записей. Безопасность записи позволяет предоставлять пользователям доступ к одним записям объектов, но не к другим. Каждая запись принадлежит пользователю или очереди. Ответственный имеет полный доступ к записи. В иерархии вышестоящие пользователи всегда имеют одинаковый доступ к нижестоящим пользователям. Этот доступ применяется к записям, за которые ответственны пользователи, и записям, доступным для них.

Чтобы задать параметры безопасности записи, задайте единые параметры общего доступа, определите иерархию и создайте правила общего доступа.

• Единые параметры общего доступа

  Первым шагом в обеспечении безопасности записи является определение единых параметров общего доступа для каждого объекта. Единые параметры общего доступа определяют стандартный уровень доступа пользователей к записям друг друга.

  Вы используете единые параметры общего доступа для блокировки данных на самом ограниченном уровне. Используйте другие инструменты безопасности записи и общего доступа для выборочного предоставления доступа другим пользователям. Например, пользователи имеют полномочия объекта для чтения и редактирования возможностей, а единый параметр общего доступа установлен на «Только для чтения». По умолчанию, эти пользователи могут просматривать все записи возможностей, но могут редактировать их только при наличии ответственности за запись или других полномочий.

• Иерархия ролей

  После определения единых параметров общего доступа, первый способ предоставить более широкий доступ к записям - иерархия ролей. Как и в организационной диаграмме, иерархия ролей — это уровень доступа к данным, необходимый пользователю или группе пользователей. Иерархия ролей обеспечивает доступ вышестоящих пользователей к данным нижестоящих пользователей, независимо от единых стандартных параметров. Каждая роль в иерархии может представлять уровень доступа к данным, необходимый пользователю или группе пользователей, а не соответствовать диаграмме организации.

  Таким же образом, иерархию территорий можно использовать для предоставления общего доступа к записям. См. «Определение стандартного доступа пользователя для записей территории».

  

  Примечание Хотя наборы полномочий и профили легко спутать с ролями, они управляют двумя разными вещами. Наборы полномочий и профили управляют полномочиями доступа к объектам и полям пользователя. Роли определяют уровень доступа пользователя к записям посредством иерархии ролей и правил общего доступа.
• Правила общего доступа

  Правила общего доступа позволяют автоматически исключать единые параметры общего доступа для наборов пользователей. Используйте правила общего доступа, чтобы предоставить этим пользователям доступ к записям, за которые они ответственны или которые обычно не видят. Правила общего доступа, как и иерархии ролей, используются только для предоставления большему количеству пользователей доступа к записям - они не могут быть строже единых стандартных параметров.

• Общий доступ вручную

  Иногда невозможно определить последовательную группу пользователей, которым нужен доступ к определенному набору записей. Ответственные за записи могут использовать общий доступ, установленный вручную, для предоставления полномочий на чтение и редактирование пользователям, не имеющим доступа другим способом. Общий доступ, установленный вручную, не автоматизирован, как единые параметры общего доступа, иерархии ролей или правила общего доступа. Но он предоставляет ответственным за записи возможность предоставления общего доступа к записям пользователям, которые должны их видеть.

• Общий доступ пользователей

  С помощью общего доступа к пользователям можно отобразить или скрыть внутреннего или внешнего пользователя от другого пользователя организации. Правила общего доступа основаны на принадлежности к общедоступной группе, роли или территории, поэтому перед созданием правил общего доступа пользователей необходимо создать соответствующие общедоступные группы, роли или территории. Каждое правило общего доступа предоставляет участникам целевой группы общий доступ к участникам исходной группы. Пользователи наследуют тот же доступ, что и нижестоящие пользователи в иерархии ролей.

• Управляемый общий доступ к Apex

  Если правила общего доступа и общий доступ, установленный вручную, не предоставляют требуемого контроля, можно использовать управляемый общий доступ Apex. Управляемый общий доступ Apex позволяет разработчикам программно предоставлять общий доступ к настраиваемым объектам. При использовании управляемого общего доступа Apex к настраиваемому объекту добавлять или изменять общий доступ к записи настраиваемого объекта могут только пользователи с полномочием «Изменение всех данных». Доступ к общему доступу сохраняется при изменении ответственного за запись.

• Правила ограничения

  Если правило ограничения применяется к пользователю, данные, к которым у него был доступ для чтения посредством параметров общего доступа, дополнительно ограничиваются только записями, соответствующими заданным критериям записи. Этот алгоритм аналогичен способу фильтрации результатов в списковом представлении или отчете, за исключением его необратимости.

• Правила масштабирования

  Правила масштабирования позволяют задавать критерии, позволяющие пользователям просматривать только связанные записи. Правила масштабирования не ограничивают доступ к записям, который уже есть у пользователей. Они охватывают записи, отображаемые пользователям. Пользователи могут открывать и составлять отчеты по всем записям, доступным в соответствии с параметрами общего доступа.