Prácticas recomendadas para permisos de usuario de agentes
Muchos agentes de IA, como agentes que se conectan a canales de Mensajería, operan como usuarios de Salesforce en su organización. Los permisos que otorga a estos usuarios agentes determinan las acciones que los agentes de IA pueden realizar.
Ediciones necesarias
| Disponible en: Lightning Experience |
| Disponible en: Enterprise Edition, Performance Edition, Unlimited Edition y Developer Edition. Las licencias complementarias requeridas varían según el tipo de agente. |
Un agente de IA puede interactuar con empleados o clientes. La mayoría de los agentes que interactúan con empleados se conectan a canales restringidos a usuarios que iniciaron sesión, como Lightning Experience. Estos agentes se ejecutan en el contexto del usuario que inició sesión. Los controles de acceso de Salesforce que ya tiene establecidos (como licencias de usuario, permisos, seguridad a nivel de campo y configuración de colaboración) determinan a qué puede acceder el agente.
La mayoría de los agentes que interactúan con clientes se conectan a canales que no están restringidos a usuarios que iniciaron sesión, como canales de Mensajería. Para acceder de forma segura a los datos y realizar acciones a las que estos usuarios finales no tienen acceso, el agente opera como un usuario agente: un usuario de integración de Salesforce con todos los permisos que el agente necesita para hacer su trabajo.
Puede crear un usuario agente en Creador de agentes. Recomendamos seleccionar la opción Nuevo usuario agente, que crea un usuario agente con acceso mínimo de modo que su agente sea seguro de forma predeterminada. Otorgue al agente el acceso adicional que necesita. Cuando decida a qué otorgar acceso a su agente, siga el principio de menor privilegio.
Acceso recomendado para el usuario agente
Además del acceso que un usuario agente tiene de forma predeterminada, la mayoría de los usuarios agentes requieren:
- Una función que permite al agente ver o modificar los registros con los que interactúa.
- El nivel mínimo de permisos de objeto para cada objeto con el que interactúa el agente a través de flujos, Apex o plantillas de solicitud. Cuando agregue una nueva acción a su agente, asegúrese de que el usuario agente tiene acceso a los objetos a los que se hace referencia en la acción.
Revise la documentación del agente para requisitos adicionales. Si su agente requiere acceso a funciones adicionales, como plantillas de solicitudes, cree un conjunto de permisos o grupo de conjuntos de permisos que otorgue al usuario agente el acceso que necesita. Los conjuntos de permisos personalizados que asigne al usuario agente deben asociarse con la licencia Agente Einstein y el perfil Usuario de agente Einstein
| Función que utiliza su agente | Permisos requeridos |
|---|---|
| Plantillas de solicitud, incluyendo aquellas asociadas con acciones de agentes | Conjunto de permisos: Solicitar usuario de plantilla |
| Flujos, incluyendo aquellos asociados con acciones de agentes | Permiso de aplicación: Ejecutar flujos O BIEN Otorgar acceso a flujos individuales |
| Clases Apex, incluyendo aquellas asociadas con acciones de agentes | Acceso de clase Apex: Seleccione las clases Apex que utiliza el agente. |
Funciones y acciones que aprovechan Knowledge y Data 360, como:
|
Permiso de aplicación: Permitir ver Knowledge |
| Permiso de aplicación: Acceder a entradas de conversación | |
| Conjunto de permisos: Usuario de Data Cloud | |
Visibilidad de categoría de datos: Seleccione las categorías de datos que incluyen datos de artículos de Knowledge que desea que su agente utilice en respuestas. Consulte Visibilidad de categoría de datos |
|
| Permisos de objeto: Siguiendo el principio de menor privilegio, otorgue acceso al objeto Knowledge. |
Cuando crea un usuario agente para un Agente de servicio Agentforce (ASA) en Creador de agentes, el usuario incluye estas propiedades de forma predeterminada.
- Licencia de usuario: Agente Einstein
- Perfil: Usuario de agente Einstein
- Apellidos: Usuario de EinsteinServiceAgent
- Grupo de conjuntos de permisos: AgentforceServiceAgentUserPsg, que contiene el conjunto de permisos Base segura Agente de servicio Agentforce
La mayoría de los ASA requieren permisos adicionales para acceder a funciones y objetos requeridos.
- Mensajería o chat mejorado
- Acceso Leer, Crear, Modificar, Eliminar, Ver todos los registros, Modificar todos los registros o Ver todos los campos a los objetos Contacto, Caso, Problemas relacionados con casos y Knowledge
- Acceso a plantillas de solicitudes, flujos, clases Apex, Biblioteca de datos Agentforce y la acción de agente Responder a preguntas con Knowledge
Consideraciones de usuario de agente
Los valores predeterminados de colaboración de toda la organización (OWD) determinan qué acceso tienen los usuarios a registros que no poseen. En una sesión de agente con un usuario autenticado, la sesión se ejecuta en el contexto del usuario final y OWD depende de si el usuario es externo o interno. En una sesión de agente con un usuario no autenticado, la sesión se ejecuta en el contexto del usuario agente y se aplica OWD para usuarios internos.
Revise cuidadosamente su OWD, los permisos de su usuario agente y su configuración de agente para garantizar el acceso de registro correcto para sus usuarios finales y su negocio.
- Para todos los agentes que utilizan el registro de usuario del agente, recomendamos utilizar filtros y variables para limitar el acceso a registros en los niveles de subagente y acción. Esta estrategia protege datos confidenciales independientemente de su OWD.
- Puede restringir su OWD para usuarios internos para limitar el acceso a registros para todos los usuarios internos. A continuación puede crear reglas de colaboración para otorgar acceso de forma selectiva, excluyendo el Usuario de agente de Einstein cuando sea apropiado.
- Para asegurarse de que su agente tiene el acceso correcto, pruebe el agente en su entorno sandbox antes de implementarlo.
- Solo los usuarios de Salesforce con permisos de administrador pueden ver o modificar un usuario agente.
- No puede iniciar sesión en Salesforce con credenciales de usuario de agente.
- Como el usuario agente trabaja en Salesforce, su nombre de usuario puede aparecer en los campos Creado por, Última modificación por o Propietario en registros o en campos de auditoría en Salesforce.
- Para diferenciar entre usuarios agentes, considere actualizar el nombre de cada usuario al nombre del agente con el que está asociado.
- Para encontrar fácilmente todos los usuarios agentes en la página Configuración de usuarios, considere crear una vista de lista que filtre por el perfil Usuario de agente de Einstein.
