Sie befinden sich hier:
Überlegungen zur Verwendung der deterministischen Verschlüsselung
Diese Überlegungen gelten für mit dem deterministischen Verschlüsselungsschema der Shield-Plattformverschlüsselung verschlüsselte Daten. Einige Überlegungen gestalten sich unterschiedlich je nachdem, ob Daten unter Berücksichtigung der Groß- und Kleinschreibung oder mit dem deterministischen Verschlüsselungsschema ohne Berücksichtigung der Groß- und Kleinschreibung verschlüsselt sind.
Erforderliche Editionen
| Verfügbar in Salesforce Classic (nicht in allen Organisationen verfügbar) und Lightning Experience. |
| Verfügbarkeit: Enterprise, Performance und Unlimited Edition mit den Lizenzen Salesforce Shield oder Shield Platform Encryption. |
| In der Developer Edition kostenlos verfügbar. |
API-Optionen zum Ermitteln von filterbaren Feldern
Mithilfe des deterministischen Verschlüsselungsschemas verschlüsselte Felder können gefiltert werden. Sie können die Methode isFilterable() verwenden, um das Verschlüsselungsschema eines bestimmten verschlüsselten Felds zu bestimmen. Die Methode gibt "true" (wahr) zurück, wenn das Feld gefiltert werden kann.
Über die API können Sie das deterministische Verschlüsselungsschema jedoch explizit ermitteln oder festlegen.
Verfügbare Felder und andere Daten
Die deterministische Verschlüsselung steht für benutzerdefinierte URL-, E-Mail-, Telefon-, Text- und Textbereichs-Feldtypen zur Verfügung. Sie ist für andere Datentypen nicht verfügbar, einschließlich:
- Felder vom Typ "Benutzerdefiniertes Datum", "Datum/Uhrzeit", "Langer Textbereich", "Rich-Text-Bereich" oder "Beschreibung"
- Chatter
- Dateien und Anhänge
Groß- und Kleinschreibung
Wenn Sie die deterministische Verschlüsselung unter Berücksichtigung der Groß- und Kleinschreibung verwenden, wird die Groß-/Kleinschreibung beachtet. In Berichten, Listenansichten und SOQL-Abfragen für verschlüsselte Felder wird in den Ergebnissen die Groß- und Kleinschreibung beachtet. Daher gibt eine SOQL-Abfrage für das Kontaktobjekt, bei der "LastName = 'Jones'" lautet, nur "Jones", nicht aber "jones" oder "JONES" zurück. Das von der Groß- und Kleinschreibung abhängige deterministische Schema bedeutet bei Eindeutigkeitstests (Tests auf einmaliges Vorkommen) auch, dass jede Version von "Jones" eindeutig ist.
Chat
Verwenden Sie zum Erzielen der bestmöglichen Empfehlungen das deterministische Verschlüsselungsschema unter Berücksichtigung der Groß- und Kleinschreibung mit dem Feld "Äußerung" im Objekt für Äußerungsvorschläge. Von diesem Feld werden derzeit keine anderen Verschlüsselungsschemas unterstützt.
Vom Feld "Akteurname" im Objekt "Unterhaltungseintrag" wird die deterministische Verschlüsselung mit Berücksichtigung der Groß- und Kleinschreibung, aber nicht die deterministische Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung unterstützt.
Zusammengesetzte Felder
Selbst mit der deterministischen Verschlüsselung funktionieren einige Suchtypen nicht, wenn Daten mit der deterministische Verschlüsselung unter Berücksichtigung der Groß- und Kleinschreibung verschlüsselt wurden. Verkettete Werte, beispielsweise zusammengesetzte Namen, sind nicht mit getrennten Werten identisch. Beispielsweise ist der Ciphertext für den zusammengesetzten Namen "William Jones" nicht mit der Verkettung des Geheimtexts für "William" und "Jones" identisch.
Wenn also die Felder "Vorname" und "Nachname" im Objekt "Kontakte" verschlüsselt sind, funktioniert diese Abfrage nicht.
Select Id from Contact Where Name = 'William Jones'Diese Abfrage funktioniert jedoch.
Select Id from Contact Where FirstName = 'William’ And LastName ='Jones'
Von den Schemas für die deterministische Verschlüsselung mit bzw. ohne Berücksichtigung der Groß- und Kleinschreibung werden zusammengesetzte Felder unterstützt, jedoch nur mit einzelnen Spaltenabfragen.
Konvertieren von Account- und Kontaktdatensätzen in Personenaccounts
Wenn Sie Account- und Kontaktdatensätze in Personenaccounts konvertieren, synchronisieren Sie Ihre Daten. Durch die Synchronisierung werden die Indizes zurückgesetzt, welche die Filterung ohne Berücksichtigung der Groß- und Kleinschreibung zulassen.
Kann nicht mithilfe des Tools zum Zusammenführen von Accounts suchen
Wenn das Feld "Accountname" oder "Kontaktname" mit probabilistischer oder deterministischer Verschlüsselung verschlüsselt ist, werden bei der Suche nach doppelten Accounts oder Kontakten, die zusammengeführt werden sollen, keine Ergebnisse zurückgegeben.
Zuteilungen benutzerdefinierter Felder
Salesforce speichert ein Duplikat Ihrer Daten als benutzerdefiniertes Feld in der Datenbank, um Abfragen ohne Berücksichtigung der Groß- und Kleinschreibung zu unterstützen. Diese Duplikate sind für Abfragen ohne Berücksichtigung der Groß- und Kleinschreibung erforderlich, werden jedoch auf die Gesamtanzahl Ihrer benutzerdefinierten Felder angerechnet. Wenn Sie beispielsweise über 200 benutzerdefinierte Felder in Ihrer Organisation verfügen und eines mit der deterministischen Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung verschlüsseln möchten, beträgt die Gesamtsumme Ihrer benutzerdefinierten Felder 201.
Externe ID
Die von der Groß- und Kleinschreibung abhängige deterministische Verschlüsselung unterstützt zwar benutzerdefinierte Felder vom Typ "Text" und "E-Mail" mit externer ID, jedoch keine anderen benutzerdefinierten Felder mit externer ID. Verwenden Sie beim Erstellen oder Bearbeiten dieser Felder eine der empfohlenen Feldeinstellungskombinationen.
| Feldtyp für externe ID | Eindeutige Attribute | Verschlüsselt |
|---|---|---|
| Text | Ohne | Verwenden Sie die deterministische Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung. |
| Text | Eindeutig unter Berücksichtigung der Groß- und Kleinschreibung | Verwenden Sie die deterministische Verschlüsselung mit Berücksichtigung der Groß- und Kleinschreibung. |
| Text | Eindeutig ohne Berücksichtigung der Groß- und Kleinschreibung | Verwenden Sie die deterministische Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung. |
| Ohne | Verwenden Sie die deterministische Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung. | |
| Eindeutig | Verwenden Sie die deterministische Verschlüsselung mit Berücksichtigung der Groß- und Kleinschreibung. |
Sie können Änderungen an den Optionen "Eindeutig – Berücksichtigung der Groß- und Kleinschreibung" und "Verschlüsselt" nicht gleichzeitig speichern. Ändern Sie eine Einstellung, speichern Sie sie und ändern Sie dann die nächste.
Filteroperatoren
In Berichten und Listenansichten werden die Operatoren "gleich" und "nicht gleich" mit deterministischer Verschlüsselung unter Berücksichtigung der Groß- und Kleinschreibung unterstützt. Andere Operatoren wie "enthält" oder "beginnt mit" geben keine exakte Übereinstimmung zurück und werden nicht unterstützt. Funktionen, die auf nicht unterstützten Operatoren basieren, beispielsweise Filter vom Typ "Eingrenzen nach", werden ebenfalls nicht unterstützt.
Listenansichten und Berichte werden von der deterministischen Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung unterstützt. Auf der Benutzeroberfläche werden jedoch alle Operatoren angezeigt. Dazu zählen auch die Operatoren, die für die verschlüsselten Daten nicht unterstützt werden. Informationen zur Liste der unterstützten Operatoren, die in Salesforce Classic verfügbar sind, finden Sie unter Verwenden verschlüsselter Daten in Formeln.
Filtern von Datensätzen nach Zeichenfolgen
Sie können mithilfe von Zeichenfolgen nach Datensätzen suchen. Kommas in Zeichenfolgen fungieren jedoch als OR-Anweisungen. Wenn in Ihrer Zeichenfolge ein Komma enthalten ist, sollte es von Anführungszeichen umschlossen werden. Beispielsweise gibt eine Suche nach "Universal Containers, Inc, Berlin" Datensätze zurück, die die vollständige Zeichenfolge, einschließlich des Kommas, enthalten. Sucht nach "Universal Containers, Inc, Berlin" gibt Datensätze zurück, die "Universal Containers" oder "Inc" oder "Berlin" enthalten.
Formeln
Mit dem probabilistischen Verschlüsselungsschema verschlüsselte Felder können in SOQL WHERE-Abfragen nicht referenziert werden. Sie können jedoch SOQL WHERE-Abfragen mit Nicht-Formelfeldern verwenden, die mit dem deterministischen Verschlüsselungsschema verschlüsselt sind. Name ist ein Beispiel für ein Nicht-Formelfeld.
Indizes
Wenn Ihr Verschlüsselungsschema das Verschlüsseln von Feldern enthält, die in Indizes verwendet werden, müssen Sie für diese Felder die deterministische Verschlüsselung verwenden.
Wenn Sie Felder verschlüsseln, die Teil eines Index sind oder Eindeutigkeitsanforderungen erfüllen, hat dies erhebliche Auswirkungen. Lesen Sie diesen Abschnitt sorgfältig, damit Sie die Probleme verstehen.
Die deterministische Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung wird unterstützt.
- Die deterministische Verschlüsselung unter Berücksichtigung der Groß- und Kleinschreibung unterstützt Indizes mit einer Spalte, eindeutige Indizes mit einer Spalte und berücksichtigter Groß- und Kleinschreibung, Indizes mit zwei Spalten und benutzerdefinierte Indizes für Standard- und benutzerdefinierte Felder.
- Die deterministische Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung bietet eingeschränkte Unterstützung für Standardindizes in den folgenden Standardfeldern.
- Kontakt – E-Mail
- E-Mail-Nachricht – Beziehung
- Lead – E-Mail
- Name
Beachten Sie diese Leistungsüberlegungen, bevor Sie planen, Indexfelder zu verschlüsseln.
- Schlechte Abfrageleistung: Abfragen für Felder, die mit der deterministischen Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung verschlüsselt wurden, können bei großen Tabellen schlecht abschneiden. Zum Erzielen einer optimalen Abfrageleistung sollten Sie benutzerdefinierte Indizes anstelle der Standardindizes verwenden. Wenden Sie sich zum Einrichten von benutzerdefinierten Indizes an den Salesforce-Kundensupport.
- Nachschlagefeldfilterung: Nachschlagefelder, die auf das Feld "Name" verweisen, basieren ebenfalls auf Indizes. Wenn Sie in Listenansichten und Berichten nach dem Feld "Name" filtern möchten, filtern Sie anstelle eines Nachschlagefelds nach dem Standardfeld "Name".
- Langer Aktivierungsprozess: Sie sollten davon ausgehen, dass die Aktivierung länger dauern kann, wenn Sie eine deterministische Verschlüsselung auf ein Feld mit einer großen Anzahl von Datensätzen anwenden. Der Aktivierungsprozess erstellt auch Feldindizes neu.
Verwenden Sie diese bewährten Vorgehensweisen, wenn Sie Indexfelder verschlüsseln möchten.
- Konsistente Verschlüsselung sicherstellen: Stellen Sie bei der Verwendung der deterministischen Verschlüsselung für indizierte Felder oder Felder mit Eindeutigkeitsanforderungen sicher, dass alle Werte mit demselben deterministischen Schlüssel verschlüsselt werden. Dadurch wird eine zuverlässige Identifizierung von Duplikaten über Datensätze hinweg gewährleistet.
- Durchführen der Verschlüsselungssynchronisierung: Es wird empfohlen, kurz nach den Änderungen, die sich auf die Eindeutigkeit von Indizes auswirken könnten, eine Verschlüsselungssynchronisierung auszuführen, beispielsweise durch Ändern des Verschlüsselungsschemas oder Rotieren des Mandantengeheimnisses für die deterministische Verschlüsselung.
- Plan für Ausfallzeiten: Planen Sie diese Änderungen außerhalb der Hauptverkehrszeiten, um Unterbrechungen zu minimieren. Die Verschlüsselungssynchronisierung wird in Batches ausgeführt und kann je nach Struktur, Datensatzvolumen und den beteiligten Feldern unterschiedlich lange dauern. Arbeiten Sie mit unserem Supportteam zusammen, um die erforderlichen Ausfallzeiten zu planen.
Schlüsselrotation und Filterverfügbarkeit
Durch Hinzufügen, Entfernen oder Ändern eines deterministischen Verschlüsselungsschemas werden Ihre Indizes neu erstellt. Die Benutzeraktivität in verschlüsselten Feldern führt zu doppelten Daten in Indizes, was Synchronisierungsvorgänge beeinträchtigen kann. Nachdem Sie das deterministische Schlüsselmaterial rotiert oder das Verschlüsselungsschema eines Felds zu einer deterministischen Verschlüsselung ohne Berücksichtigung der Groß- und Kleinschreibung geändert haben, synchronisieren Sie Ihre Daten so schnell wie möglich mit Ihrem aktiven Schlüssel. Bei der Synchronisierung wird das aktive Schlüsselmaterial auf vorhandene und neue Daten angewendet. Wenn Sie Ihre Daten nicht synchronisieren, werden keine genauen Ergebnisse zurückgegeben, wenn Sie Felder mit eindeutigen Attributen filtern und abfragen.
Auf der Seite "Verschlüsselungsstatistiken und Datensynchronisierung" unter "Setup" können Sie Daten in Standard- und benutzerdefinierten Feldern selbst synchronisieren. Wenden Sie sich an den Salesforce-Kundensupport, um alle anderen Daten oder große Datenmengen zu synchronisieren. Weitere Informationen zur Datensynchronisierung finden Sie unter Synchronisieren Ihrer Datenverschlüsselung mit dem Hintergrundverschlüsselungsservice.
Next Best Action Recommendations (Empfehlungen für Next Best Action)
Bei der deterministischen Verschlüsselung können Sie verschlüsselte Felder nur bei Ladebedingungen mit dem Operator "gleich" oder "ungleich" verwenden.
Entfernen der deterministischen Verschlüsselung aus Feldern
Wenn Sie die Verschlüsselung aus einem mit deterministischer Verschlüsselung verschlüsselten Feld entfernen, benötigt Shield Platform Encryption einige Zeit, um dieses Feld in Ihrer gesamten Organisation zu entschlüsseln. Die Größe Ihrer Organisation bestimmt, wie lange dieser Prozess dauert. Daher weist das Feld erst nach Abschluss dieser Aktualisierung die Filter- und Sortiereigenschaften eines nicht verschlüsselten Felds auf.
GROUP BY-Anweisungen für SOQL
Stellen Sie where-Klauseln gemäß den Regeln für die SOQL/SOSL-Referenzseiten-Vergleichsoperatoren zusammen.
Die Klausel GROUP BY wird von der deterministischen Verschlüsselung nicht unterstützt. Wenn Sie GROUP BY mithilfe eines deterministischen Felds angeben, sind Ihre Gruppierungen nicht genau oder konsistent.
SOQL LIKE- und STARTS WITH-Anweisungen
Von der deterministischen Verschlüsselung werden nur exakte Übereinstimmungen unterstützt, bei denen die Groß-/Kleinschreibung beachtet wird. Vergleichsoperatoren, die teilweise Übereinstimmungen zurückgeben, werden nicht unterstützt. Beispielsweise werden LIKE- und STARTS WITH-Anweisungen nicht unterstützt.
ORDER BY-Anweisungen für SOQL
Da die deterministische Verschlüsselung die Sortierreihenfolge von verschlüsselten Daten in der Datenbank nicht beibehält, wird "ORDER BY" nicht unterstützt.
