Erfassen Sie Ihre Fortschritte
Trailhead-Startseite
Trailhead-Startseite

Steuern des Zugriffs auf Objekte

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
  • Anzeigen vorhandener und Erstellen neuer Profile
  • Ändern des Zugriffs auf Objekte mit Profilen
  • Anzeigen aller Benutzer, denen ein bestimmtes Profil zugewiesen ist
  • Erstellen neuer Berechtigungssätze
  • Zuweisen von Berechtigungssätzen zu einzelnen oder mehreren Benutzern

Verwalten von Objektberechtigungen

Die einfachste Methode, den Datenzugriff zu steuern, ist die Festlegung von Berechtigungen für einen bestimmten Objekttyp. (Bei einem Objekt handelt es sich um eine Sammlung von Datensätzen wie Leads oder Kontakten.) Sie können steuern, ob eine Benutzergruppe Datensätze dieses Objekts erstellen, anzeigen, bearbeiten oder löschen darf.

Objektberechtigungen werden über Profile oder Berechtigungssätze vergeben. Ein Benutzer kann über ein Profil und viele Berechtigungssätze verfügen.
  • Das Profil eines Benutzers bestimmt die Objekte, auf die der Benutzer zugreifen darf, und die Berechtigungen, die der Benutzer für Objektdatensätze besitzt ("Lesen", "Erstellen", "Bearbeiten" und "Löschen").
  • Mit Berechtigungssätzen gewähren Sie einem Benutzer zusätzliche Berechtigungen und Zugriffseinstellungen.

Verwenden Sie Profile, um die Mindestberechtigungen und -einstellungen festzulegen, die alle Benutzer eines bestimmten Benutzertyps benötigen. Verwenden Sie dann Berechtigungssätze, um bei Bedarf weitere Berechtigungen zu erteilen. Durch die Kombination aus Profilen und Berechtigungssätzen können Sie den Zugriff auf Objektebene äußerst flexibel festlegen.

Objektberechtigungen für die Personalbeschaffungsanwendung

Wir werden am Beispiel der Personalbeschaffungsanwendung genauer erläutern, wie Sie den Zugriff auf Objektebene konfigurieren können. In der Anwendung gibt es im Wesentlichen vier Benutzertypen: Einstellungs-Manager, Personalbeschaffungsmitarbeiter, Gesprächsleiter und Standardmitarbeiter. Welche Art von Objektzugriff benötigen die einzelnen Benutzertypen?

Einstellung-Manager
Ben, ein Einstellung-Manager, benötigt Zugriff auf die Personalbeschaffungsdatensätze im Zusammenhang mit seinen offenen Stellen, er sollte jedoch nicht auf andere Personalbeschaffungsdatensätze zugreifen dürfen (es sei denn, die Inhaber dieser Datensätze sind andere Einstellung-Manager, die ihm unterstellt sind). Außerdem gibt es bestimmte sensible Felder, die er nicht zu sehen braucht, wie beispielsweise das Feld mit der Sozialversicherungsnummer. Lassen Sie uns überlegen, welche Berechtigungen Ben für die einzelnen benutzerdefinierten Objekte der Anwendung benötigt.

  • Position: Ben sollte neue offene Positionen posten dürfen und alle Felder für Stellen sehen und aktualisieren können, für die er der Einstellung-Manager ist. Die Stellen anderer Manager sollte er jedoch lediglich sehen können.
  • Bewerber: Ben sollte nur die Bewerber sehen können, die sich für eine Stelle beworben haben, bei der er als Einstellungs-Manager fungiert. Außerdem gibt es keinen Grund, warum Ben die Sozialversicherungsnummer des Bewerbers sehen müsste. Dieses Feld sollte also für ihn nicht sichtbar sein.
  • Stellenbewerbung: Ben sollte in der Lage sein, den Status von Stellenbewerbungen zu aktualisieren, um anzugeben, welche Bewerber ausgewählt oder abgelehnt werden sollten. Er sollte jedoch nicht in der Lage sein, die Bewerberliste in der Stellenbewerbung zu ändern, und auch nicht die Stelle, auf die sich der Bewerber bewirbt. Wir müssen also eine Möglichkeit finden, um zu verhindern, dass Ben die Nachschlagefelder in Stellenbewerbungen aktualisiert.
  • Review: Um eine Entscheidung zu den Personen zu treffen, die sich bewerben, muss Ben die Reviews sehen, die von den Interviewern gepostet wurden. Außerdem muss er Kommentare dazu abgeben können, wenn er glaubt, der Gesprächsleiter sei in seinem Review voreingenommen gewesen. Außerdem muss auch Ben selbst Reviews erstellen können, damit er seine eigenen Eindrücke von den Bewerbern, die er befragt, aufzeichnen kann.
Personalbeschaffungsmitarbeiter
Als Personalbeschaffungsmitarbeiter muss Mario sämtliche im System vorhandenen Stellen, Bewerber, Stellenbewerbungen und Reviews erstellen, anzeigen und ändern können. Zudem muss er die Personalbeschaffungsdatensätze der anderen Personalbeschaffungsmitarbeiter anzeigen und ändern können, da alle Personalbeschaffungsmitarbeiter gemeinsam an der Besetzung sämtlicher Stellen arbeiten, unabhängig davon, wer die jeweilige Stelle erstellt hat.

Wir müssen außerdem dafür sorgen, dass ein Personalbeschaffungsmitarbeiter einen Datensatz mit Informationen über einen Bewerber nicht versehentlich löschen kann. Nach staatlichen und bundesstaatliche Gesetzen zur Aufzeichnung öffentlicher Daten müssen alle mit der Personalbeschaffung verbundenen Datensätze für mehrere Jahre archiviert werden, sodass Einstellungsentscheidungen im Falle einer Anfechtung später vor Gericht verteidigt werden können.

Gesprächsleiter
Melissa ist Ingenieurin, die die Bewerbungsgespräche zur Besetzung technischer Positionen führt. Sie sollte nur die Bewerber und Stellenbewerbungen anzeigen können, denen sie als Gesprächsleiterin zugewiesen ist. Außerdem sollte sie weder die Werte für das Mindest- und Höchstgehalt für diese Positionen noch die Sozialversicherungsnummer der Bewerber anzeigen können, da es sich hierbei um sensible Daten handelt, die nichts mit ihrer Aufgabe zu tun haben.

Standardmitarbeiter
Mitarbeiter wie Harry sind häufig am erfolgreichsten bei der Anwerbung neuer Mitarbeiter, auch wenn sie keine aktiven Einstellungs-Manager oder Gesprächsleiter sind. Daher müssen wir sicherstellen, dass Mitarbeiter offene Stellen sehen können, dass sie jedoch nicht die Werte der Felder für das Mindest- und das Höchstgehalt der Stellen anzeigen können. Anderenfalls geben sie womöglich Freunden entsprechende Hinweise, damit diese in den Gehaltsverhandlungen das Höchstgehalt anstreben. Außerdem sollte Harry auch keine anderen Datensätze in der Personalbeschaffungsanwendung sehen.

Dies sind die erforderlichen Berechtigungen für die vier verschiedenen Benutzertypen:
Benutzerdefiniertes Objekt Personalbeschaffungsmitarbeiter Einstellungs-Manager Gesprächsleiter Standardmitarbeiter
Position Lesen, Erstellen, Bearbeiten Lesen, Erstellen, Bearbeiten* Lesen (nicht für Mindestgehalt/Höchstgehalt) Lesen (nicht für Mindestgehalt/Höchstgehalt)
Bewerber Lesen, Erstellen, Bearbeiten Lesen* (nicht für Sozialversicherungsnummer) Lesen* (nicht für Sozialversicherungsnummer)
Stellenbewerbung Lesen, Erstellen, Bearbeiten Lesen, Bearbeiten (nicht für Nachschlagefelder) Lesen*
Review Lesen, Erstellen, Bearbeiten Lesen, Erstellen, Bearbeiten Lesen**, Erstellen, Bearbeiten**

* Nur für die Datensätze, die mit einer Stelle verknüpft sind, der der Einstellungs-Manager oder Gesprächsleiter zugewiesen wurde

** Nur für die Datensätze, deren Inhaber der Gesprächsleiter ist

Im Rest dieses Moduls wird behandelt, wie Sie die Plattform nutzen, um diese Regeln in der Personalbeschaffungsanwendung zu implementieren. Dafür müssen Sie Sicherheitssteuerungen auf drei Ebenen konfigurieren: auf der Objekt-, der Feld- und der Datensatzebene.

Einschränken des Benutzerzugriffs durch Profile

Jeder Benutzer hat ein Profil, das steuert, auf welche Daten und Funktionen dieser Benutzer Zugriff hat. Bei einem Profil handelt es sich um eine Sammlung von Einstellungen und Berechtigungen. Profileinstellungen bestimmen, welche Daten der Benutzer anzeigen kann, und Berechtigungen legen fest, was er mit diesen Daten tun kann.
  • Die Einstellungen im Profil eines Benutzers bestimmen, ob der Benutzer bestimmte Anwendungen, Registerkarten, Felder oder Datensatztypen angezeigt bekommt.
  • Die Berechtigungen im Profil eines Benutzers legen fest, ob der Benutzer Datensätze eines bestimmten Typs erstellen oder bearbeiten, Berichte ausführen und Anwendungen anpassen kann.

Profile entsprechen üblicherweise dem Tätigkeitsbereich eines Benutzers (z. B. Systemadministrator, Personalbeschaffungsmitarbeiter oder Einstellungs-Manager), sie können jedoch für jede Kategorie angelegt werden, die in Ihrer Salesforce-Organisation sinnvoll ist. Ein Profil kann mehreren Benutzern zugeordnet werden, aber ein Benutzer kann jeweils nur über ein Profil verfügen.

Standardprofile

Die Plattform umfasst eine Reihe von Standardprofilen. Hier einige Beispiele:

  • Schreibschutz
  • Standardbenutzer
  • Marketingbenutzer
  • Vertragsmanager
  • Systemadministrator
Jedes Standardprofil enthält einen standardmäßigen Satz an Berechtigungen für alle auf der Plattform verfügbaren Standardobjekte. Ein Standardbenutzer kann beispielsweise Datensätze erstellen und bearbeiten, während ein Benutzer mit dem Profil "Schreibschutz" Datensätze nur anzeigen, nicht aber erstellen oder bearbeiten darf. Das Profil "Systemadministrator" gewährt den umfangreichsten Datenzugriff und die weitreichendsten Möglichkeiten, Salesforce zu konfigurieren und anzupassen. 

Außerdem weist das Systemadministratorprofil zwei spezielle Berechtigungen auf:
  • Alle Daten anzeigen
  • Alle Daten modifizieren

Diese Berechtigungen setzen alle anderen Freigabeeinstellungen außer Kraft und sollten nur mit viel Bedacht anderen Profilen als dem Systemadministrator zugewiesen werden. Unter Setup können Sie eine Liste aller Standard- und benutzerdefinierten Profile anzeigen.

Die Objektberechtigungen in Standardprofilen können nicht bearbeitet werden. Sie können jedoch ein bestehendes Profil duplizieren und als Ausgangsbasis für ein neues Profil verwenden, in dem Sie dann die Anwendungs- und Systemeinstellungen wie erforderlich anpassen. In der Personalbeschaffungsanwendung könnten Sie beispielsweise drei neue Profile erstellen, und zwar je eines für Personalbeschaffungsmitarbeiter, Gesprächsleiter und Einstellungs-Manager. Die einzelnen Profile könnten dann so konfiguriert werden, dass sie den für eine bestimmte Rolle erforderlichen, spezifischen Datenzugriff ermöglichen. Sie könnten außerdem Berechtigungssätze verwenden, um bei Bedarf zusätzliche Berechtigungen zu erteilen.

Hinweis

Hinweis

Die Funktionalität von Profilen in einer Organisation hängt von der Art der Benutzerlizenz ab.

Verwalten von Profilen

Die Profilübersichtsseite bietet einen zentralen Zugang zu allen Einstellungen und Berechtigungen für ein einzelnes Profil. Verwenden Sie in Setup das Feld "Schnellsuche" für die Suche nach Profile und klicken Sie dann auf das Profil, das Sie anzeigen möchten.

Die Seite mit der Systemübersicht.

Erstellen eines Profils

Die einfachste Methode, ein Profil zu erstellen, besteht darin, ein bestehendes Profil, das dem zu erstellenden Profil ähnelt, zu duplizieren und dann zu ändern.

Salesforce verfügt über eine erweiterte Benutzeroberfläche für die Profilverwaltung, die es leicht macht, Profileinstellungen zu finden und zu ändern. Und genau diese Oberfläche verwenden wir für diese Übung. Geben Sie dazu unter Setup den Text "Benutzerverwaltung Einstellungen" in das Feld Schnellsuche ein. Aktivieren Sie dann Erweiterte Profilbenutzerschnittstelle.

Eine Liste der Benutzerprofile
  1. Geben Sie in Setup in das Feld "Schnellsuche" den Begriff Profile ein.
  2. Klicken Sie neben einem Profil, das dem Profil ähnelt, das Sie erstellen möchten, auf Duplizieren.
  3. Geben Sie dem neuen Profil einen Namen und speichern Sie.

Zuweisen eines Profils

Nachdem Sie ein Profil erstellt haben, passen Sie es an die Anforderungen einer Benutzergruppe an und weisen es diesen Benutzern zu.
  1. Suchen Sie in Setup nach "Profile".
  2. Wählen Sie ein Profil aus und klicken Sie auf Bearbeiten.
  3. Legen Sie die Einstellungen und Berechtigungen so restriktiv wie möglich für diesen Benutzertyp fest und speichern Sie. (Machen Sie sich keine Gedanken darüber, die Benutzer daran zu hindern, notwendige Aufgaben durchzuführen. Wir lockern die Einschränkungen später durch die Zuweisung von Berechtigungssätzen.)
  4. Suchen Sie unter Setup nach "Benutzer" und klicken Sie neben einem der Benutzer auf Bearbeiten.
  5. Wählen Sie in der Dropdown-Liste Profil das soeben eingestellte Profil aus und speichern Sie es.

Verwenden von Berechtigungssätzen zum Gewähren von Zugriff

Ein Berechtigungssatz ist eine Zusammenstellung von Einstellungen und Berechtigungen, mit denen die Benutzer auf verschiedene Tools und Funktionen zugreifen können. Die Einstellungen und Berechtigungen in Berechtigungssätzen sind auch in Profilen zu finden, Berechtigungssätze erweitern jedoch den Funktionszugriff der Benutzer, ohne ihre Profile zu ändern.

Mit Berechtigungssätzen können Sie ganz einfach Zugriff auf die verschiedenen Anwendungen und benutzerdefinierten Objekte in Ihrer Organisation gewähren und den Zugriff wieder entziehen, wenn er nicht mehr benötigt wird.

Benutzer können nur ein einziges Profil besitzen, jedoch mehrere Berechtigungssätze.

Es gibt zwei allgemeine Gründe für die Verwendung von Berechtigungssätzen: Gewähren von Zugriff auf benutzerdefinierte Objekte oder Anwendungen und Gewähren von Zugriff – vorübergehend oder langfristig – auf bestimmte Felder.

Gewähren von Zugriff auf benutzerdefinierte Objekte oder ganze Anwendungen
Angenommen, es gibt in Ihrer Organisation sehr viele Benutzer mit denselben Haupttätigkeitsbereichen. Sie können all diesen Benutzern dasselbe Profil zuweisen, das ihnen alle Zugriffsrechte gewährt, die sie für ihre Tätigkeit benötigen. Einige dieser Benutzer arbeiten jedoch an einem speziellen Projekt und benötigen Zugriff auf eine Anwendung, die sonst niemand benutzt. Einige andere Benutzer benötigen Zugriff auf diese Anwendung und noch eine weitere Anwendung, die die erste Gruppe nicht benötigt. Wenn wir nur mit Profilen arbeiten würden, müssten Sie weitere Profile erstellen, die auf die Bedürfnisse dieser wenigen Benutzer zugeschnitten wären, oder alternativ riskieren, dem ursprünglichen Profil weitere Zugriffsrechte zu gewähren, wodurch die Anwendungen auch Benutzern zur Verfügung stehen würden, die sie nicht benötigen. Keine dieser Optionen ist ideal, insbesondere, wenn Ihre Organisation wächst und sich die Bedürfnisse der Benutzer häufig ändern.

Gewähren von Zugriff auf bestimmte FelderNehmen wir an, es gibt einen Benutzer namens Tom, der vorübergehenden Zugriff auf ein Feld benötigt, während sein Kollege im Urlaub ist. Sie können einen Berechtigungssatz erstellen, der Zugriff auf das Feld gewährt, und diesen Berechtigungssatz Tom zuweisen. Wenn Toms Kollege aus dem Urlaub zurückkommt und Tom keinen Zugriff mehr auf das Feld benötigt, entfernen Sie einfach die Zuweisung dieses Berechtigungssatzes aus Toms Benutzerdatensatz.


Hinweis

Hinweis

Wenn eine Berechtigung im Basisprofil eines Benutzers enthalten ist, können Sie dem Benutzer diese Benutzerberechtigung nicht entziehen, indem Sie ihm einen Berechtigungssatz zuweisen. Ein Berechtigungssatz kann Berechtigungen nur hinzufügen. Um eine Berechtigung zu entziehen, müssen Sie diese aus dem Basisprofil des Benutzers und allen ihm zugewiesenen Berechtigungssätzen entfernen.

Verwalten von Berechtigungssätzen

Die Übersichtsseite des Berechtigungssatzes stellt einen zentralen Zugang zu allen Berechtigungen in einem Berechtigungssatz dar. Zum Öffnen der Übersichtsseite des Berechtigungssatzes suchen Sie unter Setup nach "Berechtigungssätze" und wählen dann den Berechtigungssatz aus, den Sie anzeigen möchten. In jedem Berechtigungssatz sind Berechtigungen und Einstellungen in Anwendungseinstellungen, Systemeinstellungen, Objektberechtigungen und Feldberechtigungen unterteilt.

Übersichtsseite des Berechtigungssatzes

Erstellen eines Berechtigungssatzes

Erstellen Sie einen Berechtigungssatz, um bestimmten Benutzern zusätzlich zu den im Profil gewährten Berechtigungen weitere Berechtigungen zuzuweisen, ohne bestehende Profile ändern, neue Profile erstellen oder unnötigerweise ein Administratorprofil zuweisen zu müssen.
  1. Verwenden Sie das Feld "Schnellsuche" in Setup, um Berechtigungssätze zu suchen.
  2. Klicken Sie neben dem Berechtigungssatz, den Sie kopieren möchten, auf Duplizieren. Einem duplizierten Berechtigungssatz ist dieselbe Benutzerlizenz wie dem Original zugeordnet. Wenn Sie einen Berechtigungssatz mit einer anderen Lizenz erstellen möchten, klicken Sie statt dessen auf Neu.
  3. Geben Sie eine Bezeichnung und eine Beschreibung ein. Der API-Name ist ein eindeutiger Name, der von der API und verwalteten Paketen verwendet wird. Er ist automatisch mit der Bezeichnung identisch, kann aber geändert werden.
  4. Wenn es sich um einen neuen Berechtigungssatz handelt, wählen Sie eine Option für die Benutzerlizenz aus.
    • Wenn Sie beabsichtigen, den Berechtigungssatz mehreren Benutzern mit unterschiedlichen Lizenzen zuzuweisen, wählen Sie "--Keine--" aus.
    • Wenn dieser Berechtigungssatz nur von Benutzern mit einem bestimmten Lizenztyp verwendet wird, wählen Sie diese Benutzerlizenz aus.
  5. Klicken Sie auf Speichern, um zur Übersichtsseite des Berechtigungssatzes zurückzukehren.
  6. Klicken Sie in der Symbolleiste für den Berechtigungssatz auf Zuordnungen verwalten und danach auf Zuordnungen hinzufügen.
  7. Wählen Sie die Benutzer aus, denen dieser Berechtigungssatz zugewiesen werden soll, und klicken Sie auf Zuweisen. Lesen Sie die Meldungen auf der Seite "Zuordnungsübersicht". Falls Benutzer nicht zugewiesen wurden, werden in der Spalte "Meldung" die Gründe angegeben.
  8. Klicken Sie auf Fertig, um zur Liste aller dem Berechtigungssatz zugewiesenen Benutzer zurückzukehren.

Profile und Berechtigungssätze für die Personalbeschaffungsanwendung

Sie haben jetzt gelernt, wie Sie Profile und Berechtigungssätze erstellen und ändern, und daher werden wir auch gleich den passenden Zugriff auf Objektebene für unsere Personalbeschaffungsanwendung einrichten. In der Anwendung gibt es im Wesentlichen vier Benutzertypen: Personalbeschaffungsmitarbeiter, Einstellungs-Manager, Gesprächsleiter und Standardmitarbeiter.

Die wichtigsten Überlegungen bei der Entscheidung, ob Sie ein Profil oder einen Berechtigungssatz für die einzelnen Benutzertypen erstellen, lauten wie folgt:

Personalbeschaffungsmitarbeiter
Diese repräsentieren einen klar definierten Tätigkeitsbereich und benötigen Zugriff auf andere Arten von Daten als andere Benutzer. Es ist daher sinnvoll, ein Profil für Personalbeschaffungsmitarbeiter zu erstellen.

Einstellungs-Manager
Bei den meisten Organisationen benötigt ein Einstellungs-Manager in der Vertriebsabteilung sehr wahrscheinlich Zugriff auf eine andere Art von Daten als ein Einstellungs-Manager in der Konstruktionsabteilung. Alle Einstellungs-Manager benötigen jedoch dieselbe Art von Zugriff auf Personalbeschaffungsdaten, wie Reviews, Bewerber, Stellen und Stellenbewerbungen. In diesem Fall empfiehlt es sich, einen Berechtigungssatz für den Einstellungs-Manager zu erstellen, der verschiedenen Benutzertypen zugewiesen werden kann.

Gesprächsleiter
Genau genommen kann nahezu jede Person in einer Organisation herangezogen werden, um ein Bewerbungsgespräch zu führen, und benötigt dann vorübergehend Zugriff auf Personalbeschaffungsdaten. Hier ist es sinnvoll, einen Berechtigungssatz für Gesprächsleiter zu definieren, da Berechtigungen bei Bedarf leicht zugewiesen und entzogen werden können.

Standardmitarbeiter
Dies ist keine spezifische Zuordnung, die keine bestimmten Tätigkeitsbereich angibt. Für die meisten Mitarbeiter können Sie ein Basisprofil erstellen, mit dem sie Zugriff auf eine kleine Gruppe von Daten haben, und dann je nach ihren Fachgebieten Berechtigungssätze erstellen und zuweisen, um ihnen nach Bedarf weitere Zugriffsberechtigungen zu erteilen.

Die folgende Vorgehensweise ist daher die optimale Methode zum Konfigurieren von Objektberechtigungen für die Personalbeschaffungsanwendung:


  • Erstellen zweier Profile: "Recruiters" und "Standard Employees".
  • Erstellen zweier Berechtigungssätze: "Hiring Managers" und "Interviewers".
  • Zuweisen des Profils "Standard Employees" zu Einstellungs-Managern und Gesprächsleitern und Zuordnen des entsprechenden Berechtigungssatzes zu ihrer Funktion.