Empiece a realizar un seguimiento de su progreso
Inicio de Trailhead
Inicio de Trailhead

Controlar a qué pueden acceder los usuarios

Objetivos de aprendizaje

Después de completar esta unidad, podrá:
  • Describir la diferencia entre seguridad a nivel de objeto y a nivel de campo
  • Describir cómo establecer la configuración de colaboración predeterminada de toda la organización

Introducción a la seguridad de datos

Ahora que sabe cómo agregar usuarios, probablemente desee saber cómo asegurarse de que visualizan lo que necesitan ver y solo lo que necesitan. En esta unidad, le mostramos cómo configurar el acceso de sus usuarios a sus registros de Salesforce de modo que puedan acceder solamente a la información que necesitan.

Por ejemplo, suponga que está usted desarrollando una aplicación Contratación que contiene información acerca de puestos abiertos, candidatos y solicitudes de empleo. La aplicación almacenará datos confidenciales, como números de la seguridad social, salarios y revisiones de aplicaciones que solo se deben mostrar a tipos de usuario específicos. Como aplicación, es importante proteger los datos confidenciales sin dificultar a los contratadores, gestores de contratación y entrevistadores hacer su trabajo.

Salesforce proporciona un modelo de colaboración en capas y flexible que facilita la tarea de asignar diferentes conjuntos de datos a diferentes conjuntos de usuarios. Esto le garantiza poder mantener el equilibrio entre seguridad y comodidad, minimizando el riesgo de robo o uso incorrecto de datos mientras asegura que todos los usuarios puedan acceder fácilmente a los datos que necesitan.

Salesforce incluye controles de seguridad sencillos de configurar que facilitan la especificación de qué usuarios pueden ver, crear, modificar o eliminar cualquier registro o campos en la aplicación. Puede configurar el acceso al nivel de registros individuales, campos, objetos u organización. Combinando controles de seguridad a diferentes niveles, puede proporcionar solo el nivel correcto de acceso a datos a miles de usuarios sin necesidad de especificar permisos para cada usuario de forma individual.

Niveles de acceso de datos

Puede configurar el acceso a datos en Salesforce en cuatro niveles.

Organización
Al nivel más alto, puede asegurar el acceso a su organización manteniendo una lista de usuarios autorizados, configurando políticas de contraseña y limitando el acceso de inicio de sesión a algunas horas y ciertas ubicaciones.
Objetos
La seguridad a nivel de objeto proporciona la forma más sencilla de controlar qué usuarios tienen acceso a qué datos. Configurando permisos en un tipo de objeto concreto, puede evitar que un grupo de usuarios cree, visualice, modifique o elimine cualquier registro de ese objeto. Por ejemplo, puede utilizar permisos de objeto para asegurarse de que los entrevistadores vean puestos y solicitudes de empleo pero no modificar o eliminarlos.
Campos
Puede utilizar la seguridad a nivel de campo para restringir el acceso a algunos campos, incluso para objetos a los que un usuario tiene acceso. Por ejemplo puede hacer que el campo de salario en un objeto de puesto sea invisible para entrevistadores pero visible para contratadores y gestores de contratación.
Registros
Para controlar los datos con mayor precisión, puede permitir a usuarios concretos ver un objeto, pero luego restringir los registros individuales en el objeto que tienen permiso para ver. Por ejemplo, el acceso de nivel de registro permite a los entrevistadores ver y modificar sus propias entrevistas, sin exponer las revisiones de otros entrevistadores. Puede gestionar el acceso a nivel de registro de las siguientes formas:
  • Los valores predeterminados de toda la organización especifican el nivel predeterminado de acceso que tienen los usuarios a los registros de otros usuarios. Utilice la configuración de colaboración de la organización para bloquear sus datos con el nivel más restrictivo y utilizar el resto de herramientas de colaboración para ofrecer un acceso selectivo a otros usuarios. Por ejemplo, puede proporcionar a todos los empleados el acceso a un objeto denominado Candidato para permitir a cualquier empleado agregar un candidato a la base de datos. Pero puede restringir el acceso a Puestos de modo que todos puedan ver los trabajos disponibles pero solo los empleados con los permisos adecuados pueden modificarlos.
  • Las jerarquías de funciones abren el acceso a los mejores posicionados en la jerarquía de modo que heredan el acceso a todos los registros pertenecientes a usuarios por debajo de ellos en la jerarquía. Las jerarquías de funciones no tienen que coincidir exactamente con el gráfico de su organización. En su lugar, cada función de la jerarquía de funciones representa un nivel de acceso a los datos que necesita un usuario o un grupo de usuarios. Por ejemplo, puede restringir el acceso a Candidatos configurando los valores predeterminados de toda la organización como Privado pero permitir a los contratadores ver y modificar los registros de candidato que poseen. Los contratadores no pueden ver registros de candidatos que no poseen porque los contratadores están en el mismo nivel en la jerarquía de funciones. Sin embargo, los gestores de contratación pueden obtener acceso de lectura/escritura a todos los registros de candidatos porque están en un nivel superior en la jerarquía de funciones.
  • Las Reglas de colaboración le permiten realizar excepciones automáticas de la configuración de colaboración de la organización para conjuntos concretos de usuarios, con el fin de proporcionarles acceso a los registros que no posean o que no puedan ver normalmente. Las reglas de colaboración, como las jerarquías de funciones, sólo se utilizan para ofrecer a los usuarios acceso adicional a registros, y no pueden ser más estrictas que la configuración predeterminada de su organización. Por ejemplo, puede permitir a todos los empleados ver Puestos, pero utilizar reglas de colaboración para otorgar acceso de modificación completo a empleados en una función o grupo denominado Gestores de contratación.
  • La Colaboración manual permite a los propietarios de registros concretos compartirlos con otros usuarios. Aunque la colaboración manual no está automatizada como la configuración de colaboración de toda la organización, jerarquías de funciones o reglas de colaboración, puede ser útil en algunas situaciones; por ejemplo, si un contratador que se va de vacaciones necesita asignar temporalmente la propiedad de una solicitud de empleo a otro empleado.

Descripción general de la seguridad a nivel de registro

Puede controlar el acceso a datos con mayor precisión permitiendo a usuarios concretos ver un objeto, pero luego restringiendo los registros individuales en el objeto que tienen permiso para ver. Por ejemplo, puede otorgar a todos sus entrevistadores el acceso a revisiones con valores predeterminados de toda la organización, pero restringir su acceso solo a revisiones que poseen con jerarquías de funciones.

Antes de configurar el acceso de registros, quizás le resulte útil responder a las siguientes preguntas.
  • ¿Sus usuarios deben tener un acceso abierto a cada registro o solo un subconjunto?
  • Si es un subconjunto, ¿qué funciones deben determinar si el usuario puede acceder a ellos?
Supongamos que crea un perfil denominado Contratador de modo que puede crear permisos a nivel de objeto para los contratadores. Puede restringir el poder de eliminar objetos relacionados con la contratación, como Puestos o Candidatos, de modo que los contratadores nunca podrán eliminar estos objetos. Sin embargo, el hecho de que está otorgando permiso a los contratadores para crear, leer o modificar objetos de contratación no significa necesariamente que los contratadores pueden leer o modificar cada registro de objeto de contratación, como candidatos o puestos individuales. Esto es una consecuencia de dos conceptos importantes en la plataforma.
  • Los permisos en un registros se evalúan siempre de acuerdo con una combinación de permisos a nivel de registro, campo y objeto.
  • Cuando los permisos a nivel de objeto versus registro entran en conflicto, la configuración más restrictiva gana.

Lo que esto significa es que incluso cuando otorga a un perfil crear, leer y modificar permisos en los objetos de contratación, si los permisos a nivel de registro para un registro de contratación individual resultan ser más restrictivos, serán las reglas las que definan a qué puede acceder un contratador. Por ejemplo, si otorga al perfil Contratador crear, leer y modificar permisos en el objeto Candidatos pero restringe el acceso de los contratadores solo a los registros Candidato que poseen, solo podrán acceder a esos registros.

Valores predeterminados de colaboración de toda la organización

Ahora que aprendió más acerca de la seguridad a nivel de registro, centrémonos en los valores predeterminados de toda la organización. Estos son los valores predeterminados que especifica el nivel de acceso de partida que debe tener el usuario con más restricciones. Puede utilizar valores predeterminados de toda la organización para bloquear sus datos al nivel más restrictivo y luego utilizar el resto de herramientas de colaboración y de seguridad a nivel de registro (jerarquía de funciones, reglas de colaboración y colaboración manual) para abrir los datos a otros usuarios que necesitan acceder a ellos.

Puede especificar el nivel de acceso predeterminado a registros con parámetros de colaboración de toda la organización y puede establecerlos por separado para cada tipo de objeto personalizado o estándar. Puede determinar el nivel de acceso de partida para todos los registros de un objeto con permisos de objeto. Puede modificar esos permisos para registros que los usuarios no poseen con valores predeterminados de toda la organización. Nunca puede utilizar valores predeterminados de toda la organización para otorgar a los usuarios más acceso que el que tienen mediante su permiso de objeto.

Puede determinar los valores predeterminados de toda la organización que necesita para su aplicación respondiendo las siguientes preguntas para cada objeto.
  1. ¿Quién es el usuario más restringido de este objeto?
  2. ¿Existe alguno que se convierta en una instancia de este objeto que este usuario no puede ver?
  3. ¿Existe alguno que se convierta en una instancia de este objeto que este usuario no puede modificar?
Un diagrama para determinar el modelo de colaboración para objetos

Basándose en sus respuestas a estas preguntas, puede establecer el modelo de colaboración para ese objeto en uno de los siguientes parámetros.

Campo Descripción
Privado Sólo el propietario del registro y los usuarios que se encuentren por encima de esa función en la jerarquía podrán visualizar, modificar e informar sobre esos registros.
Sólo lectura pública

Todos los usuarios pueden visualizar e informar sobre los registros, pero no podrán modificarlos. Sólo el propietario del registro y los usuarios que se encuentren por encima de esa función en la jerarquía podrán modificar esos registros.

Lectura/escritura pública Todos los usuarios pueden visualizar, modificar e informar sobre los registros.
Controlado por principal

Un usuario puede realizar una acción (como visualizar, modificar o eliminar) en un contacto basándose en si puede realizar la misma acción en el registro asociado al mismo.

En entornos en los que estableció la configuración de colaboración de toda la organización para un objeto como Privada o Sólo lectura pública, puede otorgar a los usuarios acceso adicional a registros, configurando una jerarquía de funciones o definiendo reglas de colaboración. Sin embargo, solo puede utilizar reglas de colaboración para otorgar acceso adicional; no se pueden utilizar para restringir el acceso a registros diferentes a los especificados originalmente con las configuraciones predeterminadas de colaboración de la organización.

Como ejemplo, respondamos a la lista de preguntas para el objeto Puesto en la aplicación Contratación.
  1. ¿Quién es el usuario más restringido de este objeto?

    Un miembro del perfil Empleado estándar. Lo único que pueden hacer es visualizar un puesto.

  2. ¿Existe alguno que se convierta en una instancia de este objeto que este usuario no puede ver?

    No. Aunque los valores para el sueldo mínimo y máximo están ocultos a los empleados estándar, aún pueden ver todos los registros de puestos.

  3. ¿Existe alguno que se convierta en una instancia de este objeto que este usuario no puede modificar?

    Sí. Los empleados estándar no tienen permiso para modificar ningún registro de puesto.

De acuerdo con el diagrama de flujo, responder "Sí" a la pregunta #3 significa que el modelo de colaboración para el objeto Puesto debe establecerse como Solo lectura pública. Repitiendo el mismo ejercicio con los otros objetos de contratación, puede determinar fácilmente la configuración predeterminada de toda la organización apropiada para ellos. El perfil Empleado estándar es el usuario más restringido para cada objeto y serán candidato, solicitudes de empleo y registros de revisión los que no podrán ver estos empleados concretos. En consecuencia, debe establecer el modelo de colaboración para los objetos Candidato, Solicitud de empleo y Revisión como Privado.

Nota

Nota

No puede establecer los valores predeterminados de toda la organización para el objeto Revisión. Esto se debe a que el objeto está en el lado detalles de una relación principal detalle y, un registro de detalles hereda automáticamente la configuración de colaboración de su principal. En su aplicación, el objeto Revisión se establece automáticamente como Privado.

Establecer valores predeterminados de colaboración de toda la organización

Ahora que ha leído acerca de los valores predeterminados de toda la organización, está preparando de establecer alguno.

  1. Desde Configuración, ingrese Configuración de colaboración en el cuadro Búsqueda rápida y, a continuación, seleccione Configuración de colaboración.
  2. Haga clic en Modificar en el área de la configuración predeterminada de la organización.
  3. Para cada objeto, seleccione el acceso predeterminado que desea utilizar. (Recuerde las preguntas a las que respondió en la sección anterior para ayudarle a determinar qué configuración de acceso predeterminada es más adecuada.)
  4. Para permitir a los empleados a niveles superiores en la jerarquía de funciones acceder a registros de forma automática, seleccione Otorgar acceso con jerarquías para cualquier objeto personalizado que no tiene acceso predeterminado de Control por principal.

En entornos en los que la configuración predeterminada de colaboración de toda la organización para un objeto esté definida como Privada o Sólo lectura pública, puede otorgar a usuarios acceso adicional a registros, configurando una jerarquía de funciones o definiendo reglas de colaboración. Pero recuerde, solo puede utilizar reglas de colaboración para otorgar acceso adicional. No puede utilizarlas para restringir el acceso en registros más allá de los especificado inicialmente con los valores predeterminados de colaboración de toda la organización.

De forma predeterminada, Salesforce utiliza jerarquías, como una jerarquía de funciones, para otorgar automáticamente acceso a registros a usuarios por encima del propietario del registro en la jerarquía. Establecer un objeto como Privado hace que esos registros sean visibles solo para los propietarios de los registros y los usuarios que se encuentren por encima de ellos en la jerarquía de funciones. Si desea desactivar el acceso a registros para usuarios por encima del propietario del registro en la jerarquía para objetos personalizados, utilice la casilla de verificación Otorgar acceso con jerarquías. Si anula la selección de esta casilla de verificación para un objeto personalizado, restringe el acceso al registro solo al propietario del registro y los usuarios a quién otorgó la organización el acceso: valores predeterminados

Si anula la selección de Otorgar acceso con jerarquías, los usuarios que estén por encima en la jerarquía de funciones no recibirán acceso automático. Sin embargo, algunos usuarios, como aquellos con los permisos de objeto “Ver todos” y “Modificar todos” y los permisos del sistema “Ver todos los datos” y “Modificar todos los datos”, todavía pueden acceder a los registros de los que no son propietarios.

Cuando actualiza los valores predeterminados de toda la organización, causa un nuevo cálculo de colaboración para ejecutar automáticamente y aplicar cualquier cambio de acceso a sus registro. Recibe un email de notificación una vez finalizado el nuevo cálculo y podrá actualizar la página Configuración de colaboración para ver sus cambios. Para ver el estado actualizado, en Configuración, ingrese Ver seguimiento de auditoría de configuración en el cuadro Búsqueda rápida y, a continuación, seleccione Ver seguimiento de auditoría de configuración.

Una vez haya asegurado sus datos con valores predeterminados de toda la organización, la configuración resultante podría ser más restrictiva para algunos usuarios. A continuación puede utilizar los controles de seguridad a nivel de registro restantes: jerarquía de funciones, reglas de colaboración y colaboración manual para abrir el acceso del registro de forma selectiva a empleados concretos que lo necesiten.