Controlar el acceso a los objetos
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Ver perfiles existentes y crear unos nuevos.
- Modificar el acceso a objetos utilizando perfiles.
- Ver todos los usuarios asignados en un perfil.
- Crear nuevos conjuntos de permisos.
- Asignar conjuntos de permisos a uno o varios usuarios.
Gestionar permisos de objetos
La manera más sencilla de controlar el acceso a los datos es mediante la configuración de permisos para un tipo de objeto determinado (un objeto es una colección de registros como, por ejemplo, candidatos o contactos). De este modo, puede controlar si un grupo de usuarios puede crear, ver, modificar o eliminar registros de dicho objeto.
Puede establecer permisos de objeto mediante perfiles o conjuntos de permisos. Se asigna un perfil a cada usuario. Se puede asignar uno o más conjuntos de permisos a los usuarios.
- Los perfiles de usuario determinan los objetos a los que el usuario puede acceder y las acciones que puede realizar con los registros de los objetos (crear, leer, modificar o eliminar).
- Los conjuntos de permisos otorgan permisos adicionales y parámetros de acceso a los usuarios.
Use los perfiles para otorgar los parámetros y permisos mínimos que pueden necesitar los usuarios de un tipo determinado. A continuación, use conjuntos de permisos para otorgar permisos adicionales según sea necesario. La combinación de perfiles y conjuntos de permisos le proporciona mucha flexibilidad al especificar el acceso a nivel de objeto.
Permisos de objetos para la aplicación de Recruiting (Contratación)
Veamos, a modo de ejemplo, cómo puede configurar el acceso de nivel de objeto en la aplicación Recruiting (Contratación) (tenga en cuenta que esto es un ejemplo, por lo que no verá esta aplicación en su organización). La aplicación tiene cuatro tipos principales de usuarios: gestores de contratación, contratadores, entrevistadores y empleados estándar. ¿Qué tipo de acceso a los objetos necesita cada tipo de usuario?
Gestores de contratación
Ben, un gestor de contratación, debe tener acceso a los registros de contratación relacionados con sus puestos vacantes, pero no debería tener acceso a otros registros de contratación (a menos que sean propiedad de otros gestores de contratación que responden ante él). Además, existen algunos campos confidenciales que no necesita ver, como el campo de número de seguridad social. Pensemos en los permisos que necesita Ben para cada uno de los objetos personalizados clave en la aplicación.
-
Puesto: Ben debe poder publicar nuevos puestos, así como actualizar y ver todos los campos para puestos de los que es el gestor de contratación, pero solo puede ver los puestos de otros gestores.
-
Candidato: Ben solo debe poder ver aquellos candidatos que postularon para un puesto en el que es el gestor de contratación. Además, como Ben no tiene motivos para ver el número de seguridad social de un candidato, este campo debe estar restringido en su vista.
-
Solicitud de empleo: Ben necesita poder actualizar el estado de las solicitudes de empleo para especificar qué candidatos se deben seleccionar o rechazar. Sin embargo, no debe poder cambiar el candidato indicado en la solicitud de empleo, ni el puesto para el que postula el candidato, por lo que deberemos encontrar una forma de evitar que Ben actualice los campos de búsqueda en solicitudes de empleo.
-
Revisión: para tomar una decisión acerca de los candidatos que están postulando, Ben necesita ver las revisiones publicadas por los entrevistadores, así como realizar comentarios acerca de ellos si cree que el entrevistador fue demasiado parcial en su revisión. Asimismo, Ben necesita poder crear revisiones de modo que pueda recordar sus propias impresiones de los candidatos que entrevista.
Contratadores
Mario, contratador, necesita poder crear, ver y modificar cualquier puesto, candidato, solicitud de empleo o revisión que se encuentre en el sistema. También necesita ver y modificar los registros de contratación de todos los contratadores de los que es responsable, ya que estos trabajan en conjunto para encontrar un candidato para cada puesto, independientemente de quién lo haya creado.
Por lo tanto, necesitamos estar seguros de que un contratador nunca pueda eliminar por accidente ningún registro con información sobre un candidato, ya que las leyes estatales y federales de EE. UU. exigen que los registros de contratación se conserven durante un número de años determinado con el fin de poder defender ante un tribunal las decisiones de contratación en caso de que se vean cuestionadas.
Entrevistadores
Melissa es ingeniera y realiza entrevistas a candidatos para puestos de elevado nivel técnico. Debe poder ver solo los candidatos y solicitudes de empleo a las que está asignada como entrevistadora. Además, no debe poder ver los valores de salario mínimo y máximo para ningún puesto o el número de la seguridad social de ningún candidato, ya que es información confidencial que no tiene nada que ver con su trabajo.
Empleados estándar
Los empleados, como Harry, son a menudo los mejores recursos para realizar nuevas contrataciones, incluso si no son entrevistadores o gestores de contratación activos. Por este motivo, necesitamos asegurarnos de que esos empleados puedan ver puestos libres, pero que no puedan ver los valores para los campos de salario mínimo y máximo del puesto: de lo contrario, podrían aconsejar a amigos para negociar el salario máximo de un puesto. Harry tampoco puede ver cualquier otro registro en la aplicación de Contratación
A continuación, se detallan los permisos necesarios para cada uno de los cuatro tipos de usuarios.
Objeto personalizado |
Contratador |
Gestor de contratación (Hiring Manager) |
Entrevistador |
Empleado estándar |
---|---|---|---|---|
Posición |
Leer Crear Modificar |
Leer Crear Modificar* |
Leer (sin paga mín./máx.) |
Leer (sin paga mín./máx.) |
Candidato |
Leer Crear Modificar |
Leer* (Sin NSS) |
Leer* (Sin NSS) |
No aplicable |
Solicitud de empleo (Job Application) |
Leer Crear Modificar |
Leer Modificar (sin campos de búsqueda) |
Leer * |
No aplicable |
Revisión |
Leer Crear Modificar |
Leer Crear Modificar |
Leer** Crear Modificar** |
No aplicable |
* Solo para los registros asociados con puestos a los que se ha asignado el gerente de contratación o el entrevistador.
** Solo para los registros que son propiedad del entrevistador.
En el resto de este módulo, obtendrá información acerca de cómo puede utilizar la plataforma para implementar esas reglas en la aplicación de Contratación. Como verá, esto requiere configurar controles de seguridad en los tres niveles: objetos, campos y registros.
Usar perfiles para restringir el acceso
Cada usuario tiene un perfil que controla los datos y las funciones a los que tiene acceso. Un perfil es una recopilación de permisos y parámetros. La configuración de perfil determina los datos que el usuario puede ver y los permisos determinan las acciones que el usuario puede realizar con los datos.
- Los parámetros de un perfil de usuario determinan si el usuario puede ver una aplicación, una ficha, un campo o un tipo de registro determinado.
- Los permisos de los perfiles de usuario determinan si el usuario puede crear o modificar registros de un tipo determinado, ejecutar informes o personalizar la aplicación.
Los perfiles suelen ajustarse a la función laboral de los usuarios (por ejemplo, administrador del sistema, contratador o gerente de contratación); sin embargo, puede crear cualquier perfil para su organización de Salesforce. Un perfil puede asignarse a muchos usuarios, pero un usuario solo puede tener asignado un perfil a la vez.
Perfiles estándar
La plataforma incluye un conjunto de perfiles estándar. Algunos ejemplos:
- Usuario estándar
- Usuario de marketing
- Gestor de contratos
- Administrador del sistema
- Acceso mínimo: Salesforce
Cada perfil estándar incluye un conjunto de permisos predeterminado para todos los objetos estándar en la plataforma. Por ejemplo, un usuario estándar puede crear y modificar registros mientras que un usuario de Acceso mínimo: Salesforce puede ver registros, pero no crearlos o modificarlos. El perfil Administrador del sistema tiene el acceso más amplio a los datos y la mejor capacidad para configurar y personalizar Salesforce.
El perfil Administrador del sistema también incluye dos permisos especiales.
- Ver todos los datos
- Modificar todos los datos
Estos permisos sustituyen todas las demás configuraciones de colaboración, por lo que tenga cuidado al utilizarlos en cualquier perfil que no sea Administrador del sistema. En Setup (Configuración) podrá ver una lista de todos los perfiles personalizados y estándar.
No podrá modificar los permisos de objetos de perfiles estándar. Sin embargo, puede duplicar cualquier perfil existente y utilizar eso como la base de un nuevo perfil, ajustando la configuración de sistema y aplicaciones según sea necesario. Por ejemplo, en la aplicación Recruiting (Contratación), puede crear tres nuevos perfiles, uno para contratadores, otro para entrevistadores y otro para gestores de contratación. Cada perfil se puede configurar para proporcionar el tipo específico de acceso de datos necesario para una función concreta. A continuación, podrá usar conjuntos de permisos para conceder permisos adicionales según sea necesario.
Gestión de perfiles
La página de descripción general proporciona un punto de entrada de todas las configuraciones y permisos de un perfil único. Desde Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba Profiles (Perfiles) y, a continuación, seleccione Profiles (Perfiles). Haga clic en el perfil que desea ver.
Crear un perfil
La forma más sencilla de crear un perfil es duplicar un perfil existente similar al que desea crear y luego modificarlo.
Salesforce dispone de una interfaz de usuario de perfiles mejorada que facilita la búsqueda y la modificación de la configuración de perfiles. Esta interfaz es la que usaremos para este ejercicio. En Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba User Management Settings (Configuración de gestión de usuarios) y seleccione User Management Settings (Configuración de gestión de usuarios). Active Enhanced Profile User Interface (Interfaz de usuario de Perfil mejorado).
- Desde Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba Profiles (Perfiles) y, a continuación, seleccione Profiles (Perfiles).
- Haga clic en Clone (Duplicar) junto a un perfil similar al que desea crear.
- Asigne un nombre a su nuevo perfil y guarde los cambios.
Asignar un perfil
Una vez creado el perfil, puede personalizarlo para que se ajuste a las necesidades de determinados conjuntos de usuarios. De este modo, podrá asignar el perfil a dichos usuarios.
- Asegúrese de que la interfaz de usuario de perfil mejorado esté activada en Configuración de gestión de usuario.
- Desde Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba Profiles (Perfiles) y, a continuación, seleccione Profiles (Perfiles).
- Haga clic en el nombre del perfil que desea personalizar.
- Edite el perfil y utilice la configuración más restrictiva y los permisos que desea usar para este tipo de usuario (no se preocupe en estos momentos si bloquea funciones necesarias para los usuarios, ya que las desbloquearemos más adelante en la sección Use Permission Sets to Grant Access (Usar conjuntos de permisos para conceder acceso)).
- Desde Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba Users (Usuarios) y, a continuación, seleccione Users (Usuarios).
- Haga clic en Edit (Modificar) junto al usuario al que desea asignar el perfil.
- En el menú desplegable Profile (Perfil), seleccione el perfil que acaba de configurar. A continuación, haga clic en Save (Guardar).
Usar conjuntos de permisos para conceder acceso
Un conjunto de permisos es una recopilación de configuraciones y permisos que ofrece a los usuarios acceso a varias herramientas y funciones. Las configuraciones y permisos de los conjuntos de permisos se encuentran también en los perfiles, pero los conjuntos de permisos amplían el acceso funcional de los usuarios sin cambiar sus perfiles.
Los conjuntos de permisos facilitan la concesión de acceso a distintos objetos personalizados y aplicaciones de su organización. Asimismo, permiten cancelar el acceso cuando este deje de ser necesario.
Los usuarios solo pueden tener un perfil, aunque pueden tener varios conjuntos de permisos.
Los conjuntos de permisos se usan con dos propósitos en general: conceder acceso a aplicaciones u objetos y conceder permisos (temporales o a largo plazo) para campos específicos.
Concesión de acceso a aplicaciones u objetos personalizados.
Supongamos que tiene varios usuarios en su organización con las mismas funciones laborales. Puede asignarles a todos un solo perfil que les otorgue el acceso que necesitan para hacer su trabajo. Sin embargo, varios usuarios están trabajando en un proyecto especial y necesitan acceso a una aplicación que no usa ningún otro usuario más. Por su parte, otro grupo de usuarios necesita acceso a dicha aplicación y a otra aplicación que el primer grupo no necesita. Si solo tuviésemos perfiles, tendríamos que crear más perfiles personalizados a las necesidades de este grupo reducido de usuarios o jugárnosla y conceder privilegios de acceso al perfil original, lo que haría que las aplicaciones estuviesen disponibles para usuarios que no las necesitan. Ninguna de estas opciones es perfecta, sobre todo si su organización está en crecimiento y las necesidades de los usuarios cambian de manera periódica.
Concesión de permisos para campos específicos.
Supongamos que tiene un usuario, Tom, que necesita acceso de edición temporal a un campo mientras su compañero está de vacaciones. Puede crear un conjunto de permisos que otorga el acceso al campo y asignar el conjunto de permisos a Tom. Cuando el compañero de Tom vuelve de sus vacaciones y Tom ya no necesita acceder al campo, solo tiene que eliminar el conjunto de permisos del registro de usuario de Tom.
Gestión de conjuntos de permisos
La página de descripción general de un conjunto de permisos es el punto de entrada para todos los permisos de un conjunto de permisos. Para abrir una página de descripción general del conjunto de permisos, desde Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba Permission Sets (Conjuntos de permisos) y luego seleccione Permission Sets (Conjuntos de permisos). Seleccione el conjunto de permisos que desea ver. En cada conjunto de permisos, los permisos y los parámetros están organizados en parámetros de aplicación, parámetros de sistema, permisos de objetos y permisos de campos.
Crear un conjunto de permisos
Cree un conjunto de permisos para conceder permisos adicionales a usuarios específicos, además de los permisos de los perfiles existentes, sin tener que modificar perfiles existentes, crear nuevos o asignar perfiles de administrador.
- Desde Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba Permission Sets (Conjuntos de permisos) y luego seleccione Permission Sets (Conjuntos de permisos).
- Haga clic en Clone (Duplicar) junto al conjunto que desea copiar. Los conjuntos de permisos duplicados tendrán la misma licencia de usuario que el original. Para crear un conjunto con una licencia distinta, haga clic en New (Nuevo) (1) en su lugar.
- Introduzca una etiqueta y una descripción. El nombre de API es un nombre exclusivo que usan la API y los paquetes gestionados. Este nombre sustituye automáticamente la etiqueta, aunque puede modificarlo.
- Si es un nuevo conjunto de permisos, seleccione una opción de licencia de usuario.
- Si piensa asignar este conjunto de permisos a varias usuarios con diferentes licencias, seleccione --None (Ninguno)--.
- Si solo los usuarios con un tipo de licencia usarán este conjunto de permisos, seleccione dicha licencia de usuario.
- Haga clic en Save (Guardar) para volver a la página de descripción general de los conjuntos de permisos.
- En la barra de herramientas del conjunto de permisos, haga clic en Manage Assignments (Asignaciones) y, a continuación, haga clic en Add Assignments (Agregar asignaciones).
- Seleccione los usuarios a los que desea asignar este conjunto de permisos y haga clic en Assign (Asignar). Revise los mensajes en la página Assignment Summary (Resumen de asignaciones). Si no se puede asignar el conjunto de permisos a algún usuario, la columna Message (Mensaje) le indicará el motivo.
- Haga clic en Done (Hecho) para volver a una lista con los usuarios que tienen asignado el conjunto de permisos.
Perfiles y conjuntos de permisos para la aplicación de Contratación
Ahora que ya ha visto cómo crear y modificar perfiles y conjuntos de permisos, vamos a configurar el acceso de nivel de objeto adecuado para la aplicación de contratación de ejemplo. La aplicación tiene cuatro tipos principales de usuarios: contratadores, gestores de contratación, entrevistadores y empleados estándar.
Estas son las consideraciones clave para decidir si crear un perfil o conjunto de permisos para cada tipo de usuario.
Contratadores
Esta es una función de trabajo claramente definida. Los usuarios con esta función necesitan tener acceso a distintos tipos de datos que el resto de usuarios. Por lo tanto, tiene más sentido crear un perfil para contratadores.
Gestores de contratación
Para la mayoría de las organizaciones, un gestor de contratación en ventas necesitará acceder a un tipo de datos diferente que un gestor de contratación en ingeniería. Sin embargo, todos los gestores de contratación seguirán necesitando los mismos tipos de acceso a datos de contratación: revisiones, puestos y solicitudes de empleo. Por lo tanto, es conveniente crear un conjunto de permisos de gestor de contratación que se puede asignar a varios tipos de usuarios.
Entrevistadores
Puede llamarse a un empleado de cualquier departamento y en cualquier puesto de trabajo para realizar una entrevista y requiere acceso a información de contratación solo por un tiempo limitado. Por lo tanto, tiene sentido definir un conjunto de permisos para entrevistadores, ya que los permisos pueden asignarse y revocarse fácilmente según sea necesario.
Empleados estándar
Este es un grupo genérico que no refleja una función concreta. Para la mayoría de los empleados, puede crear un perfil básico que proporciona el acceso a un pequeño conjunto de datos y dependiendo de sus especialidades, cree u asigne conjuntos de permisos para otorgarles más acceso según sea necesario.
Por lo que hemos visto, la mejor forma de configurar permisos de objeto para la aplicación de contratación sería la siguiente:
- Crear dos perfiles: Contratadores y Empleados estándar.
- Crear dos conjuntos de permisos: Gerentes de contratación y Entrevistadores.
- Asigne el perfil Empleado estándar a los gerentes de contratación y entrevistadores y conceda el conjunto de permisos adecuado para sus funciones.
Recursos
-
Perfiles
-
Visualización de listas de perfiles
-
Modificar permisos de objetos en perfiles
-
Conjuntos de permisos
-
Consideraciones sobre los conjuntos de permisos
-
Activar la interfaz de la vista de perfiles mejorada
-
Guía para la implementación de seguridad