Controlar el acceso a los registros
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Enumerar las cuatro maneras que existen de controlar el acceso a los registros.
- Describir situaciones en las que se debe usar cada uno de los cuatro controles de seguridad de nivel de registro.
- Explicar cómo interactúan los diferentes controles de registro entre sÃ.
- Establecer valores predeterminados de toda la organización para controlar el acceso a los registros.
Seguridad a nivel de registro
Con el fin de controlar el acceso a los datos de forma precisa, puede permitir a determinados usuarios la visualización de campos especÃficos en objetos determinados y, sin embargo, restringir los registros individuales que están autorizados a ver. El acceso de registros determina qué registros individuales pueden ver y modificar los usuarios en cada objeto al que tienen acceso. En primer lugar, debe plantearse las preguntas siguientes:
- ¿Sus usuarios deben tener un acceso abierto a cada registro o solo a un subconjunto?
- En el caso de subconjuntos, ¿qué reglas deben determinar si los usuarios pueden acceder a ellos?
Para la aplicación de contratación de ejemplo, ha creado un grupo de conjuntos de permisos nuevo llamado Contratadores para dar a los contratadores los permisos a nivel de objeto que necesitan. Ha restringido la capacidad para eliminar objetos de contratación. Por lo tanto, los contratadores no podrán eliminar estos objetos. Sin embargo, conceder a los contratadores permisos para crear, leer o modificar objetos de contratación implica necesariamente que los contratadores puedan leer o modificar todos los registros del objeto de contratación. Este comportamiento se produce porque la seguridad a nivel de registro controla el acceso que tienen los usuarios a los registros que no son de su propiedad.
Las funciones a nivel de registro ofrecen niveles de acceso graduales, asà que es importante saber qué funciones a nivel de registro están configuradas y cómo comprender el nivel de acceso que tiene un usuario.
El acceso de nivel de registro se controla de cuatro maneras distintas. Estas se muestran por orden de acceso ascendente. Los valores predeterminados de la organización permiten bloquear sus datos con el nivel más restrictivo y usar el resto de herramientas de seguridad de nivel de registro para conceder un acceso selectivo a los usuarios según sea necesario.
- Los valores predeterminados de toda la organización especifican el nivel predeterminado de acceso que tienen los usuarios a los registros que no son de su propiedad.
- Las jerarquÃas de funciones garantizan que los gerentes tengan acceso a los mismos registros que sus subordinados. Cada función de la jerarquÃa representa un nivel de acceso a los datos que necesita un usuario o un grupo de usuarios.
- Las reglas de colaboración son excepciones automáticas de la configuración predeterminada de toda la organización para grupos de usuarios determinados para que puedan acceder a los registros que no poseen y que no pueden ver normalmente.
- La colaboración manual permite a los propietarios de los registros con permisos suficientes conceder permisos de lectura y modificación a los usuarios que no tienen acceso al registro de ningún otro modo.
La visibilidad y el acceso para cualquier tipo de datos se determinan por la interacción de los controles de seguridad anteriores basándose en estos principios clave.
- Los permisos de base de los usuarios sobre los objetos dependen de la combinación de sus conjuntos de permisos, sus grupos de conjuntos de permisos y su perfil.
- El acceso a registros que no sean propiedad de un usuario se establece en primer lugar en los valores predeterminados para toda la organización.
- Si los valores predeterminados para toda la organización son inferiores a Public Read/Write (Lectura/escritura pública), podrá facilitar el acceso a determinadas funciones mediante la jerarquÃa de funciones.
- También puede usar las reglas de colaboración para ampliar el acceso a grupos de usuarios adicionales.
- Cada propietario de registros puede compartir de manera individual registros con otros usuarios gracias al botón Share (Compartir) del registro.
Pasará el resto de este módulo aprendiendo más sobre el control del acceso a los registros. En esta unidad, profundizará en la configuración de valores predeterminados para toda la organización.
Valores predeterminados de toda la organización
Los valores predeterminados de toda la organización especifican el nivel de base de acceso que tienen los usuarios a los registros que no son de su propiedad. Esta configuración debe representar el acceso que debe tener el usuario con mayor restricción. Use los valores predeterminados de toda la organización para bloquear sus datos. Use la seguridad de los demás niveles de registro y las otras herramientas de colaboración (jerarquÃa de funciones, reglas de colaboración y colaboración manual) para proporcionar acceso a los usuarios que lo necesiten.
Los permisos de objeto determinan el nivel de acceso de referencia a todos los registros de un objeto, y los valores predeterminados de toda la organización modifican estos permisos en el caso de registros que no son propiedad de un usuario. Los valores predeterminados de toda la organización nunca deben conceder a los usuarios más acceso que el que les corresponde según sus permisos de objetos. Los valores predeterminados de toda la organización se pueden configurar de manera independiente para cada tipo de objeto y para usuarios internos y externos.
Para determinar los valores predeterminados de toda la organización que necesita para su aplicación, debe plantearse las siguientes preguntas para cada objeto:
- ¿Quién es el usuario más restringido de este objeto?
- ¿Habrá alguna vez una instancia de este objeto que este usuario no pueda ver?
- ¿Habrá alguna vez una instancia de este objeto que este usuario no pueda modificar?
Dependiendo de las respuestas, podrá establecer el modelo de colaboración de dicho objeto con uno de los valores que se describe a continuación.
-
Privado: Sólo el propietario del registro y los usuarios que se encuentren por encima de esa función en la jerarquÃa podrán visualizar, modificar e informar sobre esos registros.
-
Public Read Only (Solo lectura pública): Todos los usuarios pueden ver y crear informes de los registros; sin embargo, solo el propietario y los usuarios por encima de su función en la jerarquÃa podrán modificarlos.
-
Public Read/Write (Lectura/escritura pública). Todos los usuarios pueden visualizar, modificar e informar sobre los registros.
-
Controlled by Parent (Controlado por principal): Un usuario puede ver, modificar o eliminar un registro si puede realizar la misma acción en el objeto al que pertenece dicho registro.
Cuando el valor de colaboración de toda la organización para un objeto esté definido como Private (Privada) o Public Read Only (Sólo lectura pública), el administrador podrá otorgar a usuarios acceso adicional a registros configurando una jerarquÃa de funciones o definiendo reglas de colaboración. Las reglas de colaboración solo pueden usarse para conceder acceso adicional. Estas reglas no pueden usarse para restringir el acceso a registros más allá de lo especificado originalmente con los valores predeterminados de colaboración de toda la organización.
Como ejemplo, respondamos la lista de preguntas siguiente para el objeto Position (Puesto) en la aplicación de contratación.
-
¿Quién es el usuario más restringido de este objeto?
Un empleado estándar, al que solo se le permite ver un puesto.
-
¿Habrá alguna vez una instancia de este objeto que este usuario no pueda ver?
No. Aunque los valores de los campos de valores de bonificación mÃnima y máxima están ocultos para los empleados estándar, estos pueden ver todos los registros de puestos.
-
¿Habrá alguna vez una instancia de este objeto que este usuario no pueda modificar?
SÃ. Los empleados estándar no tienen permiso para modificar ningún registro de puesto.
Dado que la respuesta a la tercera pregunta es "SÃ", el modelo de colaboración del objeto Position (Puesto) debe configurarse con el valor Public Read Only (Solo lectura pública). Repita el mismo ejercicio con los demás objetos de contratación para determinar los valores predeterminados de toda la organización adecuados para ellos. El usuario Standard Employee (Empleado estándar) es el más restringido para cada objeto, y habrá candidatos, solicitudes de empleo y registros de revisión que no podrán ver estos empleados concretos. En consecuencia, debe establecer el modelo de colaboración para los objetos Candidate (Candidato), Job Application (Solicitud de empleo) y Review (Revisión) como Private (Privado).
Configurar sus valores predeterminados de colaboración de toda la organización
Use valores predeterminados para toda la organización parea especificar el nivel de referencia de acceso que deben tener los usuarios con mayor restricción.
- En Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), busque y seleccione Sharing Settings (Configuración de colaboración).
- Haga clic en Edit (Modificar) en el área de la configuración predeterminada de la organización.
- Para cada objeto, seleccione el acceso interno predeterminado y el acceso externo predeterminado. Como ha aprendido, configura el acceso interno predeterminado para Position (Puesto) como Public Read Only (Solo lectura pública) y para Candidate (Candidato), Job Application (Solicitud de empleo) y Review (Revisión) como Private (Privado). Configura el acceso externo predeterminado para los cuatro objetos como Private (Privado).
- Para desactivar el acceso automático mediante la jerarquÃa de funciones, puede cancelar la selección de Grant Access Using Hierarchies (Otorgar acceso con jerarquÃas) para cualquier objeto personalizado que no tenga un acceso predeterminado de Controlled by Parent (Controlado por principal). Si anula la selección de esta casilla, solo el propietario del registro y los usuarios a los que la función de colaboración ha concedido acceso reciben acceso a los registros.
- Haga clic en Save (Guardar) cuando termine de conceder acceso.
Una vez bloqueados los datos con los valores predeterminados de toda la organización, es posible que la configuración resultante sea demasiado restrictiva para algunos usuarios. Use los demás controles de seguridad de nivel de registro, como jerarquÃas de funciones, reglas de colaboración y colaboración manual para conceder acceso a los registros de manera selectiva a los empleados que lo necesiten.
Recursos
- Ayuda de Salesforce: Configurar el acceso a registros para sus usuarios
- Ayuda de Salesforce: Valores predeterminados de colaboración para toda la organización
- Ayuda de Salesforce: Consideraciones de la colaboración