Controlar a qué pueden acceder los usuarios
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir los diferentes niveles del control del acceso a los datos en Salesforce.
- Crear conjuntos de permisos y grupos de conjuntos de permisos.
- Ajustar los valores predeterminados de toda la organización para la configuración de colaboración.
Introducción a la seguridad de datos
Ahora que sabe cómo agregar usuarios, probablemente quiera saber cómo garantizar que solo visualicen lo que necesitan ver. En esta unidad, le mostramos cómo configurar el acceso de sus usuarios a sus registros de Salesforce, de manera que puedan acceder solamente a la información que necesitan.
Salesforce incluye controles de seguridad sencillos de configurar que facilitan la especificación de qué usuarios pueden ver, crear, modificar o eliminar cualquier registro o campo en la aplicación. Puede configurar el acceso al nivel de registros individuales, campos, objetos u organización. Combinando controles de seguridad a diferentes niveles, puede proporcionar solo el nivel correcto de acceso a datos a miles de usuarios sin necesidad de especificar permisos para cada usuario de forma individual.
En esta unidad, veremos los niveles de acceso de datos y algunas de las funciones disponibles para gestionar el acceso a objetos, registros y campos. Pero esto es solo una introducción. Para obtener más información y práctica con el control de acceso a datos, consulte Seguridad de datos.
Niveles de acceso de datos
Puede configurar el acceso a datos en Salesforce en cuatro niveles.
Organización
Al nivel más alto, puede proteger el acceso a su organización manteniendo una lista de usuarios autorizados, configurando políticas de contraseña y limitando el acceso de inicio de sesión a algunas horas y ciertas ubicaciones.
Objetos
La seguridad a nivel de objeto proporciona la forma más sencilla de controlar qué usuarios tienen acceso a qué datos. Mediante la configuración de permisos en un tipo de objeto concreto, puede evitar que un grupo de usuarios cree, visualice, modifique o elimine cualquier registro de ese objeto. Por ejemplo, puede utilizar permisos de objeto para asegurarse de que los entrevistadores puedan ver puestos y solicitudes de empleo pero no puedan modificarlos o eliminarlos. Le recomendamos que utilice conjuntos de permisos y grupos de conjuntos de permisos para configurar permisos de objetos.
Campos
La seguridad a nivel de campo restringe el acceso a algunos campos, incluso para objetos a los que un usuario tiene acceso. Por ejemplo, puede hacer que el campo de salario en un objeto de puesto sea invisible para entrevistadores pero visible para contratadores y gestores de contratación. Los permisos de campo también se configuran en conjuntos de permisos.
Registros
Para controlar los datos con mayor precisión, puede permitir a usuarios concretos ver un objeto, pero luego restringir los registros individuales en el objeto que tienen permiso para ver. Por ejemplo, el acceso de nivel de registro permite a los entrevistadores ver y modificar sus propias entrevistas, sin exponer las revisiones de otros entrevistadores. Se establece el nivel predeterminado de acceso que tienen los usuarios a los registros de otros usuarios utilizando valores predeterminados de toda la organización. Después, puede utilizar la jerarquía de funciones, reglas de colaboración, colaboración manual y otras funciones de colaboración para desbloquear el acceso a los registros.
Veamos un poco más a fondo las dos funciones utilizadas para configurar el acceso a los datos: los conjuntos de permisos y los valores predeterminados de toda la organización.
Conjuntos de permisos
Los conjuntos de permisos son recopilaciones de parámetros y permisos que determinan lo que los usuarios pueden hacer en Salesforce. Utilice conjuntos de permisos para conceder acceso a objetos, campos, fichas y otras funciones y ampliar el acceso de los usuarios sin cambiar sus perfiles.
¿Qué tienen de bueno los conjuntos de permisos? Dado que puede reutilizar pequeños bloques de conjuntos de permisos, puede evitar crear decenas o incluso cientos de perfiles para cada usuario y puesto de trabajo. Es por este motivo por el que recomendamos asignar a los usuarios el perfil Acceso mínimo: Salesforce y, a continuación, utilizar conjuntos de permisos y grupos de conjuntos de permisos para gestionar el acceso de sus usuarios.
Cuando cree conjuntos de permisos, incluya todos los permisos que sean necesarios para un trabajo o tarea.
Crear un conjunto de permisos
Vamos a darle una oportunidad a la creación de un conjunto de permisos.
- En Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba
Permission Sets
(Conjuntos de permisos) y, a continuación, seleccione Permission Sets (Conjuntos de permisos).
- Haga clic en New (Nuevo).
- Introduzca una etiqueta y una descripción para su conjunto de permisos.
- Si lo prefiere, también puede seleccionar asignar este conjunto de permisos solo a los usuarios con ciertas licencias.
- Haga clic en Save (Guardar).
La página de descripción general del conjunto de permisos incluye secciones para todos los permisos y parámetros disponibles para configurar. Vamos a activar objeto, campo y permisos de usuario.
- Haga clic en Object Settings (Configuración de objeto) y seleccione un objeto. (También puede ir directamente a un objeto buscándolo en el cuadro Find Settings... (Buscar configuración).
- Haga clic en Edit (Modificar). En esta página, puede activar los permisos de objeto y permisos de campo que desea que tengan los usuarios asignados a este conjunto de permisos. Después de realizar las modificaciones, haga clic en Save (Guardar).
- Haga clic en el vínculo Permission Set Overview (Descripción general del conjunto de permisos) para volver a esta página.
- Los permisos de usuario se encuentran en las secciones App Permissions (Permisos de aplicación) y System Permissions (Permisos del sistema). En nuestro caso, haremos clic en App Permissions (Permisos de aplicación).
- Haga clic en Modificar. Para activar un permiso de usuario, seleccione la casilla de verificación del permiso y, a continuación, haga clic en Save (Guardar).
¡Excelente! Ha creado y ha establecido permisos en un conjunto de permisos. Puede asignar directamente el conjunto de permisos a los usuarios ahora... pero hay una mejor manera de hacerlo. Primero, vamos a crear un grupo de conjuntos de permisos que incluya el conjunto de permisos, de manera que podamos gestionar los permisos de nuestros usuarios de una manera más sencilla.
Grupos de conjuntos de permisos
Los grupos de conjuntos de permisos son exactamente lo que parecen: grupos de conjuntos de permisos. Utilice grupos de conjuntos de permisos para agrupar conjuntos de permisos en base a un perfil de trabajo o a una función. Después, puede asignar un grupo de conjuntos de permisos a usuarios, en lugar de realizar un seguimiento de varias asignaciones de conjuntos de permisos. Los usuarios asignados a un grupo de conjuntos de permisos reciben los permisos combinados de todos los conjuntos de permisos del grupo.
Puede incluir un conjunto de permisos en más de un grupo de conjuntos de permisos, lo que hace que los grupos de conjuntos de permisos sean una herramienta muy potente. Además, puede silenciar permisos específicos en un grupo de conjuntos de permisos, de manera que los usuarios asignados no tengan esos permisos.
El conjunto de todas estas funciones le permite ser eficiente a la hora de reutilizar conjuntos de permisos. Puede garantizar que sus usuarios tengan solo los permisos que necesitan para sus trabajos sin necesidad de duplicar docenas (o cientos) de perfiles a fin de conseguir la misma configuración.
Al igual que con el resto de funciones de seguridad de datos que hemos mencionado, solo hablaremos de los grupos de conjuntos de permisos aquí. Para obtener más información, puede consultar Grupos de conjuntos de permisos.
Crear un grupo de conjuntos de permisos y silenciar un permiso
Para crear un grupo de conjuntos de permisos:
- En Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), escriba
Permission Set Groups
(Grupos de conjuntos de permisos) y, a continuación, seleccione Permission Set Groups (Grupos de conjuntos de permisos).
- Haga clic en Nuevo grupo de conjuntos de permisos.
- Introduzca una etiqueta y una descripción para su grupo de conjuntos de permisos. Haga clic en Save (Guardar).
- En la página de descripción general, haga clic en Permission Sets in Group (Conjuntos de permisos en grupo). Haga clic en Add Permission Set (Agregar conjunto de permisos) y, a continuación, seleccione los conjuntos de permisos que desea incluir en el grupo de conjuntos de permisos. Haga clic en Add (Agregar) y, a continuación, haga clic en Done (Listo).
Para silenciar un permiso en un grupo de conjuntos de permisos:
- En la página de descripción general del grupo de conjuntos de permisos, haga clic en Muting Permission Set in Group (Silenciar conjunto de permisos en el grupo).
- Haga clic en New (Nuevo). Deje el nombre del conjunto de permisos silenciado como está y, a continuación, haga clic en Save (Guardar).
- Haga clic en el nombre del conjunto de permisos silenciado.
- Vaya a los objetos y permisos directamente utilizando el cuadro Find Settings... (Buscar configuración). También puede ir a la sección que contiene los permisos que quiere silenciar.
- Haga clic en Edit (Modificar) y seleccione la casilla de verificación para los permisos en la columna Muted (Silenciado). A continuación, haga clic en Guardar.
¡Casi terminamos! El último paso es asignar el grupo de conjunto de permisos a los usuarios:
- En la página de descripción general del grupo de conjuntos de permisos, haga clic en Manage Assignments (Gestionar asignaciones) y, a continuación, en Add Assignments (Agregar asignaciones).
- Seleccione los usuarios que quiere asignar al grupo y, a continuación, haga clic en Next (Siguiente).
- Si lo prefiere, puede seleccionar una fecha de caducidad para la asignación del usuario. Esta opción puede resultar útil si desea que la asignación de los usuarios al grupo de conjuntos de permisos sea temporal.
- Haga clic en Asignar.
Valores predeterminados de colaboración para toda la organización
Puede controlar el acceso a datos con mayor precisión permitiendo a usuarios concretos ver un objeto, pero luego restringiendo los registros individuales en el objeto que tienen permiso para ver. Tal y como mencionamos antes, utilice los valores predeterminados de toda la organización para especificar el nivel de acceso de referencia que tienen los usuarios a los registros que no poseen.
Puede determinar los valores predeterminados de toda la organización respondiendo las siguientes preguntas para cada objeto.
- ¿Quién es el usuario más restringido de este objeto?
- ¿Habrá alguna vez una instancia de este objeto que este usuario no pueda ver?
- ¿Habrá alguna vez una instancia de este objeto que este usuario no pueda modificar?
Basándose en sus respuestas a estas preguntas, puede establecer el modelo de colaboración para ese objeto en uno de los siguientes parámetros.
Campo |
Descripción |
---|---|
Private (Privado) |
Sólo el propietario del registro y los usuarios que se encuentren por encima de esa función en la jerarquía podrán visualizar, modificar e informar sobre esos registros. |
Public Read Only (Solo lectura pública) |
Todos los usuarios pueden visualizar e informar sobre los registros, pero no podrán modificarlos. Sólo el propietario del registro y los usuarios que se encuentren por encima de esa función en la jerarquía podrán modificar esos registros. |
Public Read/Write (Lectura/escritura pública) |
Todos los usuarios pueden visualizar, modificar e informar sobre los registros. |
Controlled by Parent (Controlado por principal) |
Un usuario puede realizar una acción (como visualizar, modificar o eliminar) en un registro basándose en si puede realizar la misma acción en el registro asociado al mismo. |
Si ha establecido la configuración de colaboración de toda la organización para un objeto como Private (Privada) o Public Read Only (Solo lectura pública), puede otorgar a los usuarios acceso adicional a registros configurando una jerarquía de funciones, definiendo reglas de colaboración o utilizando otras funciones de colaboración. Solo puede utilizar estas funciones para otorgar acceso adicional; no pueden utilizarse para restringir el acceso a registros diferentes a los especificados originalmente con las configuraciones predeterminadas de colaboración de la organización.
Establecer valores predeterminados de colaboración de toda la organización
Ahora que tiene información sobre los valores predeterminados de toda la organización, está preparado para establecer algunos.
- En Setup (Configuración), en el cuadro Quick Find (Búsqueda rápida), introduzca
Sharing Settings
(Configuración de colaboración) y seleccione Sharing Settings (Configuración de colaboración).
- Haga clic en Edit (Modificar) en el área de la configuración predeterminada de la organización.
- Para cada objeto, en la columna Default Internal Access (Acceso interno predeterminado), seleccione el acceso predeterminado que desea utilizar.
- Para permitir que los empleados alcancen niveles superiores en la jerarquía de funciones para acceder a registros de forma automática, seleccione Grant Access Using Hierarchies (Otorgar acceso con jerarquías) para cualquier objeto personalizado que no tenga el acceso predeterminado Controlled by Parent (Controlado por principal).
Ha aprendido los fundamentos sobre el control del acceso a datos en Salesforce, e incluso ha realizado prácticas configurando funciones que controlan el acceso a objetos, campos y registros. Para profundizar más en la configuración del acceso para los usuarios, recuerde consultar Seguridad de datos.