trailhead

Contrôle de l'accès aux objets

Objectifs de formation

Une fois cette unité terminée, vous pourrez :
  • Visualiser des profils existants et en créer de nouveaux
  • Modifier l'accès aux objets à l'aide de profils
  • Afficher tous les utilisateurs attribués dans un profil
  • Créer des ensembles d'autorisations
  • Attribuer des ensembles d'autorisations à un seul ou à plusieurs utilisateurs

Gestion des autorisations d'objet

Pour contrôler l'accès aux données, le plus simple est de définir des ensembles d'autorisations dans un type d'objet particulier (un objet est une collection d'enregistrements, par exemple des pistes ou des contacts). Vous pouvez contrôler si un groupe d'utilisateurs peut créer, afficher, modifier ou supprimer les enregistrements de cet objet.

Vous pouvez définir des autorisations d'objet avec des profils ou des ensembles d'autorisations. Un utilisateur peut avoir un seul profil et de nombreux ensembles d'autorisations.
  • Le profil de l'utilisateur détermine les objets auxquels il peut accéder et les actions qu'il peut exécuter sur les enregistrements de l'objet (telles que créer, lire, modifier ou supprimer).
  • Les ensembles d'autorisations octroient à l'utilisateur des autorisations et des paramètres d'accès supplémentaires.

Utilisez des profils pour accorder les autorisations et les paramètres minimum dont tous les utilisateurs d'un type particulier ont besoin. Utilisez ensuite les ensembles d'autorisations pour accorder d'autres autorisations si nécessaire. La combinaison de profils et d'ensembles d'autorisations offre une grande souplesse pour définir l'accès au niveau de l'objet.

Autorisations d'objet pour l'application de recrutement

À titre d'exemple, explorons comment configurer l'accès au niveau de l'objet dans l'application de recrutement. L'application comprend quatre types principaux d'utilisateurs : responsables du recrutement, recruteurs, interviewers et employés standard. Quel type d'accès aux objets chaque type d'utilisateur a-t-il besoin ?

Responsables du recrutement
Ben, un responsable du recrutement, doit pouvoir accéder aux enregistrements de recrutement associés à ses postes ouverts, mais il ne doit pas avoir accès aux autres enregistrements de recrutement (sauf s'ils appartiennent à d'autres responsables du recrutement qui sont ses subordonnés). Il existe également quelques champs confidentiels auxquels il ne doit pas avoir accès, notamment le champ de numéro de sécurité sociale. Examinons les autorisations dont Ben a besoin pour accéder à chacun des objets personnalisés clés dans l'application.
  • Postes : Ben doit pouvoir publier de nouveaux postes, de même que mettre à jour et afficher tous les champs des postes pour lesquels il est le responsable du recrutement, mais ne doit avoir qu'un accès en lecture seule aux postes des autres responsables.
  • Candidat : Ben doit avoir accès uniquement aux candidats qui postulent pour une offre dont il est le responsable du recrutement. En outre, Ben n'a pas accès au champ de numéro de sécurité sociale d'un candidat, car il n'a pas besoin de cette information.
  • Candidature : Ben doit pouvoir mettre à jour le statut des candidatures afin de préciser quels candidats sont sélectionnés ou refusés. Cependant, il ne doit pas pouvoir modifier le candidat répertorié dans la candidature, ni le poste que le candidat convoite. Par conséquent, nous devons définir un moyen d'empêcher Ben de mettre à jour les champs de référence dans les candidatures.
  • Appréciation : pour prendre une décision sur les candidats qui postulent, Ben doit pouvoir consulter les appréciations publiées par les interviewers et publier des commentaires s'il ne partage pas leur avis. De la même façon, Ben doit pouvoir créer des appréciations afin de mémoriser ses propres impressions sur les candidats qu'il interroge.
Recruteurs
Mario, un recruteur, doit pouvoir créer, afficher et modifier les postes, les candidats, les candidatures ou les appréciations contenus dans le système. Il doit également afficher et modifier les enregistrements de recrutement appartenant à tous les autres recruteurs, car tous les recruteurs collaborent pour pourvoir chaque poste, quel qu'en soit le créateur.
Nous devons nous assurer qu'un recruteur ne peut pas supprimer accidentellement un enregistrement contenant des informations sur un candidat. En effet, la loi exige de sauvegarder pendant plusieurs années les données relatives à un recrutement, pour qu'elles puissent être retenues ou servir de preuve devant les tribunaux en cas de contestation d'une décision de recrutement.
Interviewers
Melissa est un ingénieur généralement chargée d'interroger les candidats à des postes très techniques. Elle doit pouvoir afficher uniquement les candidatures et les candidats pour lesquels elle est désignée en tant qu'interviewer. De plus, elle ne doit pas avoir accès aux valeurs de salaire minimum et maximum des postes ou au numéro de sécurité sociale des candidats, car ces informations sont confidentielles et inutiles dans le cadre de sa mission.
Employés standard
Les employés, par exemple Harry, représentent souvent la meilleure ressource de recrutement de nouveaux employés, même s'ils ne sont pas des responsables du recrutement ou des interviewers actifs. Pour cette raison, nous devons nous assurer que les employés peuvent afficher les postes ouverts, sans pouvoir afficher les valeurs des champs de salaire minimum et maximum des postes, sinon ils risquent de conseiller à leurs amis de négocier un poste à la valeur de salaire maximum ! De plus, Harry ne doit avoir accès à aucun autre enregistrement dans l'application de recrutement.

Les autorisations requises pour chacun des quatre types d'utilisateur sont répertoriées ci-dessous.

Objet personnalisé Recruteur Responsable du recrutement Interviewer Employé standard
Poste Lire Créer Modifier Lire Créer Modifier* Lire (sans afficher le salaire min/max) Lire (sans afficher le salaire min/max)
Candidat Lire Créer Modifier Lire* (sans afficher le numéro de sécurité sociale) Lire* (sans afficher le numéro de sécurité sociale)
Candidature Lire Créer Modifier Lire Modifier (sans champ de référence) Lire*
Évaluation Lire Créer Modifier Lire Créer Modifier Lire ** Créer Modifier **

* Uniquement pour les enregistrements associés à un poste auquel le responsable du recrutement ou interviewer a été attribué

** Uniquement pour les enregistrements qui appartiennent à l'interviewer

Dans le reste de ce module, vous allez apprendre à utiliser la plate-forme pour mettre en œuvre ces règles dans l'application de recrutement. Comme vous pourrez le constater, vous devrez configurer des contrôles de sécurité à chacun des trois niveaux : objets, champs et enregistrements.

Utilisation de profils pour limiter l'accès des utilisateurs

Chaque utilisateur a un profil unique qui contrôle les données et les fonctionnalités auxquelles il a accès. Un profil est une collection de paramètres et d'autorisations. Les paramètres du profil déterminent les données que l'utilisateur peut afficher, et les autorisations déterminent les actions que l'utilisateur peut exécuter sur ces données.
  • Les paramètres du profil d'un utilisateur déterminent s'il peut afficher une application, un onglet, un champ ou un type d'enregistrement particulier.
  • Les autorisations du profil d'un utilisateur déterminent les actions qu'il peut exécuter, par exemple créer ou modifier des enregistrements d'un type donné, générer des rapports et personnaliser l'application.

Généralement, les profils sont définis par la fonction de l'utilisateur (par exemple, administrateur système, recruteur ou responsable du recrutement), mais vous pouvez définir des profils pour n'importe quelle fonction selon les besoins de votre organisation Salesforce. Un profil peut être attribué à de nombreux utilisateurs, mais un utilisateur ne peut avoir qu'un seul profil à la fois.

Profils standard

La plate-forme comprend un ensemble de profils standard. Voici quelques exemples :

  • Lecture seule
  • Utilisateur standard
  • Utilisateur marketing
  • Responsable contrats
  • Administrateur système
Chaque profil standard comprend un ensemble d'autorisations par défaut pour tous les objets standard disponibles sur la plate-forme. Par exemple, un utilisateur standard peut créer et modifier des enregistrements tandis qu'un utilisateur en lecture seule peut afficher les enregistrements, mais ne peut ni les créer, ni les modifier. Le profil Administrateur système dispose du plus grand accès aux données et de la plus grande capacité de configuration et de personnalisation de Salesforce. Le profil Administrateur système comprend également deux autorisations spéciales :
  • Afficher toutes les données
  • Modifier toutes les données

Étant donné que ces autorisations remplacent tous les autres paramètres de partage, il convient d'être prudent lorsque vous les attribuez à un autre profil que le profil Administrateur système. Vous pouvez afficher la liste de tous les profils standard et personnalisés dans la Configuration.

Vous ne pouvez pas modifier les autorisations d'objet dans un profil standard. Cependant, vous pouvez cloner chacun des profils existants et les utiliser comme base pour un nouveau profil, en ajustant les applications et les paramètres système le cas échéant. Par exemple, dans l'application de recrutement, vous pouvez créer trois profils, un pour les recruteurs, un pour les interviewers et un pour les responsables de recrutement. Chaque profil peut être configuré pour fournir le type spécifique d'accès aux données qu’exige un rôle particulier. Vous pouvez ensuite utiliser des ensembles d'autorisations pour accorder des autorisations supplémentaires si nécessaire.

Remarque

Remarque

Les fonctionnalités des profils dans une organisation dépendent du type de licence utilisateur.

Gestion des profils

La page de présentation du profil offre un point d'entrée pour l'ensemble des paramètres et des autorisations d'un profil unique. Dans Configuration, saisissez Profils dans la case Recherche rapide, puis cliquez sur le profil que vous souhaitez afficher.

La page de présentation du profil.

Création d'un profil

Pour créer un profil, le plus simple est de cloner un profil existant semblable à celui que vous souhaitez créer, puis de le modifier.
Salesforce offre une interface utilisateur de profil avancée qui facilite la recherche et la modification des paramètres de profil. Nous allons l'utiliser pour cet exercice. Pour ce faire, tapez Paramètres de gestion des utilisateurs dans la case Recherche rapide dans la Configuration, puis activez Interface utilisateur de profil avancée, et cliquez sur Enregistrer.
Une liste de profils utilisateur
  1. Dans Configuration, accédez à Profils via la case Recherche rapide.
  2. Cliquez sur Cloner en regard d'un profil semblable à celui que vous souhaitez créer.
  3. Nommez votre nouveau profil, puis enregistrez.

Attribution d'un profil

Lorsque vous avez créé un profil, vous pouvez le personnaliser pour l'adapter aux besoins d'un groupe d'utilisateurs, puis l'attribuer à ces utilisateurs.
  1. Recherchez Profils dans Configuration.
  2. Sélectionnez un profil, puis cliquez sur Paramètres d’objet. Cliquez sur Modifier pour voir ses paramètres.
  3. Définissez les paramètres et les autorisations les plus restrictifs pour ce type d'utilisateur, puis enregistrez
    (ne vous inquiétez pas de pas gêner les utilisateurs dans leurs tâches quotidiennes, nous ouvrirons les possibilités plus loin en leur accordant des ensembles d'autorisations).
  4. Recherchez Utilisateurs dans Configuration, puis cliquez sur Modifier en regard de chaque utilisateur.
  5. Dans la liste déroulante Profil, sélectionnez le profil que vous venez de configurer, puis enregistrez.

Utilisation d'ensembles d'autorisations pour accorder l'accès

Un ensemble d'autorisations est un jeu de paramètres et d'autorisations qui offre aux utilisateurs l'accès à divers outils et fonctions. Les paramètres et les autorisations des ensembles d'autorisations sont également inclus dans les profils, mais les ensembles d'autorisations élargissent l'accès des utilisateurs aux fonctions, sans modifier leur profil.

Les ensembles d'autorisations facilitent l'octroi d'un accès à divers objets personnalisés et applications dans votre organisation, et de retirer l'accès lorsqu'il n'est plus nécessaire.

Les utilisateurs ne peuvent avoir qu'un seul profil, mais peuvent disposer de plusieurs ensembles d'autorisations.

Vous utilisez des ensembles d'autorisations essentiellement dans deux cas : pour accorder l'accès à des objets ou des applications personnalisés et pour accorder des autorisations (temporaires ou à long terme) sur des champs spécifiques.

Accorder l'accès à des objets ou des applications personnalisés
Supposons que de nombreux utilisateurs de votre organisation ont des fonctions assez proches. Vous pouvez leur attribuer le même profil qui accorde l'accès dont ils ont besoin pour leur mission. Cependant, parmi ces utilisateurs, certains travaillent sur un projet spécial qui nécessite d'accéder à une application que personne d'autre n'utilise. D'autres utilisateurs doivent aussi accéder à cette application, et à une autre application dont le premier groupe n'a pas besoin. Si nous disposions uniquement de profils, il serait nécessaire de créer plus de profils personnalisés en fonction des besoins de ces utilisateurs, ou de prendre le risque d'accorder des accès supplémentaires au profil d'origine, ce qui rendrait les applications accessibles à des utilisateurs qui n'en ont pas besoin. Aucune de ces options n'est idéale, notamment si votre organisation est en pleine croissance et que les besoins de vos d'utilisateurs évoluent en permanence.
Accorder des autorisations à des champs spécifiques
Supposons que l'utilisateur Tom ait besoin d'un accès temporaire pour modifier un champ pendant les congés de son collègue. Vous pouvez créer un ensemble d'autorisations qui accorde l'accès au champ, puis l'attribuer à Tom. Lorsque son collègue reprend son travail, Tom n'a plus besoin d'accéder au champ. Il suffit de retirer l'attribution de l'ensemble d'autorisations de l’enregistrement de Tom.
Remarque

Remarque

Si un utilisateur dispose d'une autorisation dans son profil de base, vous ne pouvez pas la retirer en lui attribuant un ensemble d'autorisations. Un ensemble d'autorisations peut uniquement ajouter des autorisations. Pour retirer une autorisation, vous devez la supprimer du profil de base de l'utilisateur et de tout ensemble d'autorisations attribué à cet utilisateur.

Gestion des ensembles d'autorisations

La page de présentation des ensembles d'autorisations est le point d'entrée de toutes les autorisations d'un ensemble. Pour ouvrir la page de présentation d'un ensemble d'autorisations, recherchez Ensembles d'autorisations dans la Configuration, puis sélectionnez l'autorisation que vous souhaitez afficher. Dans chaque ensemble d'autorisations, les autorisations et les paramètres sont organisés dans des paramètres d'application, des paramètres système, des autorisations d'objet et des autorisations de champ.

Page de présentation d'un ensemble d'autorisations

Création d'un ensemble d'autorisations

Créez un ensemble d'autorisations pour accorder des autorisations supplémentaires à des utilisateurs spécifiques (en plus de leurs autorisations de profil existantes) sans avoir à modifier les profils existants, à créer de nouveaux profils, ou à accorder un profil administrateur.
  1. Dans Configuration, dans la case Recherche rapide, saisissez Ensemble d'autorisations.
  2. Cliquez sur Cloner en regard de l'ensemble que vous souhaitez copier.
    Remarque

    Remarque

    Un ensemble d'autorisations cloné possède la même licence utilisateur que l'original. Pour créer un ensemble doté d'une licence différente, cliquez à la place sur Nouveau.

  3. Saisissez une étiquette et une description.
    Le nom d'API est un nom unique utilisé par l'API et les packages gérés. Il réplique automatiquement l'étiquette, mais vous pouvez le modifier.
  4. S'il s'agit d'un nouvel ensemble d'autorisations, sélectionnez une option de licence d'utilisateur.
    • Si vous envisagez d'attribuer cet ensemble d'autorisations à plusieurs utilisateurs disposant de licences différentes, sélectionnez Aucun.
    • Si seuls des utilisateurs disposant d'un type de licence identique utilisent cet ensemble d'autorisations, sélectionnez cette licence utilisateur.
  5. Cliquez sur Enregistrer pour revenir à la page de présentation des ensembles d'autorisations.
  6. Dans la barre d'outils des ensemble d'autorisations, cliquez sur Gérer les attributions, puis sur Ajouter des attributions.
  7. Sélectionnez les utilisateurs auxquels vous souhaitez attribuer cet ensemble d'autorisations, puis cliquez sur Attribuer.
    Consultez les messages dans la page Résumé des attributions. Si aucun utilisateur n'a été attribué, la colonne Messages indique le motif.
  8. Pour revenir à la liste des utilisateurs attribués à l'ensemble d'autorisations, cliquez sur Terminé.

Profils et ensembles d'autorisations pour l'application de recrutement

Vous savez désormais comment créer et modifier des profils et des ensembles d'autorisations. Nous pouvons configurer l'accès au niveau de l'objet approprié pour notre application de recrutement. L'application comprend quatre types principaux d'utilisateurs : recruteurs, responsables du recrutement, interviewers et employés standard.

Voici les points à prendre en compte pour choisir de créer un profil ou un ensemble d'autorisations pour chaque type d'utilisateur :

Recruteurs
Ils représentent une fonction bien définie et doivent consulter des types de données auxquels les autres utilisateurs n’ont pas accès. Par conséquent, il est logique de créer un profil pour les recruteurs.
Responsables du recrutement
Dans la plupart des organisations, le responsable du recrutement d’un service commercial doit consulter des types de données auxquels le responsable du recrutement du service ingénierie n’a pas accès. Cependant, tous les responsables de recrutement ont besoin des mêmes types d'accès aux données de recrutement : évaluations, candidats, postes et candidatures. Par conséquent, il est utile de créer un ensemble d'autorisations pour les responsables du recrutement, qui peut être associé à divers types d'utilisateur.
Interviewers
Un employé d'un service ou d'une fonction peut être amené à conduire un entretien. Il doit par conséquent avoir accès aux informations de recrutement pendant une durée limitée. Il est logique de définir un ensemble d'autorisations pour les interviewers, car les autorisations sont aisément attribuées et révoquées selon les besoins.
Employés standard
Ils représentent une catégorie générique qui ne reflète aucune fonction spécifique. Pour la plupart des employés, vous pouvez créer un profil de base qui accorde l'accès à un jeu de données limité, puis créer et attribuer des ensembles d'autorisations qui accordent un accès supplémentaire adapté à leur spécialité.

À partir de ces éléments, la meilleure façon de configurer des autorisations d'objet pour l'application de recrutement est de procéder comme suit :

  1. Créez deux profils : Recruteurs et Employés standard.
  2. Créez deux ensembles d'autorisations : Responsables du recrutement et Interviewers.
  3. Attribuez le profil Employés standard aux responsables du recrutement et aux interviewers, puis accordez l'ensemble d'autorisations approprié en fonction de leur poste.
retargeting