Contrôle de l’accès des utilisateurs
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Décrire les différents niveaux de contrôle de l’accès aux données chez Salesforce
- Créer des ensembles d’autorisations et des groupes d’ensembles d’autorisations
- Définir les paramètres de partage par défaut à l’échelle de l’organisation
Remarque
Vous souhaitez apprendre en français ? Dans ce badge, les validations de défi pratique Trailhead se font en anglais. Les traductions sont fournies entre parenthèses à titre de référence. Dans votre Trailhead Playground, veillez (1) à définir les États-Unis comme région, (2) à sélectionner l’anglais comme langue, et (3) à copier et coller uniquement les valeurs en anglais. Suivez les instructions ici.
Consultez le badge Trailhead dans votre langue pour découvrir comment profiter de l’expérience Trailhead traduite.
Introduction à la protection des données
Maintenant que vous savez ajouter des utilisateurs, vous aimeriez sûrement savoir comment leur permettre de voir uniquement ce qu’ils ont besoin de voir. Dans cette unité, vous verrez comment configurer l’accès de vos utilisateurs à vos enregistrements Salesforce afin qu’ils ne puissent voir que les informations nécessaires.
Salesforce contient également des contrôles de sécurité simples à configurer, par le biais desquels il est facile de spécifier quels utilisateurs peuvent voir, créer, modifier ou supprimer des enregistrements ou des champs dans l’application. Il vous est possible de configurer l’accès au niveau de l’organisation, des objets, des champs ou des enregistrements individuels. Associer des contrôles de sécurité à différents niveaux vous permet de fournir le juste niveau d'accès aux données pour des milliers d'utilisateurs, sans avoir à spécifier des autorisations pour chacun d'entre eux.
Dans cette unité, nous abordons les niveaux d’accès aux données et certaines des fonctionnalités disponibles pour la gestion de l’accès aux objets, aux enregistrements et aux champs. Nous nous contentons ici d’aborder les bases. Pour obtenir plus d’informations ainsi que des exercices pratiques sur le contrôle de l’accès aux données, consultez le module Sécurité des données.
Niveaux d'accès aux données
Dans Salesforce, il vous est possible de configurer l’accès aux données à quatre niveaux principaux.
Organisation
Au niveau le plus élevé, vous pouvez protéger l’accès à votre organisation en conservant une liste d’utilisateurs autorisés, en définissant des stratégies de mot de passe et en limitant l’accès à la connexion à des heures et emplacements spécifiques.
Objets
La sécurité au niveau de l’objet est le moyen le plus simple de contrôler les utilisateurs ayant accès aux différentes données. En définissant des autorisations pour un type d'objet particulier, il vous est possible d'empêcher un groupe d'utilisateurs de créer, de voir, de modifier ou de supprimer des enregistrements de cet objet. Par exemple, vous pouvez utiliser des autorisations d’objet pour vous assurer que les personnes en charge de l’entretien ont accès aux postes et candidatures sans pouvoir les modifier ou les supprimer. Nous vous recommandons d’utiliser des ensembles d’autorisations et des groupes d’ensembles d’autorisations pour configurer les autorisations d’objet.
Champs
La sécurité au niveau du champ limite l’accès à certains champs, même pour les objets auxquels un utilisateur a normalement accès. Par exemple, il vous est possible de rendre, dans un objet de poste, le champ du salaire invisible pour les personnes en charge de l’entretien et visible pour les responsables du recrutement et les recruteurs. Les autorisations de champ sont également configurées dans les ensembles d’autorisations.
Enregistrements
Pour contrôler les données avec plus de précision, vous pouvez autoriser des utilisateurs spécifiques à consulter un objet, mais limiter l’accès aux enregistrements d’objets qu’ils consultent. Par exemple, l’accès au niveau de l’enregistrement permet aux personnes en charge de l’entretien de voir et modifier leurs propres évaluations sans toutefois exposer celles des autres. Vous pouvez définir le niveau d’accès par défaut dont disposent les utilisateurs aux enregistrements des autres utilisateurs à l’aide des paramètres par défaut de l’organisation. Vous pouvez ensuite utiliser la hiérarchie des rôles, les règles de partage, le partage manuel, ainsi que d’autres fonctionnalités de partage pour ouvrir l’accès aux enregistrements.
Intéressons-nous de plus près à deux fonctionnalités utilisées pour configurer l’accès aux données : les ensembles d’autorisations et les paramètres par défaut de l’organisation.
Ensembles d’autorisations
Les ensembles d’autorisations correspondent à des ensembles de paramètres et d’autorisations qui déterminent ce que les utilisateurs peuvent faire dans Salesforce. Vous pouvez utiliser les ensembles d’autorisations pour accorder l’accès aux objets, champs, onglets et autres fonctionnalités, et élargir l’accès des utilisateurs sans modifier leur profil.
Pourquoi les ensembles d’autorisations sont-ils aussi intéressants à utiliser ? En réutilisant des blocs de construction d’ensembles d’autorisations plus petits, vous évitez de créer des dizaines, voire des centaines de profils pour chaque utilisateur et fonction. C’est pourquoi nous vous recommandons d’attribuer aux utilisateurs les profils Minimum Access - Salesforce (Accès minimal - Salesforce), puis d’utiliser des ensembles d’autorisations et des groupes d’ensembles d’autorisations pour gérer l’accès de vos utilisateurs.
Lorsque vous créez des ensembles d’autorisations, prévoyez toutes les autorisations nécessaires à un poste ou une tâche.
Création d'un ensemble d'autorisations
Nous allons essayer de créer un ensemble d’autorisations.
- Dans Setup (Configuration), dans la zone Quick Find (Recherche rapide), saisissez
Permission Sets(Ensembles d’autorisations), puis sélectionnez Permission Sets (Ensembles d’autorisations).
- Cliquez sur New (Nouveau).
- Saisissez l’étiquette et la description de votre ensemble d’autorisations.
- Vous pouvez éventuellement choisir si seuls les utilisateurs disposant de certaines licences se voient attribuer cet ensemble d’autorisations.
- Cliquez sur Save (Enregistrer).
La page de présentation de l’ensemble d’autorisations comprend des sections pour tous les paramètres et autorisations qui peuvent être configurés. Nous allons activer les autorisations d’objet, de champ et utilisateur.
- Cliquez sur Object Settings (Paramètres d’objet) et sélectionnez un objet. (Ou, pour accéder directement à un objet, cherchez-le dans la zone Find Settings… [Rechercher des paramètres…].)
- Cliquez sur Modifier. À partir de cette page, vous pouvez activer les autorisations d’objet et de champ que vous souhaitez accorder aux utilisateurs attribués à cet ensemble d’autorisations. Après avoir effectué vos modifications, cliquez sur Save (Enregistrer).
- Cliquez sur le lien Permission Set Overview (Présentation de l’ensemble d’autorisations) pour revenir à cette page.
- Les autorisations utilisateur se trouvent dans les sections App Permissions (Autorisations de l’application) et System Permissions (Autorisations système). Dans le cadre de notre exemple, cliquez sur App Permissions (Autorisations de l’application).
- Cliquez sur Modifier. Pour activer une autorisation utilisateur, cochez la case de l’autorisation, puis cliquez sur Save (Enregistrer).
Très bien ! Vous avez créé et défini des autorisations dans un ensemble d’autorisations. Vous pouvez désormais attribuer directement l’ensemble d’autorisations aux utilisateurs. Nous avons néanmoins une meilleure solution à vous proposer ! Nous allons commencer par créer un groupe d’ensembles d’autorisations qui inclut l’ensemble d’autorisations afin de pouvoir gérer plus facilement les autorisations de nos utilisateurs.
Groupes d’ensembles d’autorisations
Les groupes d’ensembles d’autorisations correspondent exactement à leur appellation : il s’agit de groupes d’ensembles d’autorisations. Vous pouvez utiliser les groupes d’ensembles d’autorisations pour regrouper des ensembles d’autorisations en fonction d’un profil professionnel ou d’un rôle. Vous pouvez ensuite attribuer un groupe d’ensembles d’autorisations aux utilisateurs, plutôt que de devoir suivre plusieurs attributions d’ensembles d’autorisations. Les utilisateurs qui se voient attribuer un groupe d’ensembles d’autorisations reçoivent les autorisations combinées de tous les ensembles d’autorisations du groupe.
Les groupes d’ensembles d’autorisations sont très performants, dans la mesure où vous pouvez inclure un ensemble d’autorisations dans plusieurs groupes d’ensembles d’autorisations. Vous pouvez également désactiver des autorisations spécifiques au sein d’un groupe d’ensembles d’autorisations afin que les utilisateurs concernés ne disposent pas de ces autorisations.
La combinaison de toutes ces fonctionnalités vous permet de réutiliser efficacement les ensembles d’autorisations. Vous pouvez vous assurer que vos utilisateurs disposent uniquement des autorisations dont ils ont besoin pour leur travail sans avoir besoin de cloner des dizaines (voire des centaines !) de profils pour obtenir la même configuration.
Comme pour le reste des fonctionnalités de sécurité des données que nous avons mentionnées, nous n’abordons ici que les bases relatives aux groupes d’ensembles d’autorisations. Pour en savoir plus, vous pouvez consulter le module Groupes d’ensembles d’autorisations.
Création d’un groupe d’ensembles d’autorisations et désactivation d’une autorisation
Pour créer un groupe d’ensembles d’autorisations :
- Dans Setup (Configuration), dans la zone (Quick Find) Recherche rapide, saisissez
Permission Set Groups(Groupes d’ensembles d’autorisations, puis sélectionnez Permission Set Groups (Groupes d’ensembles d’autorisations).
- Cliquez sur Nouveau groupe d’ensembles d’autorisations.
- Saisissez l’étiquette et la description de votre groupe d’ensembles d’autorisations. Cliquez sur Save (Enregistrer).
- Sur la page de présentation, cliquez sur Permission Sets in Group (Ensembles d’autorisations dans un groupe). Cliquez sur Add Permission Set (Ajouter un ensemble d’autorisations), puis sélectionnez les ensembles d’autorisations que vous souhaitez inclure dans ce groupe d’ensembles d’autorisations. Cliquez sur Add (Ajouter), puis sur Done (Terminé).
Pour désactiver une autorisation dans un groupe d’ensembles d’autorisations :
- Sur la page de présentation du groupe d’ensembles d’autorisations, cliquez sur Muting Permission Set in Group (Ensemble d’autorisations de désactivation dans un groupe).
- Cliquez sur New (Nouveau). Ne modifiez pas le nom de l’ensemble d’autorisations de désactivation, puis cliquez sur Save (Enregistrer).
- Cliquez sur le nom de l’ensemble d’autorisations de désactivation.
- Accédez directement aux objets ou aux autorisations à l’aide de la zone Find Settings… (Rechercher des paramètres…). Vous pouvez également accéder à la section contenant les autorisations que vous souhaitez désactiver.
- Cliquez sur Edit (Modifier) et cochez la case correspondant aux autorisations dans la colonne Muted (Désactivée). Cliquez ensuite sur Enregistrer.
Vous avez presque terminé ! La dernière étape consiste à attribuer le groupe d’ensembles d’autorisations à vos utilisateurs :
- Sur la page de présentation du groupe d’ensembles d’autorisations, cliquez sur Manage Assignments (Gérer les attributions), puis sur Add Assignments (Ajouter des attributions).
- Sélectionnez les utilisateurs auxquels le groupe doit être attribué, puis cliquez sur Next (Suivant).
- Vous pouvez sélectionner une date d’expiration pour l’attribution à l’utilisateur (facultatif). Cette option peut être utile si vous souhaitez que les utilisateurs se voient attribuer temporairement le groupe d’ensembles d’autorisations.
- Cliquez sur Attribuer.
Paramètres de partage par défaut de l’organisation
Vous pouvez contrôler l’accès aux données avec plus de précision en autorisant des utilisateurs spécifiques à consulter un objet, mais en limitant l’accès aux enregistrements individuels de l’objet qu’ils consultent. Comme nous l’avons mentionné précédemment, vous pouvez utiliser les paramètres par défaut de l’organisation pour indiquer le niveau d’accès de base des utilisateurs aux enregistrements dont ils ne sont pas propriétaires.
Vous pouvez déterminer les paramètres par défaut de l’organisation en répondant aux questions suivantes pour chaque objet.
- Quel est l'utilisateur le plus limité pour cet objet ?
- Existe-t-il une instance de cet objet que cet utilisateur ne doit pas être autorisé à afficher ?
- Existe-t-il une instance de cet objet que cet utilisateur ne doit pas être autorisé à modifier ?
Il vous est possible de définir le modèle de partage pour cet objet sur l’un des paramètres suivants en fonction de vos réponses.
Champ |
Description |
|---|---|
Private (Privé) |
Seul le responsable de l’enregistrement ainsi que les utilisateurs en amont dans la hiérarchie sont autorisés à afficher et à modifier cet enregistrement, et à créer des rapports associés. |
Public Read Only (Accès public en lecture seule) |
Si tous les utilisateurs sont habilités à afficher des enregistrements et à créer les rapports correspondants, ils ne peuvent en revanche pas les modifier. Seul le responsable ainsi que les utilisateurs en amont dans la hiérarchie sont autorisés à modifier ces enregistrements. |
Public Read/Write (Accès public en lecture/écriture) |
Tous les utilisateurs peuvent afficher et modifier des enregistrements, et créer les rapports correspondants. |
Controlled by Parent (Contrôlé par parent) |
Un utilisateur peut effectuer une action sur un enregistrement (par exemple, le consulter, le modifier ou le supprimer) en fonction de sa capacité à effectuer la même action sur l’enregistrement associé. |
Si vous avez défini le paramètre de partage à l’échelle de l’organisation d’un objet sur Private (Privé) ou Public Read Only (Accès public en lecture seule), vous pouvez accorder aux utilisateurs un accès plus large aux enregistrements en configurant une hiérarchie des rôles, en définissant des règles de partage ou en utilisant d’autres fonctionnalités de partage. Vous pouvez uniquement utiliser ces fonctionnalités partage pour autoriser un accès plus large ; elles ne peuvent en aucun cas servir à limiter l’accès aux enregistrements au-delà de ce qui est originellement spécifié par les paramètres de partage par défaut de l’organisation.
Définition des paramètres de partage par défaut de l’organisation
Maintenant que vous connaissez les paramètres par défaut de l’organisation, vous êtes en mesure d’en configurer quelques-uns.
- Dans Setup (Configuration), dans la zone Quick Find (Recherche rapide), saisissez
Sharing Settings(Paramètres de partage), puis sélectionnez Sharing Settings (Paramètres de partage.
- Cliquez sur Edit (Modifier) dans la zone Organization-Wide Defaults (Paramètres par défaut à l'échelle de l'organisation).
- Dans la colonne Default Internal Access (Accès interne par défaut), sélectionnez pour chaque objet l’accès par défaut que vous souhaitez utiliser.
- Pour permettre aux employés de niveau supérieur dans la hiérarchie des rôles d’accéder automatiquement aux enregistrements, sélectionnez Grant Access Using Hierarchies (Octroyer l’accès par le biais des hiérarchies) pour tous les objets personnalisés ne disposant pas d’un accès par défaut défini sur Controlled by Parent (Contrôlé par parent).
Vous avez découvert les bases en matière de contrôle de l’accès aux données chez Salesforce et avez même pu vous exercer à configurer des fonctionnalités qui contrôlent l’accès aux objets, aux champs et aux enregistrements. Pour en savoir plus sur la configuration de l’accès pour vos utilisateurs, vous pouvez également consulter le module Sécurité des données.
