Contrôle de l'accès aux objets
Objectifs de formation
- Visualiser des profils existants et en créer
- Modifier l'accès aux objets à l'aide de profils
- Afficher tous les utilisateurs attribués à un profil
- Créer des ensembles d'autorisations
- Attribuer des ensembles d'autorisations à un seul ou à plusieurs utilisateurs
Gestion des autorisations d'objet
Pour contrôler l'accès aux données, le plus simple est de définir des ensembles d'autorisations dans un type d'objet particulier (un objet est une collection d'enregistrements, par exemple des pistes ou des contacts). Vous pouvez contrôler si un groupe d'utilisateurs peut créer, afficher, modifier ou supprimer les enregistrements de cet objet.
- Le profil de l'utilisateur détermine les objets auxquels il peut accéder et les actions qu'il peut exécuter sur les enregistrements de l'objet (telles que créer, lire, modifier ou supprimer).
- Les ensembles d’autorisations octroient à l’utilisateur des autorisations et des paramètres d’accès supplémentaires.
Utilisez des profils pour accorder les autorisations et les paramètres minimum dont tous les utilisateurs d'un type particulier ont besoin. Utilisez ensuite les ensembles d'autorisations pour accorder d'autres autorisations si nécessaire. La combinaison de profils et d'ensembles d'autorisations offre une grande souplesse pour définir l'accès au niveau de l'objet.
Autorisations d'objet pour l'application de recrutement
À titre d'exemple, explorons comment configurer l'accès au niveau de l'objet dans l'application de recrutement. (Notez que puisqu’il s’agit d’un exemple, cette application n’apparaîtra pas dans votre organisation !) L'application comprend quatre types principaux d'utilisateurs : les responsables du recrutement, les recruteurs, les intervieweurs et les employés standard. Quel type d'accès aux objets chaque type d'utilisateur a-t-il besoin ?
Responsables du recrutementBen, un responsable du recrutement, doit être en mesure d’accéder aux enregistrements de recrutement associés à ses postes à pourvoir, mais il ne doit pas avoir accès aux autres enregistrements de recrutement (sauf s’ils appartiennent à d’autres responsables du recrutement qui sont ses subordonnés). Il existe également quelques champs confidentiels auxquels il ne doit pas avoir accès, notamment le champ de numéro de sécurité sociale. Examinons les autorisations dont Ben a besoin pour accéder à chacun des objets personnalisés clés dans l'application.
- Postes : Ben doit pouvoir publier de nouveaux postes, de même que mettre à jour et afficher tous les champs des postes pour lesquels il est le responsable du recrutement, mais ne doit avoir qu’un accès en lecture seule aux postes des autres responsables.
- Candidat : Ben doit avoir accès uniquement aux candidats qui postulent pour une offre dont il est le responsable du recrutement. En outre, Ben n'a pas accès au champ de numéro de sécurité sociale d'un candidat, car il n'a pas besoin de cette information.
- Candidature : Ben doit pouvoir mettre à jour le statut des candidatures afin de préciser quels candidats sont sélectionnés ou refusés. Cependant, il ne doit pas pouvoir modifier le candidat répertorié dans la candidature, ni le poste que le candidat convoite. Par conséquent, nous devons définir un moyen d'empêcher Ben de mettre à jour les champs de référence dans les candidatures.
- Appréciation : pour prendre une décision sur les candidats qui postulent, Ben doit pouvoir consulter les appréciations publiées par les intervieweurs et publier des commentaires s’il ne partage pas leur avis. De la même façon, Ben doit pouvoir créer des appréciations afin de mémoriser ses propres impressions sur les candidats qu'il interroge.
Mario, un recruteur, doit être en mesure de créer, d’afficher et de modifier l’ensemble des postes, des candidats, des candidatures et des appréciations contenus dans le système. Il doit également afficher et modifier les enregistrements de recrutement appartenant à tous les autres recruteurs, car tous les recruteurs collaborent pour pourvoir chaque poste, quel qu’en soit le créateur.
Nous devons nous assurer qu’un recruteur ne peut pas supprimer accidentellement un enregistrement contenant des informations sur un candidat. En effet, la loi exige de sauvegarder pendant plusieurs années les données relatives à un recrutement, pour qu’elles puissent être retenues ou servir de preuve devant les tribunaux en cas de contestation d’une décision de recrutement.
Intervieweurs
Melissa est ingénieure. Elle interviewe les candidats à des postes très techniques. Elle doit pouvoir afficher uniquement les candidatures et les candidats pour lesquels elle est désignée en tant qu'intervieweur. De plus, elle ne doit pas avoir accès aux valeurs de salaire minimum et maximum des postes ou au numéro de sécurité sociale des candidats, car ces informations sont confidentielles et inutiles dans le cadre de sa mission.
Employés standard
Les employés comme Harry représentent souvent une précieuse ressource pour trouver de nouvelles recrues, même s’ils ne sont pas des responsables du recrutement ou des intervieweurs actifs. Pour cette raison, nous devons nous assurer que les employés peuvent afficher les postes ouverts, sans pouvoir afficher les valeurs des champs de salaire minimum et maximum des postes, sinon ils risquent de conseiller à leurs amis de négocier un poste à la valeur de salaire maximum ! De plus, Harry ne doit avoir accès à aucun autre enregistrement dans l’application de recrutement.
Les autorisations requises pour chacun des quatre types d’utilisateurs sont répertoriées ci-dessous.
Objet personnalisé | Recruteur | Responsable du recrutement | Intervieweur | Employé standard |
---|---|---|---|---|
Position | Lire Créer Modifier | Lire Créer Modifier* | Lire (sans afficher le salaire min/max) | Lire (sans afficher le salaire min/max) |
Candidat | Lire Créer Modifier | Lire* (sans afficher le numéro de sécurité sociale) | Lire* (sans afficher le numéro de sécurité sociale) | Non applicable |
Candidature | Lire Créer Modifier | Lire Modifier (sans champ de référence) | Lire* | Non applicable |
Évaluation | Lire Créer Modifier | Lire Créer Modifier | Lire ** Créer Modifier ** | Non applicable |
* Uniquement pour les enregistrements associés à un poste auquel le responsable du recrutement ou intervieweur a été attribué
** Uniquement pour les enregistrements qui appartiennent à l'intervieweur
Dans le reste de ce module, vous allez apprendre à utiliser la plate-forme pour mettre en œuvre ces règles dans l'application de recrutement. Comme vous pourrez le constater, vous devrez configurer des contrôles de sécurité à chacun des trois niveaux : objets, champs et enregistrements.
Utilisation de profils pour limiter l'accès des utilisateurs
- Les paramètres du profil d’un utilisateur déterminent s’il peut afficher une application, un onglet, un champ ou un type d’enregistrement particulier.
- Les autorisations du profil d’un utilisateur déterminent les actions qu’il peut exécuter, par exemple créer ou modifier des enregistrements d’un type donné, générer des rapports et personnaliser l’application.
Généralement, les profils sont définis par la fonction de l'utilisateur (par exemple, administrateur système, recruteur ou responsable du recrutement), mais vous pouvez définir des profils pour n'importe quelle fonction selon les besoins de votre organisation Salesforce. Un profil peut être attribué à de nombreux utilisateurs, mais un utilisateur ne peut avoir qu'un seul profil à la fois.
Profils standard
La plate-forme comprend un ensemble de profils standard. Voici quelques exemples :
- Utilisateur standard
- Utilisateur marketing
- Responsable contrats
- Administrateur système
- Accès minimal – Salesforce
- Afficher toutes les données
- Modifier toutes les données
Étant donné que ces autorisations remplacent tous les autres paramètres de partage, il convient d'être prudent lorsque vous les attribuez à un autre profil que le profil Administrateur système. Vous pouvez afficher la liste de tous les profils standard et personnalisés dans Setup (Configuration).
Vous ne pouvez pas modifier les autorisations d'objet dans un profil standard. Cependant, vous pouvez cloner chacun des profils existants et les utiliser comme base pour un nouveau profil, en ajustant les applications et les paramètres système le cas échéant. Par exemple, dans l'application de recrutement, vous pouvez créer trois profils, un pour les recruteurs, un pour les intervieweurs et un pour les responsables de recrutement. Chaque profil peut être configuré pour fournir le type spécifique d'accès aux données qu’exige un rôle particulier. Vous pouvez ensuite utiliser des ensembles d'autorisations pour accorder des autorisations supplémentaires si nécessaire.
Gestion des profils
La page de présentation du profil offre un point d'entrée pour l'ensemble des paramètres et des autorisations d'un profil unique. Dans Setup (Configuration), dans la zone Quick Find (Recherche rapide), saisissez Profiles (Profils), puis sélectionnez Profiles (Profils). Cliquez sur le profil que vous souhaitez afficher.
Création d'un profil
- Dans Setup (Configuration), dans la zone Quick Find (Recherche rapide), saisissez Profiles (Profils), puis sélectionnez Profiles (Profils).
- Cliquez sur Clone (Cloner) en regard d’un profil semblable à celui que vous souhaitez créer.
- Nommez votre nouveau profil, puis enregistrez.
Attribution d'un profil
- Assurez-vous que l’interface utilisateur de profil avancée est activée dans User Management Settings (paramètres de gestion des utilisateurs).
- Dans Setup (Configuration), dans la zone Quick Find (Recherche rapide), saisissez Profiles (Profils), puis sélectionnez Profiles (Profils).
- Cliquez sur le nom du profil que vous souhaitez personnaliser.
- Modifiez le profil, en utilisant les paramètres et les autorisations les plus restrictifs possibles pour ce type d’utilisateur. (Ne vous préoccupez pas de la gêne que vous pourriez occasionner pour les utilisateurs, nous leur ouvrirons davantage de possibilités dans la section Utilisation d’ensembles d’autorisations pour accorder l’accès ci-dessous.)
- Dans Setup (Configuration), dans la zone Quick Find (Recherche rapide), saisissez Users (Utilisateurs), puis sélectionnez Users (Utilisateurs).
- Cliquez sur Edit (Modifier) à côté de l’utilisateur auquel vous souhaitez attribuer le profil.
- Dans la liste déroulante Profile (Profil), sélectionnez le profil que vous venez de configurer. Cliquez ensuite sur Save (Enregistrer).
Utilisation d'ensembles d'autorisations pour accorder l'accès
Supposons que de nombreux utilisateurs de votre organisation ont des fonctions assez proches. Vous pouvez leur attribuer le même profil qui accorde l'accès dont ils ont besoin pour leur mission. Cependant, parmi ces utilisateurs, certains travaillent sur un projet spécial qui nécessite d'accéder à une application que personne d'autre n'utilise. D'autres utilisateurs doivent aussi accéder à cette application, et à une autre application dont le premier groupe n'a pas besoin. Si nous disposions uniquement de profils, il serait nécessaire de créer plus de profils personnalisés en fonction des besoins de ces utilisateurs, ou de prendre le risque d'accorder des accès supplémentaires au profil d'origine, ce qui rendrait les applications accessibles à des utilisateurs qui n'en ont pas besoin. Aucune de ces options n’est idéale, notamment si votre organisation est en pleine croissance et que les besoins de vos d’utilisateurs évoluent en permanence.
Octroi d’autorisations à des champs spécifiques
Supposons que l'utilisateur Tom ait besoin d'un accès temporaire pour modifier un champ pendant les congés de son collègue. Vous pouvez créer un ensemble d'autorisations qui accorde l'accès au champ, puis l'attribuer à Tom. Lorsque son collègue reprend son travail, Tom n'a plus besoin d'accéder au champ. Il suffit de retirer l'attribution de l'ensemble d'autorisations de l’enregistrement de Tom.
Gestion des ensembles d'autorisations
La page de présentation des ensembles d'autorisations est le point d'entrée de toutes les autorisations d'un ensemble. Pour ouvrir la page de présentation d’un ensemble d’autorisations, dans Setup (Configuration), dans la zone Quick Find (Recherche rapide), saisissez Permission Sets (Ensembles d’autorisations), puis sélectionnez Permission Sets (Ensemble d'autorisations). Sélectionnez l’ensemble d’autorisations que vous souhaitez afficher. Dans chaque ensemble d'autorisations, les autorisations et les paramètres sont organisés dans des paramètres d'application, des paramètres système, des autorisations d'objet et des autorisations de champ.
Création d'un ensemble d'autorisations
- Dans Setup (Configuration), dans la zone Quick Find (Recherche rapide), saisissez Permission Sets (Ensembles d’autorisations), puis sélectionnez Permission Sets (Ensembles d'autorisations).
- Cliquez sur Clone (Cloner) en regard de l’ensemble que vous souhaitez copier. Un ensemble d'autorisations cloné possède la même licence utilisateur que l'original. Pour créer un ensemble doté d’une licence différente, cliquez à la place sur New (Nouveau) (1).
- Saisissez une étiquette et une description. Le nom d'API est un nom unique utilisé par l'API et les packages gérés. Il réplique automatiquement l'étiquette, mais vous pouvez le modifier.
- S'il s'agit d'un nouvel ensemble d'autorisations, sélectionnez une option de licence d'utilisateur.
- Si vous envisagez d’attribuer cet ensemble d’autorisations à plusieurs utilisateurs disposant de licences différentes, sélectionnez --None-- (--Aucun--).
- Si seuls des utilisateurs disposant d'un type de licence identique utilisent cet ensemble d'autorisations, sélectionnez cette licence utilisateur.
- Cliquez sur Save (Enregistrer) pour revenir à la page de présentation des ensembles d’autorisations.
- Dans la barre d’outils des ensembles d’autorisations, cliquez sur Manage Assignments (Gérer les attributions), puis sur Add Assignments (Ajouter des attributions).
- Sélectionnez les utilisateurs auxquels vous souhaitez attribuer cet ensemble d’autorisations, puis cliquez sur Assign (Attribuer). Consultez les messages dans la page Assignment Summary (Résumé des attributions). Si aucun utilisateur n'a été attribué, la colonne Messages indique le motif.
- Pour revenir à la liste des utilisateurs attribués à l’ensemble d’autorisations, cliquez sur Done (Terminé).
Profils et ensembles d'autorisations pour l'application de recrutement
Recruteurs
Ils représentent une fonction bien définie et doivent avoir accès à des types de données différents par rapport aux autres utilisateurs. Par conséquent, il est logique de créer un profil pour les recruteurs.
Responsables du recrutement
Dans la plupart des organisations, le responsable du recrutement d’un service commercial et son homologue du service ingénierie auront besoin d’accéder à des types de données différents. Cependant, tous les responsables de recrutement ont besoin des mêmes types d'accès aux données de recrutement : évaluations, candidats, postes et candidatures. Par conséquent, il est utile de créer un ensemble d’autorisations pour les responsables du recrutement, qui peut être associé à divers types d’utilisateur.
Responsables des entretiens
Un employé peut être amené à conduire un entretien, quel que soit le service auquel il appartient ou le poste qu’il occupe. Il doit par conséquent avoir accès aux informations de recrutement, mais seulement pendant une durée limitée. Il est logique de définir un ensemble d’autorisations pour les responsables des entretiens, car les autorisations sont aisément attribuées et révoquées selon les besoins.
Employés standard
Ils représentent une catégorie générique qui ne reflète aucune fonction spécifique. Pour la plupart des employés, vous pouvez créer un profil de base qui accorde l'accès à un jeu de données limité, puis créer et attribuer des ensembles d'autorisations qui accordent un accès supplémentaire adapté à leur spécialité.
À partir de ces éléments, la meilleure façon de configurer des autorisations d'objet pour l'application de recrutement est de procéder comme suit :
- Créez deux profils : Recruteurs et Employés standard.
- Créez deux ensembles d'autorisations : Responsables du recrutement et Intervieweurs.
- Attribuez le profil Employés standard aux responsables du recrutement et aux intervieweurs, puis accordez l'ensemble d'autorisations approprié en fonction de leur poste.