Controllare gli accessi agli oggetti
Obiettivi di apprendimento
Al completamento di questa unità, sarai in grado di:
- Visualizzare i profili esistenti e crearne di nuovi.
- Modificare l'accesso agli oggetti utilizzando i profili.
- Visualizzare tutti gli utenti assegnati a un profilo.
- Creare nuovi insiemi di autorizzazioni.
- Assegnare gli insiemi di autorizzazioni a uno o più utenti.
Gestire le autorizzazioni a livello di oggetto
Il modo più semplice per controllare l'accesso ai dati è quello di impostare le autorizzazioni su un particolare tipo di oggetto. (Un oggetto è una raccolta di record, ad esempio lead o contatti). È possibile controllare se un gruppo di utenti può creare, visualizzare, modificare o cancellare i record di quell'oggetto.
È possibile impostare le autorizzazioni per gli oggetti con i profili o gli insiemi di autorizzazioni. A ciascun utente viene assegnato un profilo. Agli utenti possono essere assegnati uno o più insiemi di autorizzazioni.
- Il profilo di un utente determina gli oggetti a cui può accedere e le operazioni che può effettuare con qualsiasi record di un oggetto (ad esempio creare, leggere, modificare o eliminare).
- Gli insiemi di autorizzazioni concedono a un utente ulteriori autorizzazioni e impostazioni di accesso.
Utilizza i profili per concedere le autorizzazioni e le impostazioni minime di cui hanno bisogno tutti gli utenti di un determinato tipo. Quindi utilizza gli insiemi di autorizzazioni per concedere ulteriori autorizzazioni ove necessario. La combinazione di profili e insiemi di autorizzazioni ti offre una grande flessibilità nello specificare l'accesso a livello di oggetto.
Autorizzazioni a livello di oggetto per l'app Recruiting
A titolo di esempio, vediamo come configurare l'accesso a livello di oggetto nell'app Recruiting. (Nota: poiché si tratta di un esempio, non vedrai questa app nella tua organizzazione.) L'app ha quattro tipi di utenti principali: hiring managers (responsabili delle assunzioni), recruiters (recruiter), interviewers (selezionatori) e standard employees (dipendenti standard). Quali autorizzazioni di accesso agli oggetti deve avere ogni tipo di utente?
Hiring Managers (Responsabili delle assunzioni)
Ben, un responsabile delle assunzioni, deve poter accedere ai record di reclutamento relativi alle posizioni aperte che sta gestendo, ma non deve avere accesso ad altri record di reclutamento (a meno che non siano di proprietà di altri responsabili delle assunzioni che fanno capo a lui). Inoltre, esistono alcuni campi sensibili che non deve vedere, come quello del codice fiscale. Valutiamo le autorizzazioni di cui Ben ha bisogno per ciascuno dei principali oggetti personalizzati dell'app.
-
Position (Posizione) - Ben deve poter pubblicare nuove posizioni, nonché aggiornare e visualizzare tutti i campi delle posizioni per le quali è il responsabile delle assunzioni, ma per quanto riguarda le posizioni gestite da altri responsabili deve essere solo in grado di visualizzarle.
-
Candidate (Candidato) - Ben deve poter visualizzare solo i candidati che hanno presentato domanda per una posizione per la quale è lui il responsabile delle assunzioni. Inoltre, poiché Ben non ha alcuna necessità di conoscere il codice fiscale di un candidato, questo campo deve essere escluso alla sua vista.
-
Job Application (Candidatura) - Ben deve poter aggiornare lo stato delle candidature per specificare quali candidati dovrebbero essere selezionati o scartati. Tuttavia, non deve poter cambiare la persona indicata nella candidatura né la posizione per la quale il candidato si sta proponendo, quindi dobbiamo trovare un modo per impedire a Ben di aggiornare i campi di ricerca delle candidature.
-
Review (Valutazione) - Per prendere una decisione sui candidati che si stanno proponendo, Ben ha bisogno di vedere le valutazioni pubblicate dai selezionatori e di esprimere i propri commenti qualora ritenga che il selezionatore sia stato troppo parziale nella sua valutazione. Analogamente, Ben deve poter creare delle valutazioni per poter ricordare le impressioni che ha avuto sui candidati con cui ha tenuto un colloquio.
Recruiters (Recruiter)
Mario, un recruiter, deve poter creare, visualizzare e modificare qualsiasi posizione, candidato, candidatura o valutazione presente nel sistema. Ha inoltre bisogno di visualizzare e modificare i record di reclutamento che tutti gli altri recruiter possiedono, poiché tutti i recruiter lavorano insieme per occupare ogni posizione, indipendentemente da chi l'ha creata.
Dobbiamo assicurarci che un recruiter non cancelli mai per errore un record contenente informazioni su un candidato. Questo perché le leggi statali e federali dispongono che i documenti relativi alle assunzioni vengano conservati per un certo numero di anni, di modo che, se una decisione di assunzione venisse messa in discussione, potrebbe essere difesa in tribunale.
Interviewers (Selezionatori)
Melissa è un ingegnere che tiene colloqui con candidati per posizioni di alto livello tecnico. Deve poter visualizzare solo i candidati e le candidature a cui è stata assegnata come selezionatrice. Inoltre, non deve poter visualizzare le retribuzioni minime e massime delle posizioni o il codice fiscale dei candidati, poiché si tratta di informazioni sensibili che non hanno nulla a che fare con il suo lavoro.
Standard Employees (Dipendenti standard)
I dipendenti, come Harry, sono spesso le risorse migliori per reclutare nuovi assunti, anche se non sono né responsabili delle assunzioni né selezionatori attivi. Per questo motivo, dobbiamo assicurarci che i dipendenti possano visualizzare le posizioni aperte, ma che non possano vedere i valori dei campi relativi alla remunerazione minima e massima delle posizioni. Diversamente, potrebbero suggerire agli amici di negoziare per ottenere la remunerazione massima di una posizione! Harry inoltre non deve poter visualizzare altri record nell'app Recruiting.
Ecco le autorizzazioni necessarie per ciascuno dei quattro tipi di utenti.
Custom Object (Oggetto personalizzato) |
Recruiters (Recruiter) |
Hiring Manager (Responsabile delle assunzioni) |
Interviewer (Selezionatore) |
Standard Employee (Dipendente standard) |
---|---|---|---|---|
Position (Posizione) |
Read Create Edit (Lettura Crea Modifica) |
Read Create Edit (Lettura Crea Modifica)* |
Read (Lettura (senza retribuzione minima e massima)) |
Read (Lettura (senza retribuzione minima e massima)) |
Candidate (Candidato) |
Read Create Edit (Lettura Crea Modifica) |
Read* (Lettura* (Nessun C.F.)) |
Read* (Lettura* (Nessun C.F.)) |
Not Applicable (Non applicabile) |
Job Application (Candidatura) |
Read Create Edit (Lettura Crea Modifica) |
Read Edit (Lettura Modifica (senza campi di ricerca)) |
Read * (Lettura*) |
Not Applicable (Non applicabile) |
Review (Valutazione) |
Read Create Edit (Lettura Crea Modifica) |
Read Create Edit (Lettura Crea Modifica) |
Read ** Create Edit ** (Lettura** Crea Modifica**) |
Not Applicable (Non applicabile) |
* Solo per i record associati a una posizione a cui è stato assegnato il responsabile delle assunzioni o il selezionatore.
** Solo per i record di cui il selezionatore è titolare.
Nella parte restante di questo modulo, imparerai a utilizzare la piattaforma per implementare queste regole nell'app Recruiting. Come vedrai, sarà necessario configurare i controlli di sicurezza su tutti i tre livelli: oggetti, campi e record.
Utilizzare i profili per limitare l'accesso
Ciascun utente ha un unico profilo che controlla i dati e le funzioni a cui ha accesso. Un profilo è una raccolta di impostazioni e autorizzazioni. Le impostazioni del profilo determinano quali dati l'utente può vedere, mentre le autorizzazioni determinano ciò che l'utente può fare con quei dati.
- Le impostazioni del profilo di un utente determinano se l'utente può vedere una particolare app, scheda, campo o tipo di record.
- Le autorizzazioni del profilo di un utente determinano se l'utente può creare o modificare record di un determinato tipo, eseguire rapporti e personalizzare l'app.
I profili di solito corrispondono alla funzione di un utente (ad esempio, amministratore di sistema, recruiter o responsabile delle assunzioni), ma è possibile avere profili per qualsiasi cosa abbia un senso per la tua organizzazione Salesforce. Lo stesso profilo può essere assegnato a più utenti, ma un utente può avere un solo profilo alla volta.
Profili standard
La piattaforma include una serie di profili standard. Eccone alcuni esempi:
- Standard User (Utente standard)
- Marketing User (Utente Marketing)
- Contract Manager (Responsabile Contratti)
- System Administrator (Amministratore del sistema)
- Minimum Access - Salesforce (Accesso minimo - Salesforce)
Tutti i profili standard includono un insieme di autorizzazioni predefinite per tutti gli oggetti standard disponibili sulla piattaforma. Ad esempio, uno Standard User (Utente standard) può creare e modificare i record, mentre un utente con il profilo Minimum Access - Salesforce (Accesso minimo - Salesforce) può visualizzare i record, ma non può crearli né modificarli. Il profilo System Administrator (Amministratore del sistema) gode del massimo accesso ai dati e della massima capacità di configurare e personalizzare Salesforce.
Il profilo System Administrator (Amministratore del sistema) include anche due autorizzazioni speciali:
- View All Data (Visualizza tutti i dati)
- Modify All Data (Modifica tutti i dati)
Queste autorizzazioni hanno la precedenza su tutte le altre impostazioni di condivisione, quindi fai attenzione quando le assegni a profili diversi da quello di System Administrator (Amministratore del sistema). È possibile visualizzare un elenco di tutti i profili standard e personalizzati in Setup (Imposta).
Non è possibile modificare le autorizzazioni a livello di oggetto di un profilo standard. Tuttavia, è possibile clonare qualsiasi profilo esistente e utilizzarlo come base per un nuovo profilo, adattando le app e le impostazioni di sistema secondo le esigenze. Ad esempio, nell'app Recruiting potresti creare tre nuovi profili, uno ciascuno per recruiter, selezionatori e responsabili delle assunzioni. Ogni profilo può quindi essere configurato per fornire il tipo specifico di accesso ai dati richiesto da un determinato ruolo. È quindi possibile utilizzare gli insiemi di autorizzazioni per concedere ulteriori autorizzazioni ove necessario.
Gestire i profili
La pagina panoramica del profilo è un punto di accesso per tutte le impostazioni e le autorizzazioni relative a un singolo profilo. In Setup (Imposta), nella casella Quick Find (Ricerca veloce), inserisci Profiles (Profili) e fai clic su Profiles (Profili). Fai clic sul profilo che desideri visualizzare.
Creare un profilo
Il modo più semplice per creare un profilo è clonare un profilo esistente simile a quello che si desidera creare e poi modificarlo.
Salesforce presenta un'interfaccia utente profilo ottimizzata che agevola la ricerca e la modifica delle impostazioni del profilo. È quella che useremo per questo esercizio. In Setup (Imposta), nella casella Quick Find (Ricerca veloce), inserisci User Management Settings (Impostazioni di gestione utente) e seleziona User Management Settings (Impostazioni di gestione utente). Abilita Enhanced Profile User Interface (Interfaccia utente profilo ottimizzata).
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), inserisci Profiles (Profili) e fai clic su Profiles (Profili).
- Fai clic su Clone (Clona) accanto al profilo che corrisponde a quello che vuoi creare.
- Assegna un nome al nuovo profilo e salvalo.
Assegnare un profilo
Dopo aver creato un profilo, personalizzalo in base alle esigenze di un gruppo specifico di utenti e poi assegnalo a questi ultimi.
- Assicurati che l'interfaccia utente profilo ottimizzata sia abilitata nelle impostazioni di gestione degli utenti.
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), inserisci Profiles (Profili) e fai clic su Profiles (Profili).
- Fai clic sul nome del profilo che desideri personalizzare.
- Modifica il profilo, utilizzando le impostazioni e le autorizzazioni più restrittive possibili per quel tipo di utente. (Non preoccuparti del fatto che stai impedendo all'utente di fare ciò che ha bisogno di fare. Gli apriremo altre possibilità più avanti, nella sezione "Utilizzare gli insiemi di autorizzazioni per concedere l'accesso".)
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), inserisci Users (Utenti) e fai clic su Users (Utenti).
- Fai clic su Edit (Modifica) in corrispondenza dell'utente a cui vuoi assegnare il profilo.
- Nell'elenco a discesa Profile (Profilo), seleziona il profilo che hai appena impostato. Fai clic su Save (Salva).
Utilizzare gli insiemi di autorizzazioni per concedere l'accesso
Un insieme di autorizzazioni è un insieme di impostazioni e autorizzazioni che forniscono agli utenti l'accesso a svariati strumenti e funzioni. Le impostazioni e le autorizzazioni degli insiemi di autorizzazioni si trovano anche nei profili, ma gli insiemi di autorizzazioni estendono l'accesso funzionale degli utenti senza modificarne il profilo.
Gli insiemi di autorizzazioni permettono di concedere facilmente l'accesso alle varie app e agli oggetti personalizzati della tua organizzazione e di revocarlo quando non è più necessario.
Agli utenti è permesso avere un solo profilo, ma allo stesso tempo è loro consentito di disporre di più insiemi di autorizzazioni.
Utilizzerai gli insiemi di autorizzazioni per due finalità generali: per concedere l'accesso a oggetti o app e per concedere autorizzazioni - temporanee o a lungo termine - a campi specifici.
Concedere l'accesso a oggetti o applicazioni personalizzate
Supponiamo che nella tua organizzazione vi siano molti utenti con le stesse funzioni fondamentali. Puoi assegnare a ciascuno un profilo che garantisca tutti gli accessi necessari per il lavoro. Tuttavia, alcuni di questi utenti stanno lavorando a un progetto speciale e hanno bisogno di accedere a un'app che non viene utilizzata da nessun altro. Altri utenti hanno bisogno di accedere a quell'app e anche a un'altra di cui il primo gruppo non ha bisogno. Se disponessimo solo di profili, dovremmo creare altri profili personalizzati per le esigenze di quei pochi utenti oppure correre il rischio di aggiungere altri accessi al profilo originale, rendendo le app disponibili a utenti che non ne hanno bisogno. Nessuna di queste due opzioni è ideale, soprattutto se la tua organizzazione è in crescita e le esigenze degli utenti cambiano regolarmente.
Concedere autorizzazioni per campi specifici
Supponiamo che un utente, Tom, abbia temporaneamente bisogno di modificare un campo mentre un collega è in vacanza. Puoi creare un insieme di autorizzazioni che conceda l'accesso al campo e assegnare tale insieme a Tom. Quando il collega di Tom torna dalle vacanze e Tom non ha più bisogno di accedere al campo, basta rimuovere l'assegnazione dell'insieme di autorizzazioni dal record utente di Tom.
Gestire gli insiemi di autorizzazioni
La pagina panoramica di un insieme di autorizzazioni è il punto di ingresso per tutte le autorizzazioni di un insieme. Per aprire la pagina della panoramica di un insieme di autorizzazioni, in Setup (Imposta), nella casella Quick Find (Ricerca veloce), inserisci Permission Sets (Insiemi di autorizzazioni) e seleziona Permission Sets (Insiemi di autorizzazioni). Seleziona l'insieme di autorizzazioni che desideri visualizzare. In ciascun insieme di autorizzazioni, le autorizzazioni e le impostazioni sono organizzate in impostazioni dell'app, impostazioni di sistema, autorizzazioni oggetti e autorizzazioni campi.
Creare un insieme di autorizzazioni
Crea un insieme di autorizzazioni per concedere autorizzazioni aggiuntive a utenti specifici, in aggiunta alle autorizzazioni del profilo esistenti, senza dover modificare i profili esistenti, creare nuovi profili o concedere un profilo di amministratore.
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), inserisci Permission Sets (Insiemi di autorizzazioni) e seleziona Permission Sets (Insiemi di autorizzazioni).
- Fai clic su Clone (Clona) in corrispondenza dell'insieme che vuoi copiare. Un insieme di autorizzazioni clonato ha la stessa licenza utente dell'originale. Invece, per creare un insieme con una licenza diversa, fai clic su New (Nuovo) (1).
- Inserisci un'etichetta e una descrizione. Il nome API è un nome univoco utilizzato dall'API e dai pacchetti gestiti. Replica automaticamente l'etichetta, ma è possibile modificarlo.
- Se si tratta di un nuovo insieme di autorizzazioni, seleziona un'opzione di licenza utente.
- Se intendi assegnare questo insieme di autorizzazioni a più utenti con licenze diverse, seleziona --None-- (Nessuno).
- Se soltanto gli utenti con un solo tipo di licenza utilizzeranno questo insieme di autorizzazioni, seleziona quella licenza utente.
- Fai clic su Save (Salva) per tornare alla pagina della panoramica dell'insieme di autorizzazioni.
- Nella barra degli strumenti dell'insieme di autorizzazioni, fai clic su Manage Assignments (Gestisci assegnazioni) e poi su Add Assignments (Aggiungi assegnazione).
- Seleziona gli utenti da assegnare a questo insieme di autorizzazioni e fai clic su Assign (Assegna). Esamina i messaggi nella pagina Assignment Summary (Riepilogo assegnazioni). Se non sono stati assegnati utenti, nella colonna dei messaggi viene spiegato il motivo.
- Fai clic su Done (Chiudi) per tornare all'elenco degli utenti assegnati all'insieme di autorizzazioni.
Profili e insiemi di autorizzazioni per l'app Recruiting
Ora che abbiamo visto come creare e modificare i profili e gli insiemi di autorizzazioni, impostiamo l'accesso appropriato a livello di oggetto per l'app Recruiting del nostro esempio. L'app ha quattro tipi di utente principali: recruiter, responsabili delle assunzioni, selezionatori e dipendenti standard.
Ecco i principali aspetti da tenere in considerazione per decidere se creare un profilo o un insieme di autorizzazioni per ciascun tipo di utente.
Recruiters (Recruiter)
Rappresentano una funzione ben precisa e hanno bisogno di accedere a tipi di dati diversi rispetto ad altri utenti. Per questo motivo, ha senso creare un profilo per i recruiter.
Hiring Managers (Responsabili delle assunzioni)
Per la maggior parte delle organizzazioni, un responsabile delle assunzioni nel ramo delle vendite avrà bisogno di accedere a dati di tipo diverso rispetto a un responsabile delle assunzioni nel ramo ingegneria. Tuttavia, tutti i responsabili delle assunzioni hanno bisogno dello stesso tipo di accesso ai dati di reclutamento: valutazioni, candidati, posizioni e candidature. Per questo motivo, è pratico creare per i responsabili delle assunzioni un insieme di autorizzazioni che possa essere assegnato a vari tipi di utenti.
Interviewers (Selezionatori)
Qualunque dipendente di qualsiasi reparto e con qualsiasi funzione lavorativa può essere chiamato a tenere un colloquio e deve poter accedere alle informazioni di reclutamento solo per un periodo di tempo limitato. Ha senso definire un insieme di autorizzazioni per i selezionatori, in quanto le autorizzazioni possono essere facilmente assegnate e revocate secondo necessità.
Standard Employees (Dipendenti standard)
Si tratta di un gruppo generico che non rispecchia una particolare funzione. Per la maggior parte dei dipendenti, è possibile creare un profilo di base che fornisce l'accesso a un ristretto insieme di dati e poi, in base alla loro specializzazione, creare e assegnare insiemi di autorizzazioni per aumentare la loro capacità di accesso secondo necessità.
Quindi, da quanto abbiamo visto, il metodo ottimale per configurare le autorizzazioni a livello di oggetto per l'app Recruiting è il seguente:
- Creare due profili: Recruiters (Recruiter) e Standard Employees (Dipendenti standard).
- Creare due insiemi di autorizzazioni: Hiring Managers (Responsabili delle assunzioni) e Interviewers (Selezionatori).
- Assegnare il profilo Standard Employee (Dipendente standard) ai responsabili delle assunzioni e ai selezionatori, quindi concedere l'insieme di autorizzazioni appropriato alla loro funzione.
Risorse
-
Profili
-
Visualizzazione degli elenchi profili
-
Modifica delle autorizzazioni a livello di oggetto nei profili
-
Insiemi di autorizzazioni
-
Considerazioni sugli insiemi di autorizzazioni
-
Abilitazione dell'interfaccia visualizzazione profilo ottimizzata
-
Guida all'implementazione delle misure di sicurezza