Controllare gli accessi agli oggetti
Obiettivi di apprendimento
Al completamento di questa unità, sarai in grado di:
- Spiegare la differenza tra profili, insiemi di autorizzazioni e gruppi di insiemi di autorizzazioni.
- Modificare le autorizzazioni di accesso agli oggetti.
- Clonare e assegnare un profilo.
- Creare e assegnare nuovi insiemi di autorizzazioni.
- Creare e assegnare nuovi gruppi di insiemi di autorizzazioni.
Gestire le autorizzazioni a livello di oggetto
Il modo più semplice per controllare l'accesso ai dati è quello di impostare le autorizzazioni su un particolare tipo di oggetto. (Un oggetto è una raccolta di record, ad esempio lead o contatti). Puoi stabilire se gli utenti possono creare, leggere, modificare o eliminare i record dell'oggetto in questione.
Consigliamo di impostare le autorizzazioni a livello di oggetto mediante insiemi di autorizzazioni e gruppi di insiemi di autorizzazioni, benché sia possibile anche configurarle nei profili. Qual è la differenza tra queste funzionalità?
-
Insiemi di autorizzazioni: si usano per assegnare agli utenti le autorizzazioni a livello di oggetto, campo e utente. Consigliamo di organizzare gli insiemi di autorizzazioni includendovi tutte le autorizzazioni necessarie per svolgere un'attività ben precisa, ad esempio per lavorare con i lead. È possibile assegnare agli utenti diversi insiemi di autorizzazioni.
-
Gruppi di insiemi di autorizzazioni: si usano per raggruppare più insiemi di autorizzazioni in modo da semplificarne la gestione. Pensa ai gruppi di insiemi di autorizzazioni come se rappresentassero una "figura" della tua organizzazione, ad esempio un agente di vendita. Gli utenti assegnati a un gruppo di insiemi di autorizzazioni ricevono tutte le autorizzazioni presenti negli insiemi di autorizzazioni inclusi nel gruppo. È possibile assegnare gli utenti a più gruppi di insiemi di autorizzazioni. E gli insiemi di autorizzazioni possono essere riutilizzati in gruppi di insiemi di autorizzazioni diversi, semplificando così la gestione delle autorizzazioni di accesso.
-
Profili: si usano per configurare le impostazioni predefinite dell'utente, ad esempio le app, i tipi di record e i layout di pagina che gli vengono assegnati. Agli utenti viene assegnato un singolo profilo.
Per ulteriori informazioni, vedi Linee guida per la creazione di insiemi di autorizzazioni e di gruppi di insiemi di autorizzazioni nella Guida di Salesforce. Come puoi vedere, queste funzionalità offrono una grande flessibilità nell'assegnazione delle autorizzazioni di accesso a livello di oggetto. In questa unità scoprirai come impostare queste funzionalità per l'app Recruiting in modo che gli utenti abbiano le autorizzazioni adeguate per accedere agli oggetti.
Autorizzazioni a livello di oggetto per l'app Recruiting
Vediamo come configurare l'accesso a livello di oggetto nell'app Recruiting. L'app ha quattro tipi di utenti principali: hiring managers (responsabili delle assunzioni), recruiters (selezionatori), interviewers (esaminatori) e standard employees (dipendenti standard). Quali autorizzazioni di accesso agli oggetti deve avere ogni tipo di utente?
Hiring Managers (Responsabili delle assunzioni)
Ben, un responsabile delle assunzioni, deve poter accedere solo ai record di selezione del personale relativi alle posizioni aperte che gestisce in prima persona, ma non ad altri (a meno che non appartengano ad altri responsabili delle assunzioni che sono suoi subordinati). Inoltre, esistono alcuni campi sensibili che non deve vedere, come quello del codice fiscale. Esamina le autorizzazioni di cui Ben ha bisogno per ciascuno dei principali oggetti personalizzati dell'app.
-
Position (Posizione): Ben deve poter pubblicare nuove posizioni e aggiornare e visualizzare tutti i campi delle posizioni per le quali è il responsabile delle assunzioni. Tuttavia, per quanto riguarda le posizioni gestite da altri responsabili, deve solo essere in grado di visualizzarle.
-
Candidate (Candidato): Ben deve poter visualizzare solo i candidati che hanno presentato domanda per una posizione per la quale è lui il responsabile delle assunzioni. Inoltre, poiché non ha alcuna necessità di vedere il codice fiscale di un candidato, Ben non deve poter vedere questo campo.
-
Job Application (Richiesta di impiego): Ben deve poter aggiornare lo stato delle richieste di impiego per specificare quali candidati devono essere selezionati o scartati. Tuttavia, non deve poter cambiare il candidato indicato nella richiesta di impiego né la posizione per la quale si sta proponendo, quindi devi trovare un modo per impedire a Ben di aggiornare i campi di ricerca delle richieste di impiego.
-
Review (Valutazione): per prendere una decisione sui candidati che si stanno proponendo, Ben ha bisogno di vedere le valutazioni pubblicate dagli esaminatori e di esprimere i propri commenti qualora ritenga che l'esaminatore sia stato troppo parziale nella sua valutazione. Ben deve anche poter creare delle valutazioni per ricordare le impressioni che ha avuto sui candidati che ha esaminato.
Recruiters (Selezionatori)
Mario, un selezionatore, deve poter creare, visualizzare e modificare qualsiasi posizione, candidato, richiesta di impiego o valutazione presente nel sistema. Ha inoltre bisogno di visualizzare e modificare i record di selezione del personale appartenenti a tutti gli altri selezionatori, perché tutti i selezionatori lavorano insieme per occupare ogni posizione, indipendentemente da chi l'ha creata.
Devi assicurarti che un selezionatore non possa mai eliminare per errore un record contenente informazioni su un candidato. Questo perché le leggi statali e federali dispongono che i documenti relativi alla selezione del personale vengano conservati per un certo numero di anni, in modo che la decisione relativa a un'assunzione possa essere difesa in tribunale qualora venisse messa in discussione.
Interviewers (Selezionatori)
Melissa è un'ingegnera che tiene colloqui con candidati per posizioni di alto livello tecnico. Deve poter visualizzare solo i candidati e le richieste di impiego a cui è stata assegnata come esaminatrice. Inoltre, non deve poter visualizzare i valori minimi e massimi dei bonus associati alle posizioni o il codice fiscale dei candidati, perché si tratta di informazioni sensibili che non hanno nulla a che fare con il suo lavoro.
Standard Employees (Dipendenti standard)
I dipendenti, come Harry, sono spesso le risorse migliori per reclutare nuovo personale, anche se non sono né responsabili delle assunzioni né esaminatori attivi. Per questo motivo, devi assicurarti che i dipendenti possano vedere le posizioni aperte, ma non i campi dei valori minimi e massimi dei bonus associati alle posizioni. Inoltre, Harry non deve poter visualizzare nessun altro record nell'app Recruiting.
Ecco le autorizzazioni necessarie per ciascuno dei quattro tipi di utenti.
Oggetto personalizzato
|
Recruiter (Selezionatore)
|
Hiring Manager (Responsabile delle assunzioni)
|
Interviewer (Esaminatore)
|
Dipendente standard
|
---|---|---|---|---|
Position (Posizione) |
Read Create Edit (Lettura Crea Modifica) |
Read Create Edit (Lettura Crea Modifica)* |
Read (No min/max bonus) (Lettura (senza bonus minimo e massimo)) |
Read (No min/max bonus) (Lettura (senza bonus minimo e massimo)) |
Candidate (Candidato) |
Read Create Edit (Lettura Crea Modifica) |
Read* (Lettura* (Nessun C.F.)) |
Read* (Lettura* (Nessun C.F.)) |
Not Applicable (Non applicabile) |
Job Application (Richiesta di impiego) |
Read Create Edit (Lettura Crea Modifica) |
Read Edit (Lettura Modifica (senza campi di ricerca)) |
Read * (Lettura*) |
Not Applicable (Non applicabile) |
Review (Valutazione) |
Read Create Edit (Lettura Crea Modifica) |
Read Create Edit (Lettura Crea Modifica) |
Read ** Create Edit ** (Lettura** Crea Modifica**) |
Not Applicable (Non applicabile) |
*Solo per i record associati a una posizione a cui è stato assegnato il responsabile delle assunzioni o l'esaminatore.
**Solo per i record di cui è titolare l'esaminatore.
Nella parte restante di questo modulo, imparerai a utilizzare la piattaforma per implementare questi requisiti nell'app Recruiting. Sarà necessario configurare i controlli di sicurezza su tutti i tre livelli: oggetti, campi e record.
Impostare i profili
Come hai appreso precedentemente, ogni utente ha un unico profilo, che è associato a una licenza utente. La piattaforma include una serie di profili standard con impostazioni predefinite. Eccone alcuni esempi:
- Standard User (Utente standard)
- Marketing User (Utente Marketing)
- Contract Manager (Responsabile Contratti)
- System Administrator (Amministratore del sistema)
- Minimum Access - Salesforce (Accesso minimo - Salesforce)
Ogni profilo standard include un insieme di autorizzazioni predefinite per gli oggetti standard disponibili sulla piattaforma. Ad esempio, uno Standard User (Utente standard) può creare e modificare i record, mentre un utente con il profilo Minimum Access - Salesforce (Accesso minimo - Salesforce) può visualizzare i record, ma non può crearli né modificarli. Il profilo System Administrator (Amministratore del sistema) gode del massimo accesso ai dati e della massima capacità di configurare e personalizzare Salesforce. In particolare, il profilo dell'amministratore di sistema include due autorizzazioni speciali: View All Data (Visualizza tutti i dati) e Modify All Data (Modifica tutti i dati). Queste autorizzazioni hanno la precedenza su tutte le altre impostazioni di condivisione, quindi fai attenzione quando le assegni a profili diversi da quello di System Administrator (Amministratore del sistema).
È probabile che alcuni profili standard comprendano più autorizzazioni di accesso di quante siano necessarie per gli utenti, in particolare se segui le best practice per la sicurezza che prevedono l'uso di insiemi di autorizzazioni e gruppi di insiemi di autorizzazioni per configurare le autorizzazioni di accesso. Ricorda di esaminare le autorizzazioni e le impostazioni di ogni profilo prima di assegnarlo agli utenti.
Non è possibile modificare le autorizzazioni a livello di oggetto di un profilo standard. Tuttavia, è possibile clonare qualsiasi profilo esistente e utilizzarlo come base per un nuovo profilo, adattando le impostazioni di sistema in base alle proprie esigenze. Ove possibile, consigliamo di assegnare agli utenti il profilo Minimum Access Salesforce (Accesso minimo - Salesforce) o un suo clone per poi utilizzare gli insiemi di autorizzazioni e i gruppi di insiemi di autorizzazioni per concedere agli utenti solo le autorizzazioni necessarie. Ad esempio, nell'app Recruiting puoi assegnare a selezionatori, esaminatori e responsabili delle assunzioni il profilo Minimum Access Salesforce (Accesso minimo - Salesforce), malgrado esercitino funzioni diverse. Questo profilo concede autorizzazioni e capacità molto limitate in Salesforce Platform, che puoi però ampliare tramite gli insiemi di autorizzazioni e i gruppi di insiemi di autorizzazioni.
Creare e assegnare un profilo
Il modo più semplice per creare un profilo è clonare un profilo esistente simile a quello che si desidera creare e poi modificarlo. Ad esempio, potresti volere una versione leggermente modificata del profilo Minimum Access - Salesforce (Accesso minimo - Salesforce) in cui siano visibili app diverse.
Salesforce presenta un'interfaccia utente profilo ottimizzata che agevola la ricerca e la modifica delle impostazioni del profilo. È quella che userai per questo esercizio.
[Alt text: Un elenco di profili utente con il commento seguente: Per i profili personalizzati puoi modificare qualsiasi attributo. Per i profili standard devi accettare le impostazioni delle autorizzazioni così come sono.]
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), cerca e seleziona User Management Settings (Impostazioni di gestione utente).
- Abilita Enhanced Profile User Interface (Interfaccia utente profilo ottimizzata).
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), cerca e seleziona Profiles (Profili).
- Fai clic su Clone (Clona) accanto al profilo che corrisponde a quello che vuoi creare.
- Assegna un nome al nuovo profilo e fai clic su Save (Salva).
- Modifica i valori predefiniti del profilo secondo le necessità, quindi fai clic su Save (Salva).
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), cerca e seleziona Users (Utenti).
- Fai clic su Edit (Modifica) in corrispondenza dell'utente a cui vuoi assegnare il profilo.
- Nell'elenco a discesa Profile (Profilo), seleziona il profilo che hai appena impostato.
- Fai clic su Save (Salva).
Assegnare insiemi di autorizzazioni e gruppi di insiemi di autorizzazioni per concedere l'accesso
In precedenza, hai appreso che gli insiemi di autorizzazioni e i gruppi di insiemi di autorizzazioni sono il modo preferito per gestire le autorizzazioni e gli accessi per gli utenti. Vediamo perché.
Un insieme di autorizzazioni è un insieme di impostazioni e autorizzazioni che forniscono agli utenti l'accesso a svariati strumenti e funzioni. I gruppi di insiemi di autorizzazioni sono esattamente ciò che suggerisce il loro nome. Grazie alla loro flessibilità e riusabilità, gli insiemi di autorizzazioni permettono di concedere facilmente l'accesso alle varie app e agli oggetti della tua organizzazione (e di revocarlo quando non è più necessario). Dato che è possibile riutilizzare i componenti base più piccoli di un insieme di autorizzazioni, puoi evitare di creare decine o addirittura centinaia di profili per ciascun utente e funzione lavorativa.
Puoi creare insiemi di autorizzazioni che includono tutte le autorizzazioni necessarie per un processo o un'operazione, quindi raggruppare questi insiemi di autorizzazioni in gruppi di insiemi di autorizzazioni che corrispondono a categorie di utenti. Se categorie di utenti diverse eseguono alcune operazioni identiche, puoi riutilizzare quegli insiemi di autorizzazioni in gruppi di insiemi di autorizzazioni diversi.
Ad esempio, supponiamo che sia gli agenti di vendita sia gli specialisti del marketing debbano poter eliminare e trasferire i lead. Puoi creare un insieme di autorizzazioni basato sulla gestione dei lead per poi includerlo nei gruppi di insiemi di autorizzazioni "Agenti di vendita" e "Specialisti marketing" basati sui ruoli degli utenti. Per eventuali ulteriori autorizzazioni correlate solo ai settori vendite o marketing, puoi creare insiemi di autorizzazioni da includere nei rispettivi gruppi di insiemi di autorizzazioni.
È possibile configurare le autorizzazioni e le funzioni seguenti negli insiemi di autorizzazioni.
- Classi Apex
- Accesso alle applicazioni connesse
- Autorizzazioni personalizzate
- Autorizzazioni campi
- Autorizzazioni oggetto
- Autorizzazioni utente (autorizzazioni per le applicazioni e per il sistema)
- Impostazioni delle schede
- Pagine Visualforce
Insiemi e gruppi di insiemi di autorizzazioni per l'app Recruiting
Ora che sai in cosa consistono gli insiemi di autorizzazioni e i gruppi di insiemi di autorizzazioni, pensa a come configurare l'accesso a livello di oggetto per l'app di esempio Recruiting. L'app ha quattro tipi di utente principali: selezionatori, responsabili delle assunzioni, esaminatori e dipendenti standard.
Recruiters (Selezionatori)
Rappresentano una funzione lavorativa ben definita e appare quindi logico creare un gruppo di insiemi di autorizzazioni Recruiters (Selezionatori). Per l'accesso ai dati di selezione del personale (valutazioni, candidati, posizioni e richieste di impiego), è opportuno creare insiemi distinti di autorizzazioni relative alle attività associate a ciascuno di questi oggetti.
Hiring Managers (Responsabili delle assunzioni)
È possibile che un responsabile delle assunzioni nel ramo delle vendite abbia bisogno di accedere a dati di tipo diverso rispetto a un responsabile delle assunzioni nel ramo ingegneria. Tuttavia, tutti i responsabili delle assunzioni hanno comunque bisogno dello stesso tipo di accesso ai dati di selezione del personale: per questo motivo, consigliamo di creare per i responsabili delle assunzioni un gruppo di insiemi di autorizzazioni che possa essere assegnato a vari tipi di utenti. In un secondo momento potrai occuparti delle restrizioni più specifiche, come la protezione a livello di campo e l'accesso ai record.
Interviewers (Esaminatori)
Qualunque dipendente di qualsiasi reparto e con qualsiasi funzione lavorativa può essere chiamato a tenere un colloquio e deve poter accedere alle informazioni di selezione del personale solo per un periodo di tempo limitato. Ha senso quindi definire un gruppo di insiemi di autorizzazioni per gli esaminatori e assegnare e rimuovere utenti secondo le necessità.
In particolare, per quanto riguarda le valutazioni, è necessario che i selezionatori, i responsabili delle assunzioni e gli esaminatori abbiano le autorizzazioni Read (Lettura), Create (Crea) ed Edit (Modifica) per l'oggetto Review (Valutazione). Per risparmiare energie, puoi riutilizzare lo stesso insieme di autorizzazioni in tutti i gruppi di insiemi di autorizzazioni per queste funzioni lavorative.
Standard Employees (Dipendenti standard)
Ricorda che i dipendenti non coinvolti nella selezione del personale devono comunque poter vedere le posizioni lavorative. Dato questo requisito a livello aziendale, puoi creare un insieme di autorizzazioni di base che concede un accesso in lettura più limitato per le posizioni lavorative. Successivamente, puoi includere questo insieme di autorizzazioni in un gruppo di insiemi di autorizzazioni per figure specifiche, assicurandoti così che tutti gli utenti ricevano questo accesso in un modo o nell'altro.
Quindi, tenendo presente questa varietà di scenari, il metodo ottimale per configurare le autorizzazioni a livello di oggetto per l'app Recruiting è il seguente:
- Creare tre gruppi di insiemi di autorizzazioni: Recruiters (Selezionatori), Hiring Managers (Responsabili delle assunzioni) e Interviewers (Esaminatori).
- Creare insiemi di autorizzazioni correlati al lavoro da svolgere su valutazioni, candidati, posizioni lavorative e richieste di impiego. Riutilizzare gli insiemi di autorizzazioni in gruppi di insiemi di autorizzazioni quando possibile, ma avendo cura di non concedere agli utenti troppe autorizzazioni.
Creare un insieme di autorizzazioni
Crea un insieme di autorizzazioni per controllare l'accesso all'oggetto Review (Valutazione) per l'app Recruiting.
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), cerca e seleziona Permission Sets (Insiemi di autorizzazioni).
- Fai clic su New (Nuovo).
- Inserisci l'etichetta e la descrizione dell'insieme di autorizzazioni. Assegna al nuovo insieme il nome
Access and Manage Reviews
(Accesso e gestione delle valutazioni).
- Se lo desideri, puoi stabilire se l'insieme di autorizzazioni può essere assegnato soltanto agli utenti con una determinata licenza. Seleziona –None– (--Nessuno--).
- Fai clic su Save (Salva).
- Per aggiungere autorizzazioni a livello di oggetto, nella casella Find Settings (Trova impostazioni), cerca e seleziona Reviews (Valutazioni).
- Fai clic su Edit (Modifica).
- Abilita le autorizzazioni Read (Lettura), Create (Crea) e Edit (Modifica).
- Fai clic su Save (Salva).
Puoi assegnare gli insiemi di autorizzazioni direttamente agli utenti. In questo caso, però, devi prima creare un gruppo di insiemi di autorizzazioni e includervi l'insieme di autorizzazioni che hai appena creato.
Creare un gruppo di insiemi di autorizzazioni
Per l'app Recruiting hai stabilito che tutti i tre i gruppi di insiemi di autorizzazioni per figure specifiche comprendono le stesse autorizzazioni a livello di oggetto per le valutazioni. Crea il gruppo di insiemi di autorizzazioni per Recruiters (Selezionatori).
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), cerca e seleziona Permission Set Groups (Gruppi insiemi di autorizzazioni).
- Fai clic su New Permission Set Group (Nuovo gruppo insieme di autorizzazioni).
- Inserisci l'etichetta del tuo nuovo gruppo di insiemi di autorizzazioni (in questo caso,
Recruiters
(Selezionatori)) e la descrizione.
- Fai clic su Save (Salva).
- Fai clic sul gruppo di insiemi di autorizzazioni Recruiters (Selezionatori) che hai appena creato, quindi fai clic su Permission Sets in Group (Insiemi di autorizzazioni nel gruppo).
- Fai clic su Add Permission Set (Aggiungi insieme di autorizzazioni), quindi seleziona la casella di controllo in corrispondenza di Access and Manage Reviews (Accesso e gestione delle valutazioni).
- Fai clic su Add (Aggiungi) e poi su Done (Chiudi).
Il gruppo di insiemi di autorizzazioni Recruiters (Selezionatori) è configurato e consente di accedere alle valutazioni. L'ultima tappa consiste nell'assegnare questo gruppo agli utenti.
- Nella pagina della panoramica di accesso e gestione del gruppo di insiemi di autorizzazioni, fai clic su Manage Assignments (Gestisci assegnazioni) e poi su Add Assignment (Aggiungi assegnazione).
- Seleziona gli utenti a cui assegnare il gruppo e fai clic su Next (Avanti).
- Se lo desideri, puoi selezionare una data di scadenza per l'assegnazione dell'utente. Questa opzione può essere utile se vuoi assegnare temporaneamente il gruppo di insiemi di autorizzazioni a determinati utenti.
- Fai clic su Assign (Assegna).
Rivedere gli accessi utilizzando i riepiloghi
Mentre imposti l'accesso per tutti gli oggetti, potresti renderti conto che gli aspetti da seguire sono parecchi. Quali insiemi di autorizzazioni concedono l'accesso agli account? Il signor Mario Rossi ha la capacità di eliminare i lead? Per aiutarti a valutare e gestire le autorizzazioni, puoi utilizzare i riepiloghi di Salesforce sugli accessi agli oggetti, gli accessi agli utenti, gli insiemi di autorizzazioni e i gruppi di insiemi di autorizzazioni.
Ad esempio, in Object Manager (Gestore oggetti) puoi vedere gli insiemi di autorizzazioni, i gruppi di insiemi di autorizzazioni e i profili che consentono l'accesso a un oggetto, oltre al livello di accesso che offrono.
- In Setup (Imposta), vai a Object Manager (Gestore oggetti).
- Seleziona un oggetto che supporti le autorizzazioni a livello di oggetto.
- Nella barra laterale, fai clic su Object Access (Accesso all'oggetto).
Inoltre, puoi vedere tutte le autorizzazioni a livello di oggetto, campo e utente assegnate a un utente, oltre alle modalità in cui l'accesso viene consentito.
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), cerca e seleziona Users (Utenti).
- Seleziona un utente.
- Fai clic su View Summary (Visualizza riepilogo).
Infine, puoi vedere facilmente tutte le autorizzazioni incluse in un insieme di autorizzazioni o gruppo di insiemi di autorizzazioni dalle relative pagine di riepilogo.
- In Setup (Imposta), nella casella Quick Find (Ricerca veloce), cerca e seleziona Permission Sets (Insiemi di autorizzazioni). In alternativa, nella casella Quick Find (Ricerca veloce), cerca e seleziona Permission Set Groups (Gruppi insiemi di autorizzazioni).
- Seleziona un insieme di autorizzazioni o un gruppo di insiemi di autorizzazioni.
- Fai clic su View Summary (Visualizza riepilogo).
Perfetto! Assegnando le autorizzazioni a livello di oggetto, hai compiuto il primo passo per la gestione dell'accesso ai dati. Nelle prossime unità scoprirai come perfezionare l'accesso ai dati impostando limitazioni su campi e record.
Risorse
- Guida di Salesforce: Gestione degli utenti e dell'accesso ai dati
- Guida di Salesforce: Autorizzazioni sugli oggetti
- Guida di Salesforce: Configurazione delle impostazioni predefinite nei profili
- Guida di Salesforce: Configurazione delle autorizzazioni e dell'accesso negli insiemi di autorizzazioni
- Guida di Salesforce: Gruppi di insiemi di autorizzazioni
- Guida di Salesforce: Visualizzazione dell'accesso agli oggetti nel Gestore oggetti
- Guida di Salesforce: Visualizzazione del riepilogo accessi di un utente
- Guida di Salesforce: Visualizzazione delle autorizzazioni abilitate in un insieme di autorizzazioni o in un gruppo di insiemi di autorizzazioni