개체에 대한 액세스 제어하기
학습 목표
이 유닛을 완료하면 다음을 수행할 수 있습니다.
- 기존 프로필을 보고 새 프로필을 만들 수 있습니다.
- 프로필을 사용하여 개체에 대한 액세스를 수정할 수 있습니다.
- 프로필에서 할당된 모든 사용자를 볼 수 있습니다.
- 새 권한 집합을 만들 수 있습니다.
- 단일 및 여러 사용자에게 권한 집합을 할당할 수 있습니다.
개체에 대한 권한 관리하기
데이터 액세스를 제어하는 가장 간단한 방법은 특정 유형의 개체에 대한 권한을 설정하는 것입니다. (개체는 리드 또는 연락처와 같은 레코드 모음입니다.) 사용자 그룹이 해당 개체의 레코드를 생성, 보기, 편집 또는 삭제 가능한지 여부를 제어할 수 있습니다.
프로필 또는 권한 집합으로 개체 권한을 설정할 수 있습니다. 각 사용자마다 프로필이 하나씩 할당됩니다. 사용자에게 권한 집합이 하나 이상 할당될 수 있습니다.
- 사용자 프로필은 액세스할 수 있는 개체와 개체 레코드로 수행할 수 있는 작업(예: 만들기, 읽기, 편집 또는 삭제)을 결정합니다.
- 권한 집합은 사용자에게 추가 권한 및 액세스 설정을 부여합니다.
프로필을 사용하여 특정 유형의 모든 사용자에게 필요한 최소 권한 및 설정을 부여합니다. 그런 다음 권한 집합을 사용하여 필요에 따라 더 많은 권한을 부여합니다. 프로필과 권한 집합의 조합은 개체 수준 액세스를 지정할 때 상당한 유연성을 제공합니다.
채용 앱에 대한 개체 권한
예를 들어 채용 앱에서 개체 수준 액세스를 구성하는 방법을 살펴보겠습니다. (예시이므로 여러분의 조직에서는 이 앱을 볼 수 없습니다!) 이 앱에는 채용 관리자, 채용 인사 담당자, 면접관 및 일반 직원의 네 가지 주요 유형의 사용자가 있습니다. 각 유형의 사용자에게 필요한 개체 액세스 유형은 무엇일까요?
채용 관리자
채용 관리자인 Ben은 자신이 관리 중인 채용 공고 직책과 관련된 채용 레코드에 액세스할 수 있어야 하지만 다른 채용 기록에는 액세스할 수 없어야 합니다(Ben에게 보고하는 다른 채용 관리자가 소유하지 않은 경우에 한함). 또한 사회 보장 번호 필드와 같이 Ben이 볼 필요가 없는 민감한 정보가 있는 특정 필드가 있습니다. Ben이 앱의 각 주요 맞춤형 객체에 대해 필요로 하는 권한을 고려해 보겠습니다.
-
직책 - Ben은 새 직책을 게시할 수 있어야 하며 본인이 채용을 관리하는 직책의 모든 필드를 업데이트하고 볼 수 있어야 합니다. 하지만 다른 관리자의 직책에 대해서는 보기만 가능해야 합니다.
-
후보 - Ben은 자신이 채용 관리자로 관리 중인 직책에 지원한 후보만 볼 수 있어야 합니다. 또한 Ben은 후보의 사회 보장 번호를 볼 이유가 없으므로 이 필드는 Ben에게 표시되지 않도록 제한해야 합니다.
-
입사 지원서 - Ben은 어떤 후보를 선택하거나 거부해야 할지 지정하기 위해 입사 지원서 상태를 업데이트할 수 있어야 합니다. 그러나 Ben은 입사 지원서에 나열된 후보나 지원자가 지원하는 직책을 변경할 수 없어야 하므로 Ben이 입사 지원서의 조회 필드를 업데이트하지 못하도록 하는 방안을 마련해야 합니다.
-
검토 - 지원하는 후보에 대한 결정을 내리기 위해 Ben은 면접관이 게시한 검토 내용을 보고 면접관의 검토 내용이 매우 편향적이었다고 생각하는 경우 해당 검토 내용에 대해 의견을 제시해야 합니다. 마찬가지로 Ben은 인터뷰한 후보로부터 받은 인상을 기억할 수 있도록 면접 검토 내용을 작성할 수 있어야 합니다.
채용 인사 담당자
채용 인사 담당자인 Mario는 시스템에 있는 모든 직책, 후보, 입사 지원서 또는 검토 내용을 생성, 조회 및 수정할 수 있어야 합니다. 또한 모든 채용 인사 담당자가 직책을 만든 사람에 관계없이 각 직책을 채우기 위해 함께 작업하므로 다른 모든 채용 인사 담당자가 소유한 채용 레코드를 보고 수정해야 합니다.
채용 인사 담당자가 후보에 대한 정보가 포함된 레코드를 실수로 삭제하지 않도록 해야 합니다. 그 이유는 주 및 연방법에 따라, 채용 관련된 레코드는 수년 동안 저장되어 채용 결정에 의문이 생길 경우 법정에서 변호할 수 있도록 요구하고 있기 때문입니다.
면접관
Melissa는 고급 기술 직책에 대한 후보를 인터뷰하는 엔지니어입니다. Melissa는 면접관으로서 할당된 후보와 입사 지원서만 볼 수 있어야 합니다. 또한 Melissa는 자신의 직무와 관련이 없는 민감한 정보이므로 모든 직위 또는 후보의 사회 보장 번호에 대한 최소 및 최대 급여값을 볼 수 없어야 합니다.
일반 직원
Harry와 같은 직원은 적극적인 채용 관리자나 면접관이 아니더라도 신입 사원을 모집하는 데 가장 좋은 인력인 경우가 많습니다. 이러한 이유로 직원이 채용 직책을 볼 수 있지만 직책의 최소 및 최대 급여 필드 값은 볼 수 없도록 해야 합니다. 그렇지 않으면 직원이 직책의 최대 급여 값을 협상하도록 지인들에게 조언할 수 있습니다! Harry는 또한 Recruiting 앱에서 다른 레코드를 볼 수 없어야 합니다.
다음은 네 가지 유형의 사용자 각각에 필요한 권한입니다.
맞춤형 객체 |
채용 인사 담당자 |
채용 관리자 |
면접관 |
일반 직원 |
---|---|---|---|---|
직책 |
읽기 생성 편집 |
읽기 생성 편집* |
읽기(최소/최대 급여 없음) |
읽기(최소/최대 급여 없음) |
후보 |
읽기 생성 편집 |
읽기*(SSN 없음) |
읽기*(SSN 없음) |
해당 없음 |
입사 지원서 |
읽기 생성 편집 |
읽기 편집(조회 필드 없음) |
읽기* |
해당 없음 |
검토 |
읽기 생성 편집 |
읽기 생성 편집 |
읽기 ** 생성 편집** |
해당 없음 |
* 채용 관리자 또는 면접관이 배정된 직책과 관련된 레코드만 해당됩니다.
** 면접관이 소유한 레코드만 해당됩니다.
이 모듈의 나머지 부분에서는 플랫폼을 사용하여 채용 앱에서 이러한 규칙을 구현하는 방법을 살펴보겠습니다. 보시다시피 개체, 필드 및 레코드의 세 가지 수준 모두에서 보안 제어를 구성해야 합니다.
프로필을 사용하여 액세스 제한하기
각 사용자에게는 사용자가 액세스할 수 있는 데이터와 기능을 제어하는 단일 프로필이 있습니다. 프로필은 설정과 권한의 모음입니다. 프로필 설정은 사용자가 볼 수 있는 데이터를 결정하고 권한은 사용자가 해당 데이터로 수행할 수 있는 작업을 결정합니다.
- 사용자 프로필의 설정은 사용자가 특정 앱, 탭, 필드 또는 레코드 유형을 볼 수 있는지 여부를 결정합니다.
- 사용자 프로필의 권한은 사용자가 지정된 유형의 레코드를 만들거나 편집하고, 보고서를 실행하고, 앱을 사용자 정의할 수 있는지 여부를 결정합니다.
프로필은 일반적으로 사용자의 직무(예: 시스템 관리자, 채용 인사 담당자 또는 채용 관리자)와 일치하지만 Salesforce 조직에 적합한 모든 프로필을 가질 수 있습니다. 프로필은 여러 사용자에게 할당할 수 있지만 사용자는 한 번에 하나의 프로필만 가질 수 있습니다.
표준 프로필
플랫폼에는 일련의 표준 프로필이 포함됩니다. 예를 들면 다음과 같습니다.
- 표준 사용자
- 마케팅 사용자
- 계약 관리자
- 시스템 관리자
- 최소 액세스 - Salesforce
각 표준 프로필에는 플랫폼에서 사용할 수 있는 모든 표준 개체에 대한 기본 권한 집합이 포함되어 있습니다. 예를 들어 표준 사용자는 레코드를 만들고 편집할 수 있지만 최소 액세스 - Salesforce 사용자는 레코드를 볼 수 있지만 만들거나 편집할 수는 없습니다. 시스템 관리자 프로필은 데이터에 대한 가장 광범위한 액세스 권한과 Salesforce를 구성 및 사용자 정의할 수 있는 가장 강력한 기능을 가지고 있습니다.
시스템 관리자 프로필에는 두 가지 특수 권한도 포함되어 있습니다.
- 모든 데이터 보기
- 모든 데이터 수정
이러한 권한은 다른 모든 공유 설정보다 우선하므로 시스템 관리자 이외의 프로필에 할당할 경우 주의하시기 바랍니다. Setup(설정)에서 모든 표준 및 사용자 정의 프로필 목록을 볼 수 있습니다.
표준 프로필에서 개체 권한을 편집할 수 없습니다. 그러나 기존 프로필을 복제하고 이를 새 프로필의 기초로 사용하여 필요에 따라 앱과 시스템 설정을 조정할 수 있습니다. 예를 들어 채용 앱에서 채용 인사 담당자, 면접관 및 채용 관리자에 대해 각각 하나씩 세 개의 새 프로필을 만들 수 있습니다. 그런 다음 특정 역할에 필요한 특정 유형의 데이터 액세스를 제공하도록 각 프로필을 구성할 수 있습니다. 그런 다음 권한 집합을 사용하여 필요에 따라 더 많은 권한을 부여합니다.
프로필 관리하기
프로필 개요 페이지는 단일 프로필에 대한 모든 설정 및 권한에 대한 진입점을 제공합니다. Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Profiles(프로필)를 입력한 후 Profiles(프로필)를 선택합니다. 볼 프로필을 클릭합니다.
프로필 만들기
프로필을 만드는 가장 쉬운 방법은 만들려는 프로필과 유사한 기존 프로필을 복제한 다음 수정하는 것입니다.
Salesforce에는 프로필 설정을 쉽게 찾고 수정할 수 있는 향상된 프로필 사용자 인터페이스가 있습니다. 이 내용을 이 연습에 사용해 보겠습니다. Setup(설정)에서 Quick Find(빠른 찾기) 상자에 User Management Settings(사용자 관리 설정)를 입력한 후 User Management Settings(사용자 관리 설정)를 선택합니다. Enhanced Profile User Interface(향상된 프로필 사용자 인터페이스)를 활성화합니다.
- Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Profiles(프로필)를 입력한 후 Profiles(프로필)를 선택합니다.
- 만들 프로필과 유사한 프로필 옆에 있는 Clone(복제)을 클릭합니다.
- 새 프로필에 이름을 지정하고 저장합니다.
프로필 할당하기
프로필을 만든 후 특정 사용자 집합의 요구 사항에 맞게 프로필을 사용자 정의한 다음 해당 사용자에게 프로필을 할당합니다.
- Enhanced Profile User Interface(향상된 프로필 사용자 인터페이스)가 User Management Settings(사용자 관리 설정)에서 활성화되어 있는지 확인합니다.
- Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Profiles(프로필)를 입력한 후 Profiles(프로필)를 선택합니다.
- 사용자 정의할 프로필의 이름을 클릭합니다.
- 이 사용자 유형에 최대한 제한적인 설정 및 권한을 사용하여 프로필을 편집합니다. (사용자가 해야 할 일을 하지 못하도록 차단하는 것에 대해 걱정하지 마세요. 아래 권한 집합을 사용하여 액세스 권한 부여하기 섹션에서 더 많은 기능을 다루겠습니다.)
- Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Users(사용자)를 입력한 후 Users(사용자)를 선택합니다.
- 프로필을 할당할 사용자 옆의 Edit(편집)을 클릭합니다.
- 방금 설정한 프로필을 Profile(프로필) 드롭다운에서 선택합니다. Save(저장)를 클릭합니다.
권한 집합을 사용하여 액세스 권한 부여하기
권한 집합은 사용자에게 다양한 도구 및 기능에 대한 액세스 권한을 부여하는 설정 및 권한 모음입니다. 권한 집합의 설정과 권한은 프로필에도 있지만 권한 집합은 프로필을 변경하지 않고도 사용자의 기능적 액세스를 확장합니다.
권한 집합을 사용하면 조직의 다양한 앱 및 맞춤형 객체에 대한 액세스 권한을 쉽게 부여하고 더 이상 필요하지 않은 경우 액세스 권한을 제거할 수 있습니다.
사용자는 프로필을 하나만 가질 수 있지만 여러 권한 집합을 가질 수 있습니다.
개체 또는 앱에 대한 액세스 권한을 부여하고 특정 필드에 일시적 또는 장기적으로 권한을 부여하는 두 가지 일반적인 목적으로 권한 집합을 사용합니다.
사용자 정의 개체 또는 앱에 대한 액세스 권한을 부여합니다.
조직에 동일한 기본 작업 기능을 가진 사용자가 많이 있다고 가정해 보겠습니다. 작업을 수행하는 데 필요한 모든 액세스 권한을 부여하는 하나의 프로필을 모두 할당할 수 있습니다. 그러나 이러한 사용자 중 일부는 특별한 프로젝트에서 작업하고 있으며 다른 사람이 사용하지 않는 앱에 액세스해야 합니다. 그리고 몇몇 다른 사용자는 해당 앱과 첫 번째 그룹에 필요하지 않은 다른 앱에 대한 액세스 권한이 필요합니다. 프로필만 있었다면 소수의 사용자 요구에 맞게 사용자 정의된 프로필을 더 많이 만들거나 기회를 잡고 원래 프로필에 더 많은 액세스 권한을 추가하여 필요하지 않은 사용자가 앱을 사용할 수 있도록 해야 합니다. 특히 조직이 성장하고 사용자의 요구 사항이 정기적으로 변경되는 경우 이러한 옵션 중 어느 것도 이상적이지 않습니다.
특정 필드에 권한을 부여합니다.
동료가 휴가 중일 때 필드 임시 편집 액세스 권한을 필요로 하는 Tom이라는 사용자가 있다고 가정해 보겠습니다. 필드에 대한 액세스 권한을 부여하는 권한 집합을 만들고 권한 집합을 Tom에게 할당할 수 있습니다. Tom의 동료가 휴가에서 돌아와 Tom이 더 이상 필드에 액세스할 필요가 없을 경우 Tom의 사용자 레코드에서 권한 집합 할당을 제거하기만 하면 됩니다.
권한 집합 관리하기
권한 집합의 개요 페이지는 권한 집합의 모든 권한에 대한 진입점입니다. 권한 집합 개요 페이지를 열려면 Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Permission Sets(권한 집합)를 입력한 후 Permission Sets(권한 집합)를 선택합니다. 보려고 하는 권합 집합을 선택합니다. 각 권한 집합에서 권한 및 설정은 앱 설정, 시스템 설정, 개체 권한 및 필드 권한으로 구성됩니다.
권한 집합 만들기
기존 프로필을 수정하거나 새 프로필을 만들거나 관리자 프로필을 부여할 필요 없이 기존 프로필 권한 외에 특정 사용자에게 추가 권한을 부여하는 권한 집합을 만듭니다.
- Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Permission Sets(권한 집합)를 입력한 후 Permission Sets(권한 집합)를 선택합니다.
- 복사할 집합 옆에 있는 Clone(복제)을 클릭합니다. 복제된 권한 집합에는 원본과 동일한 사용자 라이센스가 있습니다. 다른 라이센스로 집합을 만들려면 New(새로 만들기) (1)을 대신 클릭합니다.
- 레이블과 설명을 입력합니다. API 이름은 API 및 관리 패키지에서 사용하는 고유한 이름입니다. 레이블은 자동으로 복제되지만 수정할 수 있습니다.
- 새 권한 집합인 경우 사용자 라이센스 옵션을 선택합니다.
- 이 권한 집합을 다른 라이센스를 가진 여러 사용자에게 할당하려는 경우 --없음--을 선택합니다.
- 한 가지 유형의 라이센스가 있는 사용자만 이 권한 집합을 사용하는 경우 해당 사용자 라이센스를 선택합니다.
-
Save(저장)를 클릭하여 권한 집합 개요 페이지로 돌아갑니다.
- 권한 집합 도구 모음에서 Manage Assignments(할당 관리)를 클릭한 다음 Add Assignments(할당 추가)를 클릭합니다.
- 이 권한 집합에 할당할 사용자를 선택하고 Assign(할당)을 클릭합니다. 할당 요약 페이지의 메시지를 검토합니다. 사용자가 할당되지 않은 경우 메시지 열에 이유가 표시됩니다.
-
Done(완료)을 클릭하여 권한 집합에 할당된 사용자 목록으로 돌아갑니다.
채용 앱에 대한 프로필 및 권한 집합
프로필과 권한 집합을 만들고 수정하는 방법을 살펴보았으므로 이제 가상의 채용 앱에 적절한 개체 수준 액세스를 설정해 보겠습니다. 이 앱에는 채용 인사 담당자, 채용 관리자, 면접관 및 일반 직원의 네 가지 주요 유형의 사용자가 있습니다.
다음은 각 유형의 사용자에 대해 프로필 또는 권한 집합을 만들지 여부를 결정할 때 고려해야 할 주요 사항입니다.
채용 인사 담당자
이들은 명확하게 정의된 직무 기능을 나타내며 다른 사용자와 다른 유형의 데이터에 액세스해야 합니다. 따라서 채용 인사 담당자를 위한 프로필을 만드는 것이 좋습니다.
채용 관리자
대부분의 조직에서 영업팀의 채용 관리자는 엔지니어링팀의 채용 관리자와 다른 유형의 데이터에 액세스해야 합니다. 그러나 모든 채용 관리자는 여전히 동일한 유형의 채용 데이터(검토, 후보, 직책 및 입사 지원서)에 액세스해야 합니다. 따라서 다양한 유형의 사용자에게 할당할 수 있는 채용 관리자 권한 집합을 만드는 것이 편리합니다.
면접관
모든 부서 및 직무의 직원은 인터뷰를 수행하도록 요청받을 수 있으며 제한된 시간 동안만 채용 정보에 액세스해야 합니다. 필요에 따라 권한을 쉽게 할당 및 취소할 수 있으므로 면접관에 대한 권한 집합을 정의하는 것이 좋습니다.
일반 직원
특정 직무를 반영하지 않는 일반 그룹입니다. 여러분은 대부분의 직원에게 작은 데이터 집합에 대한 액세스를 제공하는 기본 프로필을 만든 다음 해당 전문 분야에 따라 권한 집합을 만들고 할당하여 필요에 따라 더 많은 액세스 권한을 부여할 수 있습니다.
채용 앱에 개체 권한을 구성하는 최적의 방법에 대해 우리가 살펴본 내용은 다음과 같습니다.
- 채용 인사 담당자와 일반 직원의 두 프로필을 만듭니다.
- 채용 관리자와 면접관이라는 두 가지 권한 집합을 만듭니다.
- 일반 직원 프로필을 채용 관리자와 면접관에게 할당한 다음 해당 기능에 대해 적절한 권한을 부여합니다.
리소스