개체에 대한 액세스 제어하기
학습 목표
- 기존 프로필을 보고 새 프로필을 만들 수 있습니다.
- 프로필을 사용하여 개체에 대한 액세스를 수정할 수 있습니다.
- 프로필에서 할당된 모든 사용자를 볼 수 있습니다.
- 새 권한 집합을 만들 수 있습니다.
- 단일 및 여러 사용자에게 권한 집합을 할당할 수 있습니다.
참고
한국어로 학습하시겠어요? 이 배지에서는 Trailhead 실습과제 검증이 영어로 진행됩니다. 참조용 번역이 괄호로 제공됩니다. Trailhead Playground에서 (1) 로캘을 미국으로 바꾸고 (2) 언어를 영어로 바꾼 후 (3) 영문으로 표시된 값을 복사해 붙여 넣으세요. 여기에 나와 있는 지침을 따르세요.
원하는 언어로 Trailhead 사용하기 배지를 확인해 현지화된 Trailhead 경험을 활용하는 방법에 대해 자세히 알아보세요.
접근성
이 유닛에서는 스크린 리더 사용자를 위한 추가 지침이 있습니다. 이 유닛의 상세한 스크린 리더 버전에 액세스하려면 아래 링크를 클릭하세요.
개체에 대한 권한 관리하기
데이터 액세스를 제어하는 가장 간단한 방법은 특정 유형의 개체에 대한 권한을 설정하는 것입니다. (개체는 리드 또는 연락처와 같은 레코드 모음입니다.) 사용자 그룹이 해당 개체의 레코드를 생성, 보기, 편집 또는 삭제 가능한지 여부를 제어할 수 있습니다.
- 사용자 프로필은 액세스할 수 있는 개체와 개체 레코드로 수행할 수 있는 작업(예: 만들기, 읽기, 편집 또는 삭제)을 결정합니다.
- 권한 집합은 사용자에게 추가 권한 및 액세스 설정을 부여합니다.
프로필을 사용하여 특정 유형의 모든 사용자에게 필요한 최소 권한 및 설정을 부여합니다. 그런 다음 권한 집합을 사용하여 필요에 따라 더 많은 권한을 부여합니다. 프로필과 권한 집합의 조합은 개체 수준 액세스를 지정할 때 상당한 유연성을 제공합니다.
채용 앱에 대한 개체 권한
예를 들어 채용 앱에서 개체 수준 액세스를 구성하는 방법을 살펴보겠습니다. (예시이므로 여러분의 조직에서는 이 앱을 볼 수 없습니다!) 이 앱에는 채용 관리자, 채용 인사 담당자, 면접관 및 일반 직원의 네 가지 주요 유형의 사용자가 있습니다. 각 유형의 사용자에게 필요한 개체 액세스 유형은 무엇일까요?
채용 관리자채용 관리자인 Ben은 자신이 관리 중인 채용 공고 직책과 관련된 채용 레코드에 액세스할 수 있어야 하지만 다른 채용 기록에는 액세스할 수 없어야 합니다(Ben에게 보고하는 다른 채용 관리자가 소유하지 않은 경우에 한 함). 또한 사회 보장 번호 필드와 같이 Ben이 볼 필요가 없는 민감한 정보가 있는 특정 필드가 있습니다. Ben이 앱의 각 주요 맞춤형 객체에 대해 필요로 하는 권한을 고려해 보겠습니다.
- 직책 - Ben은 새 직책을 게시할 수 있어야 하며 본인이 채용을 관리하는 직책의 모든 필드를 업데이트하고 볼 수 있어야 합니다. 하지만 다른 관리자의 직책에 대해서는 보기만 가능해야 합니다.
- 후보 - Ben은 자신이 채용 관리자로 관리 중인 직책에 지원한 후보만 볼 수 있어야 합니다. 또한 Ben은 후보의 사회 보장 번호를 볼 이유가 없으므로 이 필드는 Ben에게 표시되지 않도록 제한해야 합니다.
- 입사 지원서 - Ben은 어떤 후보를 선택하거나 거부해야 할지 지정하기 위해 입사 지원서 상태를 업데이트할 수 있어야 합니다. 그러나 Ben은 입사 지원서에 나열된 후보나 지원자가 지원하는 직책을 변경할 수 없어야 하므로 Ben이 입사 지원서의 조회 필드를 업데이트하지 못하도록 하는 방안을 마련해야 합니다.
- 검토 - 지원하는 후보에 대한 결정을 내리기 위해 Ben은 면접관이 게시한 검토 내용을 보고 면접관의 검토 내용이 매우 편향적이었다고 생각하는 경우 해당 검토 내용에 대해 의견을 제시해야 합니다. 마찬가지로 Ben은 인터뷰한 후보로부터 받은 인상을 기억할 수 있도록 면접 검토 내용을 작성할 수 있어야 합니다.
채용 인사 담당자인 Mario는 시스템에 있는 모든 직책, 후보, 입사 지원서 또는 검토 내용을 생성, 조회 및 수정할 수 있어야 합니다. 또한 모든 채용 인사 담당자가 직책을 만든 사람에 관계없이 각 직책을 채우기 위해 함께 작업하므로 다른 모든 채용 인사 담당자가 소유한 채용 레코드를 보고 수정해야 합니다.
채용 인사 담당자가 후보에 대한 정보가 포함된 레코드를 실수로 삭제하지 않도록 해야 합니다. 그 이유는 주 및 연방법에 따라 채용 관련 레코드는 수년 동안 저장되어 채용 결정에 의문이 생길 경우 법정에서 변호할 수 있도록 해야 하기 때문입니다.
면접관
Melissa는 매우 기술적인 직책에 지원하는 후보를 면접하는 엔지니어입니다. Melissa는 면접관으로서 할당된 후보와 입사 지원서만 볼 수 있어야 합니다. 또한 직위 또는 후보의 사회 보장 번호에 대한 최소 및 최대 급여값은 Melissa의 직무와 관련이 없는 민감한 정보이므로 볼 수 없어야 합니다.
일반 직원
Harry와 같은 직원은 적극적인 채용 관리자나 면접관이 아니더라도 신입 사원을 모집하는 데 가장 좋은 인력인 경우가 많습니다. 이러한 이유로 직원이 채용 직책을 볼 수 있지만 직책의 최소 및 최대 급여 필드 값은 볼 수 없도록 해야 합니다. 그렇지 않으면 직원이 직책의 최대 급여 값을 협상하도록 지인들에게 조언할 수 있습니다! Harry는 또한 채용 앱에서 다른 레코드를 볼 수도 없어야 합니다.
다음은 네 가지 유형의 사용자에 각각 필요한 권한입니다.
| 맞춤형 객체 | 채용 인사 담당자 | 채용 관리자 | 면접관 | 일반 직원 |
|---|---|---|---|---|
| 직책 | 읽기 생성 편집 | 읽기 생성 편집* | 읽기(최소/최대 급여 없음) | 읽기(최소/최대 급여 없음) |
| 후보 | 읽기 생성 편집 | 읽기*(SSN 없음) | 읽기*(SSN 없음) | 해당 없음 |
| 입사 지원서 | 읽기 생성 편집 | 읽기 편집(조회 필드 없음) | 읽기* | 해당 없음 |
| 검토 | 읽기 생성 편집 | 읽기 생성 편집 | 읽기 ** 생성 편집** | 해당 없음 |
* 채용 관리자 또는 면접관이 배정된 직책과 관련된 레코드만 해당됩니다.
이 모듈의 나머지 부분에서는 플랫폼을 사용하여 채용 앱에서 이러한 규칙을 구현하는 방법을 살펴보겠습니다. 보시다시피 개체, 필드 및 레코드의 세 가지 수준 모두에서 보안 제어를 구성해야 합니다.
프로필을 사용하여 액세스 제한하기
- 사용자 프로필의 설정은 사용자가 특정 앱, 탭, 필드 또는 레코드 유형을 볼 수 있는지 여부를 결정합니다.
- 사용자 프로필의 권한은 사용자가 지정된 유형의 레코드를 만들거나 편집하고, 보고서를 실행하고, 앱을 사용자 정의할 수 있는지 여부를 결정합니다.
프로필은 일반적으로 사용자의 직무(예: 시스템 관리자, 채용 인사 담당자 또는 채용 관리자)와 일치하지만 Salesforce 조직에 적합한 모든 프로필을 가질 수 있습니다. 프로필은 여러 사용자에게 할당할 수 있지만 사용자는 한 번에 하나의 프로필만 가질 수 있습니다.
표준 프로필
플랫폼에는 일련의 표준 프로필이 포함됩니다. 예를 들면 다음과 같습니다.
- 표준 사용자
- 마케팅 사용자
- 계약 관리자
- 시스템 관리자
- 최소 액세스 - Salesforce
- 모든 데이터 보기
- 모든 데이터 수정
이러한 권한은 다른 모든 공유 설정보다 우선하므로 시스템 관리자 이외의 프로필에 할당할 경우 주의하시기 바랍니다. Setup(설정)에서 모든 표준 및 사용자 정의 프로필 목록을 볼 수 있습니다.
표준 프로필에서 개체 권한을 편집할 수 없습니다. 그러나 기존 프로필을 복제하고 이를 새 프로필의 기초로 사용하여 필요에 따라 앱과 시스템 설정을 조정할 수 있습니다. 예를 들어 채용 앱에서 채용 인사 담당자, 면접관 및 채용 관리자에 대해 각각 하나씩 세 개의 새 프로필을 만들 수 있습니다. 그런 다음 특정 역할에 필요한 특정 유형의 데이터 액세스를 제공하도록 각 프로필을 구성할 수 있습니다. 그런 다음 권한 집합을 사용하여 필요에 따라 더 많은 권한을 부여합니다.
조직의 프로필 기능은 사용자 라이센스 유형에 따라 다릅니다.
프로필 관리하기
프로필 개요 페이지는 단일 프로필에 대한 모든 설정 및 권한에 대한 진입점을 제공합니다. Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Profiles(프로필)를 입력한 후 Profiles(프로필)를 선택합니다. 볼 프로필을 클릭합니다.
프로필 만들기
- Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Profiles(프로필)를 입력한 후 Profiles(프로필)를 선택합니다.
- 만들 프로필과 유사한 프로필 옆에 있는 Clone(복제)을 클릭합니다.
- 새 프로필에 이름을 지정하고 저장합니다.
프로필 할당하기
- Enhanced Profile User Interface(향상된 프로필 사용자 인터페이스)가 User Management Settings(사용자 관리 설정)에서 활성화되어 있는지 확인합니다.
- Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Profiles(프로필)를 입력한 후 Profiles(프로필)를 선택합니다.
- 사용자 정의할 프로필의 이름을 클릭합니다.
- 이 사용자 유형에 최대한 제한적인 설정 및 권한을 사용하여 프로필을 편집합니다. (사용자가 해야 할 일을 하지 못하도록 차단하는 것에 대해 걱정하지 마세요. 아래 권한 집합을 사용하여 액세스 권한 부여하기 섹션에서 더 많은 기능을 다루겠습니다.)
- Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Users(사용자)를 입력한 후 Users(사용자)를 선택합니다.
- 프로필을 할당할 사용자 옆의 Edit(편집)을 클릭합니다.
- 방금 설정한 프로필을 Profile(프로필) 드롭다운에서 선택합니다. Save(저장)를 클릭합니다.
권한 집합을 사용하여 액세스 권한 부여하기
조직에 동일한 기본 작업 기능을 가진 사용자가 많이 있다고 가정해 보겠습니다. 작업을 수행하는 데 필요한 모든 액세스 권한을 부여하는 하나의 프로필을 모두 할당할 수 있습니다. 그러나 이러한 사용자 중 일부는 특별한 프로젝트에서 작업하고 있으며 다른 사람이 사용하지 않는 앱에 액세스해야 합니다. 그리고 몇몇 다른 사용자는 해당 앱과 첫 번째 그룹에 필요하지 않은 다른 앱에 대한 액세스 권한이 필요합니다. 프로필만 있었다면 소수의 사용자 요구에 맞게 사용자 정의된 프로필을 더 많이 만들거나 기회를 잡고 원래 프로필에 더 많은 액세스 권한을 추가하여 필요하지 않은 사용자가 앱을 사용할 수 있도록 해야 합니다. 이러한 옵션 중 어느 것도 이상적이지 않으며, 조직이 성장하고 있으며 사용자의 요구 사항이 정기적으로 변하는 경우에는 특히 그렇습니다.
특정 필드에 대한 권한을 부여합니다.
동료가 휴가 중일 때 필드 임시 편집 액세스 권한을 필요로 하는 Tom이라는 사용자가 있다고 가정해 보겠습니다. 필드에 대한 액세스 권한을 부여하는 권한 집합을 만들고 권한 집합을 Tom에게 할당할 수 있습니다. Tom의 동료가 휴가에서 돌아와 Tom이 더 이상 필드에 액세스할 필요가 없을 경우 Tom의 사용자 레코드에서 권한 집합 할당을 제거하기만 하면 됩니다.
사용자의 기본 프로필에 권한이 있는 경우 해당 사용자에게 권한 집합을 할당하여 제거할 수 없습니다. 권한 집합은 권한을 추가하기만 할 수 있습니다. 권한을 제거하려면 사용자의 기본 프로필과 사용자가 가질 수 있는 권한 집합에서 권한을 제거해야 합니다. 또는 사용자가 권한 집합 그룹에 할당되어 있는 경우 비활성화 권한을 사용하여 선택된 권한을 비활성화할 수 있습니다. 자세한 내용은 Salesforce 도움말의 권한 집합 비활성화를 참조하세요.
권한 집합 관리하기
권한 집합의 개요 페이지는 권한 집합의 모든 권한에 대한 진입점입니다. 권한 집합 개요 페이지를 열려면 Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Permission Sets(권한 집합)를 입력한 후 Permission Sets(권한 집합)를 선택합니다. 보려고 하는 권합 집합을 선택합니다. 각 권한 집합에서 권한 및 설정은 앱 설정, 시스템 설정, 개체 권한 및 필드 권한으로 구성됩니다.
Object Settings(개체 설정) 링크는 Enhanced Profile User Interface(향상된 프로필 사용자 인터페이스)가 User Management Settings Setup(사용자 관리 설정 설정) 페이지에서 활성화된 경우에만 표시됩니다.
권한 집합 만들기
- Setup(설정)에서 Quick Find(빠른 찾기) 상자에 Permission Sets(권한 집합)를 입력한 후 Permission Sets(권한 집합)를 선택합니다.
- 복사할 집합 옆에 있는 Clone(복제)을 클릭합니다. 복제된 권한 집합에는 원본과 동일한 사용자 라이센스가 있습니다. 다른 라이센스로 집합을 만들려면 New(새로 만들기) (1)을 대신 클릭합니다.
- 레이블과 설명을 입력합니다. API 이름은 API 및 관리 패키지에서 사용하는 고유한 이름입니다. 레이블은 자동으로 복제되지만 수정할 수 있습니다.
- 새 권한 집합인 경우 사용자 라이센스 옵션을 선택합니다.
- 이 권한 집합을 다른 라이센스를 가진 여러 사용자에게 할당하려는 경우 --없음--을 선택합니다.
- 한 가지 유형의 라이센스가 있는 사용자만 이 권한 집합을 사용하는 경우 해당 사용자 라이센스를 선택합니다.
- Save(저장)를 클릭하여 권한 집합 개요 페이지로 돌아갑니다.
- 권한 집합 도구 모음에서 Manage Assignments(할당 관리)를 클릭한 다음 Add Assignments(할당 추가)를 클릭합니다.
- 이 권한 집합에 할당할 사용자를 선택하고 Assign(할당)을 클릭합니다. 할당 요약 페이지의 메시지를 검토합니다. 사용자가 할당되지 않은 경우 메시지 열에 이유가 표시됩니다.
- Done(완료)을 클릭하여 권한 집합에 할당된 사용자 목록으로 돌아갑니다.
채용 앱에 대한 프로필 및 권한 집합
채용 인사 담당자
채용 인사 담당자는 명확하게 정의된 직무를 나타내며 다른 사용자와는 다른 데이터 유형에 액세스해야 합니다. 따라서 채용 인사 담당자용 프로필을 생성하는 것이 합리적입니다.
채용 관리자
조직 대부분의 경우 영업 부서의 채용 관리자는 엔지니어링 부서의 채용 관리자와 다른 데이터 유형에 액세스해야 합니다. 그러나 모든 채용 관리자는 여전히 동일한 유형의 채용 데이터(검토, 후보, 직책 및 입사 지원서)에 액세스해야 합니다. 따라서 다양한 사용자 유형에게 할당할 수 있는 채용 관리자 권한 집합을 생성하는 것이 편리합니다.
면접관
부서와 직무에 상관없이 모든 직원은 면접을 수행하도록 요청받을 수 있으며 제한된 시간 동안만 채용 정보에 액세스해야 합니다. 필요에 따라 권한을 쉽게 할당하고 취소할 수 있으므로 면접관용 권한 집합을 정의하는 것이 합리적입니다.
일반 직원
일반 직원은 특정 직무 기능을 반영하지 않는 일반 그룹입니다. 여러분은 대부분의 직원에게 작은 데이터 집합에 대한 액세스를 제공하는 기본 프로필을 만든 다음 해당 전문 분야에 따라 권한 집합을 만들고 할당하여 필요에 따라 더 많은 액세스 권한을 부여할 수 있습니다.
채용 앱에 개체 권한을 구성하는 최적의 방법에 대해 우리가 살펴본 내용은 다음과 같습니다.
- 채용 인사 담당자와 일반 직원의 두 프로필을 만듭니다.
- 채용 관리자와 면접관이라는 두 가지 권한 집합을 만듭니다.
- 일반 직원 프로필을 채용 관리자와 면접관에게 할당한 다음 해당 기능에 대해 적절한 권한을 부여합니다.
