개체에 대한 액세스 제어하기

학습 목표

이 유닛을 완료하면 다음을 수행할 수 있습니다.

• 프로필, 권한 집합, 권한 집합 그룹의 차이를 알아봅니다.
  
• 개체 액세스 권한을 수정합니다.
  
• 프로필을 복제하고 할당합니다.
  
• 새 권한 집합을 만들고 할당합니다.
  
• 새 권한 집합 그룹을 만들고 할당합니다.
  

참고

한국어로 학습하시겠어요? Trailhead playground에서 한국어로 실습 과제를 시작하고, 괄호 안에 제공된 번역을 사용해 탐색해 보세요. 영어 데이터를 기반으로 실습 과제 검증이 이루어지므로 영문으로 표시된 값만 복사해 붙여 넣습니다. 한국어 조직에서 실습 과제를 통과하지 못한 경우, (1) 로캘을 미국으로 바꾸고 (2) 여기에 제시된 지침에 따라 언어를 영어로 바꾼 후 (3) "Check Challenge(과제 확인)" 버튼을 눌러 다시 진행해 보세요.

원하는 언어로 Trailhead 사용하기 뱃지를 확인해 현지화된 Trailhead 경험을 활용하는 방법에 대해 자세히 알아보세요.

개체에 대한 권한 관리하기

데이터 액세스를 제어하는 가장 간단한 방법은 특정 유형의 개체에 대한 권한을 설정하는 것입니다. (개체는 리드 또는 연락처와 같은 레코드 모음입니다.) 사용자가 해당 개체의 레코드를 생성, 읽기, 편집 또는 삭제 가능한지 여부를 제어할 수 있습니다.

개체 권한을 권한 집합과 권한 집합 그룹을 사용하여 설정하는 것을 권장하지만, 프로필에서도 개체 권한을 구성할 수 있습니다. 이러한 기능의 차이점은 무엇일까요?

• Permission sets(권한 집합): 개체, 필드, 사용자 권한을 사용자에게 할당하는 데 사용됩니다. 한정된 작업에 필요한 모든 권한을 포함하도록 권한 집합을 구성할 것을 권장합니다(예: 리드를 사용한 작업). 사용자는 여러 권한 집합을 할당받을 수 있습니다.
  
• Permission set groups(권한 집합 그룹): 여러 권한 집합을 그룹화하여 손쉬운 관리를 지원합니다. 권한 집합 그룹은 조직의 ‘페르소나’를 나타내는 개념입니다(예: 영업 담당자). 권한 집합 그룹에 할당된 사용자는 권한 집합에 존재하는 모든 권한을 받습니다. 사용자는 여러 권한 집합 그룹을 할당받을 수 있습니다. 또한, 권한 집합은 여러 권한 집합 그룹에서 재사용할 수 있어 액세스 관리가 더 쉬워집니다.
  
• Profiles(프로필): 사용자의 기본 설정을 구성하는 데 사용됩니다(예: 할당된 앱, 레코드 유형, 페이지 레이아웃). 사용자는 하나의 프로필만 할당받을 수 있습니다.
  

자세한 내용은 Salesforce 도움말에서 권한 집합 및 권한 집합 그룹을 만들기 위한 가이드라인을 참고하세요. 이러한 기능은 개체 수준 액세스를 지정할 때 상당한 유연성을 제공합니다. 이 유닛에서는 채용 앱에 이러한 기능을 설정하여 사용자들이 개체에 올바르게 액세스할 수 있도록 하는 방법을 살펴봅니다.

채용 앱에 대한 개체 권한

채용 앱에서 개체 수준 액세스를 구성하는 방법을 살펴보겠습니다. 이 앱에는 채용 관리자, 채용 인사 담당자, 면접관 및 일반 직원의 네 가지 주요 유형의 사용자가 있습니다. 각 유형의 사용자에게 필요한 개체 액세스는 무엇일까요?

채용 관리자

채용 관리자인 Ben은 자신이 관리 중인 채용 공고 직책과 관련된 채용 레코드에 액세스할 수 있어야 하지만 다른 채용 기록에는 액세스할 수 없어야 합니다(Ben에게 보고하는 다른 채용 관리자가 소유하지 않은 경우에 한함). 또한 사회 보장 번호 필드와 같이 Ben이 볼 필요가 없는 민감한 정보가 있는 특정 필드가 있습니다. Ben이 앱의 각 주요 맞춤형 개체에 대해 필요로 하는 권한을 보겠습니다.

• Position(직책): Ben은 새 직책을 게시할 수 있어야 하며 본인이 채용을 관리하는 직책의 모든 필드를 업데이트하고 볼 수 있어야 합니다. 하지만 다른 관리자의 직책에 대해서는 보기만 가능해야 합니다.
  
• Candidate(후보): Ben은 자신이 채용 관리자로 관리 중인 직책에 지원한 후보만 볼 수 있어야 합니다. 또한 Ben은 후보의 사회 보장 번호를 볼 이유가 없으므로 이 필드는 Ben에게 표시되지 않도록 제한해야 합니다.
  
• Job Application(입사 지원서): Ben은 어떤 후보를 선택하거나 거부해야 할지 지정하기 위해 입사 지원서 상태를 업데이트할 수 있어야 합니다. 그러나 Ben은 입사 지원서에 나열된 후보나 지원자가 지원하는 직책을 변경할 수 없어야 하므로 Ben이 입사 지원서의 조회 필드를 업데이트하지 못하도록 하는 방안을 마련해야 합니다.
  
• Review(검토): 지원하는 후보에 대한 결정을 내리기 위해 Ben은 면접관이 게시한 검토 내용을 보고 면접관의 검토 내용이 매우 편향적이었다고 생각하는 경우 해당 검토 내용에 대해 의견을 제시해야 합니다. 마찬가지로 Ben은 인터뷰한 후보로부터 받은 인상을 기억할 수 있도록 면접 검토 내용을 작성할 수 있어야 합니다.
  

채용 인사 담당자

채용 인사 담당자인 Mario는 시스템에 있는 모든 직책, 후보, 입사 지원서 또는 검토 내용을 생성, 조회 및 수정할 수 있어야 합니다. 또한 모든 채용 인사 담당자가 직책을 만든 사람에 관계없이 각 직책을 채우기 위해 함께 작업하므로 다른 모든 채용 인사 담당자가 소유한 채용 레코드를 보고 수정해야 합니다.

채용 인사 담당자가 후보에 대한 정보가 포함된 레코드를 실수로 삭제하지 않도록 해야 합니다. 그 이유는 주 및 연방법에 따라, 채용 관련된 레코드는 수년 동안 저장되어 채용 결정에 의문이 생길 경우 법정에서 변호할 수 있도록 요구하고 있기 때문입니다.

면접관

Melissa는 고급 기술 직책에 대한 후보를 인터뷰하는 엔지니어입니다. Melissa는 면접관으로서 할당된 후보와 입사 지원서만 볼 수 있어야 합니다. 또한 자신의 직무와 관련이 없는 민감한 정보이므로 모든 직위 또는 후보의 사회 보장 번호에 대한 최소 및 최대 보너스 값을 볼 수 없어야 합니다.

일반 직원

Harry와 같은 직원은 적극적인 채용 관리자나 면접관이 아니더라도 신입 사원을 모집하는 데 가장 좋은 인력인 경우가 많습니다. 이러한 이유로 직원이 채용 직책을 볼 수 있지만 직책의 최소 및 최대 보너스 필드 값은 볼 수 없도록 해야 합니다. Harry는 또한 채용 앱에서 다른 레코드를 볼 수 없어야 합니다.

다음은 네 가지 유형의 사용자 각각에 필요한 권한입니다.

* 채용 관리자 또는 면접관이 배정된 직책과 관련된 레코드만 해당됩니다.

** 면접관이 소유한 레코드만 해당됩니다.

이 모듈의 나머지 부분에서는 플랫폼을 사용하여 채용 앱에서 이러한 요구 사항을 구현하는 방법을 살펴보겠습니다. 개체, 필드 및 레코드의 세 가지 수준 모두에서 보안 제어를 구성해야 합니다.

프로필 설정

앞서 배운 것처럼 각 사용자에게는 사용자 라이선스와 연결된 단일 프로필이 있습니다. 플랫폼에는 설정이 사전 정의된 일련의 표준 프로필이 포함됩니다. 예를 들면 다음과 같습니다.

• 표준 사용자
  
• 마케팅 사용자
  
• 계약 관리자
  
• 시스템 관리자
  
• 최소 액세스 - Salesforce
  

각 표준 프로필에는 플랫폼에서 사용할 수 있는 표준 개체에 대한 기본 권한 집합이 포함되어 있습니다. 예를 들어 표준 사용자는 레코드를 만들고 편집할 수 있지만 최소 액세스 - Salesforce 사용자는 레코드를 볼 수 있지만 만들거나 편집할 수는 없습니다.  시스템 관리자 프로필은 데이터에 대한 가장 광범위한 액세스 권한과 Salesforce를 구성 및 사용자 정의할 수 있는 가장 강력한 기능을 가지고 있습니다. 특히 시스템 관리자 프로필에는 모든 데이터 보기 및 모든 데이터 수정이라는 두 가지 특수 권한이 포함되어 있습니다. 이러한 권한은 다른 모든 공유 설정보다 우선하므로 시스템 관리자 이외의 프로필에 할당할 경우 주의하시기 바랍니다.

특히 권한 집합 및 권한 집합 그룹을 사용하여 액세스를 구성하는 보안 모범 사례를 따르는 경우 일부 표준 프로필에 사용자에게 필요한 것보다 더 많은 액세스 권한이 포함되어 있을 가능성이 높습니다. 사용자에게 프로필을 할당하기 전에 각 프로필에 어떤 권한과 설정이 포함되어 있는지 검토하세요.

표준 프로필에서 개체 권한을 편집할 수 없습니다. 그러나 기존 프로필을 복제하고 이를 새 프로필의 기초로 사용하여 필요에 따라 설정을 조정할 수 있습니다. 가능하면 항상 최소 액세스 Salesforce 프로필(또는 그 복제본)을 사용한 다음 권한 집합 및 권한 집합 그룹을 사용하여 사용자에게 필요한 권한만 부여하는 것이 좋습니다. 예를 들어, 채용 인사 담당자, 면접관 및 채용 관리자의 직무가 다르더라도 채용 앱에서 이들에게 최소 액세스 - Salesforce 프로필을 할당할 수 있습니다. 이 프로필은 Salesforce Platform에서 매우 제한된 권한과 기능을 부여하지만 권한 집합 및 권한 집합 그룹을 사용하여 추가 액세스 권한을 부여할 수 있습니다.

프로필에서 이러한 기능을 구성하는 것이 좋습니다.

• 기본 앱 및 레코드 유형
  
• IP 범위
  
• 로그인 시간
  
• 페이지 레이아웃 할당
  

프로필 만들기 및 할당

프로필을 만드는 가장 쉬운 방법은 만들려는 프로필과 유사한 기존 프로필을 복제한 다음 수정하는 것입니다. 예를 들어, 다른 기본 앱이 표시되는 최소 액세스 - Salesforce 프로필을 약간 수정하고자 할 수 있습니다.

Salesforce에는 프로필 설정을 쉽게 찾고 수정할 수 있는 향상된 프로필 사용자 인터페이스가 있습니다. 이 내용을 이 연습에 사용해 보겠습니다.

1. Setup(설정)의 Quick Find(빠른 찾기) 상자에서 User Management Settings(사용자 관리 설정)를 검색하고 선택합니다.
   
2. Enhanced Profile User Interface(향상된 프로필 사용자 인터페이스)를 활성화합니다.
   
3. Setup(설정)의 Quick Find(빠른 찾기) 상자에서 Profiles(프로필)를 검색하고 선택합니다.
   
4. 만들 프로필과 유사한 프로필 옆에 있는 Clone(복제)을 클릭합니다.
   
5. 새 프로필에 이름을 지정하고 Save(저장)를 클릭합니다.
   
6. 프로필의 기본 설정을 필요한 대로 편집하고 Save(저장)를 클릭합니다.
   
7. Setup(설정)의 Quick Find(빠른 찾기) 상자에서 Users(사용자)를 검색하고 선택합니다.
   
8. 프로필을 할당할 사용자 옆의 Edit(편집)을 클릭합니다.
   
9. 방금 설정한 프로필을 Profile(프로필) 드롭다운에서 선택합니다.
   
10. Save(저장)를 클릭합니다.
    

권한 집합 및 권한 집합 그룹을 사용하여 액세스 권한 부여

앞에서는 권한 집합 및 권한 집합 그룹이 사용자의 권한 및 액세스 권한을 관리하는 데 선호되는 방법이라는 내용을 배웠습니다. 그 이유를 자세히 살펴보겠습니다.

권한 집합은 사용자에게 다양한 도구 및 기능에 대한 액세스 권한을 부여하는 설정 및 권한 모음입니다. 권한 집합 그룹은 말 그대로 권한 집합의 그룹입니다. 권한 집합을 사용하면 그 유용성 및 재사용성 때문에 조직의 다양한 앱 및 개체에 대한 액세스 권한을 쉽게 부여하고 더 이상 필요하지 않은 경우 액세스 권한을 제거할 수 있습니다. 작은 권한 집합 빌딩 블록을 재사용할 수 있으므로 각 사용자 및 직무 기능에 대해 수십 개 또는 수백 개의 프로필을 만들지 않아도 됩니다.

작업이나 업무에 필요한 모든 권한을 포함하는 권한 집합을 만드세요. 그런 다음 이러한 권한 집합을 사용자 페르소나에 해당하는 권한 집합 그룹으로 묶습니다. 서로 다른 페르소나가 동일한 작업 중 일부를 수행하는 경우 다른 권한 집합 그룹에서 해당 권한 집합을 재사용할 수 있습니다.

예를 들어 리드를 삭제하고 전송해야 하는 영업 담당자와 마케팅 전문가가 있다고 가정해 보겠습니다. 리드 관리를 기반으로 권한 집합을 만들 수 있습니다. 그런 다음 사용자의 역할에 따라 ‘영업 담당자’ 및 ‘마케팅 전문가’ 권한 집합 그룹에 권한 집합을 포함합니다. 영업 또는 마케팅에만 관련된 추가 권한의 경우 해당 권한 집합 그룹에 포함할 권한 집합을 만들 수 있습니다.

권한 세트에서 이러한 권한 및 기능을 구성하세요.

• Apex 클래스
  
• 연결된 앱 액세스
  
• 사용자 정의 권한
  
• 필드 권한
  
• 개체 권한
  
• 사용자 권한(앱 및 시스템 권한)
  
• 탭 설정
  
• Visualforce 페이지
  

권한을 제거하려면 사용자의 기본 프로필과 사용자가 가질 수 있는 권한 집합에서 권한을 제거해야 합니다. 또는 사용자가 권한 집합 그룹에 할당되어 있는 경우 비활성화 권한을 사용하여 선택된 권한을 비활성화할 수 있습니다. 자세한 내용은 Salesforce 도움말의 권한 집합 비활성화를 참조하세요.

채용 앱에 대한 권한 집합 및 권한 집합 그룹

이제 권한 집합 및 권한 집합 그룹에 대해 알았으니 예시 채용 앱에 대한 개체 수준 액세스를 설정하는 방법을 생각해 보세요. 이 앱에는 채용 인사 담당자, 채용 관리자, 면접관 및 일반 직원의 네 가지 주요 유형의 사용자가 있습니다.

채용 인사 담당자

직무를 명확하게 정의해야 하므로 채용 담당자 권한 집합 그룹을 만드는 것이 좋습니다. 채용 데이터(검토 내용, 후보자, 직책, 입사 지원서)에 액세스하려면 이러한 각 개체의 작업과 관련된 별도의 권한 집합을 만듭니다.

채용 관리자

영업팀의 채용 관리자는 엔지니어링팀의 채용 관리자와 다른 유형의 데이터에 액세스해야 합니다. 그러나 모든 채용 관리자는 여전히 개체 권한을 통해 동일한 유형의 채용 데이터에 액세스해야 합니다. 따라서 다양한 유형의 사용자에게 할당할 수 있는 채용 관리자 권한 집합을 만드는 것이 편리합니다. 필드 수준 보안 및 레코드 액세스 권한과 같은 보다 구체적인 제한은 나중에 처리하면 됩니다.

면접관

모든 부서 및 직무의 직원은 인터뷰를 수행하도록 요청받을 수 있으며 제한된 시간 동안만 채용 정보에 액세스해야 합니다. 면접관에 대한 권한 집합 그룹을 정의하고 필요에 따라 사용자를 할당 및 제거하는 것이 좋습니다.

특히 검토의 경우 채용 인사 담당자, 채용 관리자, 면접관은 모두 검토 개체에 대한 읽기, 만들기, 편집 권한이 필요합니다. 이러한 모든 직무의 권한 집합 그룹에서 동일한 권한 집합을 재사용할 수 있으므로 수고를 덜 수 있습니다.

일반 직원

채용에 관여하지 않는 직원도 직책을 볼 수 있어야 합니다. 이는 회사 전체의 요구 사항이므로 직책에 대한 읽기 액세스 권한을 보다 제한적으로 부여하는 기준 권한 집합을 만드는 것이 좋습니다. 그런 다음 이 권한 집합을 페르소나별 권한 집합 그룹에 포함시켜 모든 사용자가 어떤 방식으로든 이 권한 집합에 액세스할 수 있도록 하세요.

이러한 권한 시나리오를 고려하여 채용 앱에 개체 권한을 구성하는 최적의 방법은 다음과 같습니다.

• 채용 인사 담당자, 채용 관리자와 면접관이라는 세 가지 권한 집합 그룹을 만듭니다.
  
• 검토, 후보자, 직책 및 입사 지원서 작업과 관련된 권한 집합을 만듭니다. 가능한 경우 권한 집합 그룹에서 권한 집합을 재사용하되, 사용자에게 너무 많은 권한을 부여하지 않도록 하세요.
  

권한 집합 만들기

채용 앱의 검토 개체에 대한 액세스를 제어하는 권한 집합을 만드세요.

1. Setup(설정)의 Quick Find(빠른 찾기) 상자에서 Permission Sets(권한 집합)를 검색하고 선택합니다.
   
2. New(새로 만들기)를 클릭합니다.
   
3. 권한 집합의 레이블과 설명을 입력합니다. 이름을 Access and Manage Reviews(검토 액세스 및 관리)로 설정합니다.
   
4. 원하는 경우 특정 라이선스가 있는 사용자에게만 이 권한 집합을 할당할지 여부를 선택할 수 있습니다. –None(없음)–을 선택합니다.
   
5. Save(저장)를 클릭합니다.
   
6. 개체 권한을 추가하려면 Find Settings(설정 찾기) 상자에서 Reviews(검토)를 찾고 선택합니다.
   
7. Edit(편집)을 클릭합니다.
   
8. Read(읽기), Create(만들기), Edit(편집) 권한을 활성화합니다.
   
9. Save(저장)를 클릭합니다.
   

사용자에게 권한 집합을 바로 할당할 수 있습니다. 하지만 그 대신 먼저 권한 집합 그룹을 만들고 이 권한 집합을 포함합니다.

권한 집합 그룹 만들기

채용 앱의 경우 세 개의 페르소나 기반 권한 집합 그룹 모두 검토에 대해 동일한 개체 권한이 포함되어 있음을 확인했습니다. 채용 담당자에 대한 권한 집합 그룹을 만듭니다.

1. Setup(설정)의 Quick Find(빠른 찾기) 상자에서 Permission Set Groups(권한 집합 그룹)를 검색하고 선택합니다.
   
2. New Permission Set Group(새 권한 집합 그룹)을 클릭합니다.
   
3. 권한 집합 그룹의 레이블(이 경우 Recruiters(채용 담당자))과 설명을 입력합니다.
   
4. Save(저장)를 클릭합니다.
   
5. 채용 담당자 권한 집합 그룹의 개요 페이지에서 Permission Sets in Group(그룹의 권한 집합)을 클릭합니다.
   
6. Add Permission Set(권한 집합 추가)를 클릭한 다음 Access and Manage Reviews(검토 액세스 및 관리) 권한 세트의 확인란을 선택합니다.
   
7. Add(추가)를 클릭한 다음 Done(완료)을 클릭합니다.
   

채용 담당자 권한 집합 그룹이 구성되고 검토에 대한 액세스 권한이 부여됩니다. 마지막 단계는 사용자에게 할당하는 것입니다.

1. 채용 담당자 권한 집합 그룹의 개요 페이지에서 Manage Assignments(할당 관리)를 클릭한 다음 Add Assignment(할당 추가)를 선택합니다.
   
2. 그룹을 할당할 사용자를 선택한 후 Next(다음)를 클릭합니다.
   
3. 원하는 경우 사용자 할당의 만료일을 선택합니다. 이 옵션은 사용자에게 일시적으로 권한 집합 그룹을 할당하려는 경우 유용할 수 있습니다.
   
4. Assign(할당)을 클릭합니다.
   

요약을 사용하여 액세스 검토

모든 개체에 대한 액세스 권한을 설정하다 보면 추적할 사항이 많다는 것을 알아차릴 수 있습니다. 어떤 권한 집합이 계정에 대한 액세스 권한을 부여하나요? Joe Smith에게 리드를 삭제할 수 있는 권한이 있나요? 개체 액세스, 사용자 액세스, 권한 집합 및 권한 집합 그룹에 대한 Salesforce 요약을 사용하여 권한을 검토하고 관리하는 데 도움을 받을 수 있습니다.

예를 들어 개체 관리자에서는 개체에 대한 액세스 권한을 부여하는 권한 집합, 권한 집합 그룹 및 프로필과 부여된 액세스 수준을 볼 수 있습니다.

1. Setup(설정)에서 Object Manager(개체 관리자)로 이동합니다.
   
2. 개체 권한을 지원하는 개체를 선택합니다.
   
3. 사이드바에서 Object Access(개체 액세스)를 클릭합니다.
   

사용자에게 할당된 모든 개체, 필드 및 사용자 권한과 해당 액세스 권한이 부여되는 방식도 확인할 수 있습니다.

1. Setup(설정)의 Quick Find(빠른 찾기) 상자에서 Users(사용자)를 검색하고 선택합니다.
   
2. 사용자를 선택합니다.
   
3. View Summary(요약 보기)를 클릭합니다.
   

마지막으로 요약 페이지에서 권한 집합 또는 권한 집합 그룹에 포함된 모든 권한을 쉽게 확인할 수 있습니다.

1. Setup(설정)의 Quick Find(빠른 찾기) 상자에서 Permission Sets(권한 집합)를 검색하고 선택합니다. 또는 Quick Find(빠른 찾기) 상자에 Permission Set Groups(권한 설정 그룹)를 검색하고 선택합니다.
   
2. 권한 세트 또는 권한 세트 그룹을 선택합니다.
   
3. View Summary(요약 보기)를 클릭합니다.
   

잘하셨어요. 개체 권한을 할당하여 데이터 액세스 관리를 위한 첫 걸음을 시작했습니다. 다음 유닛에서는 필드 및 레코드에 대한 제한을 설정하여 이러한 데이터 액세스를 조정합니다.

리소스

• Salesforce 도움말: 사용자 및 데이터 액세스 관리
• Salesforce 도움말: 개체 권한
• Salesforce 도움말: 프로필의 기본 설정 구성
• Salesforce 도움말: 권한 구성 및 권한 집합에서 액세스
• Salesforce 도움말: 권한 집합 그룹
• Salesforce 도움말: 개체 관리자에서 개체 액세스 확인
• Salesforce 도움말: 사용자의 액세스 요약 확인
• Salesforce 도움말: 권한 집합 또는 권한 집합 그룹에서 활성화된 권한 확인