Controle o acesso aos objetos
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Visualizar perfis existentes e criar novos.
- Modificar o acesso a objetos usando perfis.
- Visualizar todos os usuários atribuídos a um perfil.
- Criar novos conjuntos de permissões.
- Atribuir conjuntos de permissões a um ou mais usuários.
Gerenciar permissões de objeto
A maneira mais simples de controlar o acesso a dados é definindo permissões em um determinado tipo de objeto. (Um objeto é um conjunto de registros, como leads ou contatos.) Você pode controlar se um grupo de usuários pode criar, visualizar, editar ou excluir qualquer registro desse objeto.
Você pode definir permissões de objeto com perfis ou conjuntos de permissões. A cada usuário é atribuído um perfil. Os usuários podem ter um ou mais conjuntos de permissões atribuídos.
- O perfil de um usuário determina os objetos que ele pode acessar e as ações que ele pode realizar com qualquer registro de objeto (como criar, ler, editar ou excluir).
- Os conjuntos de permissões concedem permissões adicionais e configurações de acesso ao usuário.
Use perfis para conceder as permissões e configurações mínimas que todos os usuários de um determinado tipo precisam. Em seguida, use os conjuntos de permissões para conceder mais permissões, conforme necessário. A combinação de conjuntos de perfis e permissões oferece uma grande flexibilidade ao especificar o acesso em nível de objeto.
Permissões de objeto para o aplicativo Recruiting
Como exemplo, vamos explorar a forma como você pode configurar o acesso ao nível de objeto no aplicativo Recruiting. (Observe que, como isso é um exemplo, você não verá esse aplicativo em sua organização!) O aplicativo tem quatro tipos principais de usuários: gerentes de contratação, recrutadores, entrevistadores e funcionários padrão. Quais tipos de acesso a objetos cada tipo de usuário precisa?
Gerentes de contratação
Ben, gerente de contratação, deve ser capaz de acessar os registros de recrutamento relacionados às suas posições em aberto, mas não deve ter acesso a outros registros de recrutamento (exceto os registros pertencentes a outros gerentes de contratação que são seus subordinados). Além disso, ele não deve visualizar determinados campos confidenciais, como o campo de número de segurança social. Vamos considerar as permissões que Ben precisa para cada um dos principais objetos personalizados no aplicativo.
-
Posição — Ben também deve ser capaz de publicar novas posições e também atualizar e visualizar todos os campos das posições nas quais ele é o gerente de contratação, mas deve apenas visualizar as posições dos outros gerentes.
-
Candidato — Ben deve ser capaz de visualizar somente os candidatos que se candidataram para uma posição em que ele é o gerente de contratação. Além disso, como não há necessidade de Ben visualizar o número de CPF do candidato, ele não deve ter permissão para visualizar esse campo.
-
Formulário de emprego — Ben precisa atualizar o status dos formulários de emprego para especificar quais candidatos devem ser selecionados ou rejeitados. No entanto, ele não deve ser capaz de alterar o candidato listado no formulário de emprego e a posição na qual o candidato está se candidatando, então precisamos encontrar uma forma de evitar que Ben atualize os campos de pesquisa nos formulários de emprego.
-
Revisão — Para tomar uma decisão sobre os candidatos que estão se candidatando, Ben precisa visualizar as revisões publicadas pelos entrevistadores e fazer comentários sobre elas, se achar que o entrevistador foi tendencioso em sua revisão. Da mesma forma, Ben precisa criar revisões para que possa se lembrar das suas impressões sobre os candidatos que ele entrevistou.
Recrutadores
Mario, um dos recrutadores, precisa conseguir criar, visualizar e modificar as posições, os candidatos, os formulários de emprego ou as revisões disponíveis no sistema. Ele também precisa visualizar e modificar os registros de recrutamento de todos os outros recrutadores, visto que todos os recrutadores trabalham juntos para preencher todas as posições, independentemente de quem as criou.
Precisamos assegurar que um recrutador jamais excluirá acidentalmente um registro com informações sobre um candidato. Isso porque as leis estaduais e federais exigem que os registros relacionados ao recrutamento sejam guardados durante alguns anos para que, se uma decisão de contratação for questionada, ela poderá ser defendida em tribunal.
Entrevistadores
Melissa é engenheira e entrevista candidatos para posições altamente técnicas. Ela deve ser capaz de visualizar somente os candidatos e formulários de emprego para os quais ela é designada como entrevistadora. Além disso, ela não deve conseguir visualizar os valores salariais mínimos e máximos de qualquer uma das posições ou o número da segurança social de qualquer candidato, já que são informações confidenciais que não têm relação com seu trabalho.
Funcionários padrão
Geralmente, os funcionários, como Harry, são os melhores recursos para o recrutamento de novos funcionários, mesmo que eles não sejam gerentes de contratação ou entrevistadores ativos. Por essa razão, precisamos nos certificar de que esses funcionários podem visualizar as posições em aberto, mas não podem visualizar os campos de salário mínimo e máximo das posições; caso contrário, poderiam sugerir aos amigos a negociação da posição pelo valor máximo do salário! Harry também não deve poder visualizar nenhum outro registro no aplicativo Recruiting.
Veja as permissões necessárias para cada um dos quatro tipos de usuários.
Objeto personalizado |
Recrutador |
Gerente de contratação |
Entrevistador |
Funcionário padrão |
---|---|---|---|---|
Posição |
Ler Criar Editar |
Ler Criar Editar* |
Ler (sem salário mín./máx.) |
Ler (sem salário mín./máx.) |
Candidato |
Ler Criar Editar |
Ler* (sem SSN) |
Ler* (sem SSN) |
Não aplicável |
Formulário de emprego |
Ler Criar Editar |
Ler Editar (sem campos de pesquisa) |
Ler * |
Não aplicável |
Revisão |
Ler Criar Editar |
Ler Criar Editar |
Ler ** Criar Editar ** |
Não aplicável |
* Somente para registros associados a uma posição à qual o gerente de contratação ou entrevistador foi atribuído.
** Somente para registros de propriedade do entrevistador.
No restante do módulo, você aprenderá como pode usar a plataforma para implementar essas regras no aplicativo Recruiting. Como você verá, isso exigirá a configuração de controles de segurança nos três níveis: objetos, campos e registros.
Usar perfis para limitar o acesso
Cada usuário possui um único perfil que controla a quais dados e recursos ele tem acesso. Um perfil é um conjunto de configurações e permissões. As configurações do perfil determinam quais dados o usuário pode ver e as permissões determinam o que o usuário pode fazer com esses dados.
- As configurações no perfil de um usuário determinam se ele pode ver um aplicativo, guia, campo ou tipo de registro específico.
- As permissões no perfil de um usuário determinam se ele pode criar ou editar registros de um determinado tipo, executar relatórios e personalizar o aplicativo.
Os perfis geralmente correspondem à função de trabalho de um usuário (por exemplo, administrador do sistema, recrutador ou gerente de contratação), mas você pode ter perfis para qualquer coisa que faça sentido na sua organização do Salesforce. Um perfil pode ser atribuído a muitos usuários, mas um usuário só pode ter um perfil por vez.
Perfis padrão
A plataforma inclui um conjunto de perfis padrão. Algumas exceções são:
- Usuário padrão
- Usuário do Marketing
- Gerente do contrato
- Administrador de sistemas
- Acesso mínimo - Salesforce
Todos os perfis padrão incluem um conjunto padrão de permissões para todos os objetos padrão disponíveis na plataforma. Por exemplo, um Usuário padrão pode criar e editar registros; já um usuário Acesso mínimo - Salesforce pode visualizar registros, mas não pode criá-los nem editá-los. O perfil do Administrador do sistema oferece o acesso mais amplo a dados e a maior capacidade de configurar e personalizar o Salesforce.
O perfil do Administrador do sistema também inclui duas permissões especiais:
- Exibir todos os dados
- Modificar todos os dados
Essas permissões substituem todas as outras configurações de compartilhamento; por isso, tome cuidado ao atribuí-las a qualquer perfil que não seja o de Administrador do sistema. Você pode visualizar uma lista de todos os perfis padrão e personalizados na área Configuração.
Você não poderá editar as permissões de objeto em um perfil padrão. No entanto, você pode clonar um perfil existente e usar isso como base para um novo perfil, ajustando os aplicativos e configurações do sistema conforme precisar. Por exemplo, no aplicativo Recruiting, você pode criar três novos perfis, um para cada recrutador, entrevistador e gerente de contratação. Cada perfil pode então ser configurado para fornecer o tipo específico de acesso a dados necessário para um determinado papel. Em seguida, você pode usar os conjuntos de permissões para conceder permissões adicionais, conforme necessário.
Gerenciando perfis
A página de visão geral do perfil oferece um ponto de entrada para todas as configurações e permissões para um único perfil. Em Configuração, na caixa Busca rápida, insira Perfis e depois selecione Perfis. Clique no perfil que você deseja visualizar.
Criar um perfil
A maneira mais fácil de criar um perfil é clonando um perfil existente que seja semelhante àquele que você deseja criar e, em seguida, modificando-o.
O Salesforce tem uma interface de usuário de perfil avançada que facilita localizar e alterar configurações de perfil. Usaremos isso neste exercício. Em Configuração, na caixa Busca rápida, insira Configurações de gerenciamento de usuários e selecione Configurações de gerenciamento de usuários. Ative Interface de usuário de perfil aprimorada.
- Em Configuração, na caixa Busca rápida, insira Perfis e depois selecione Perfis.
- Clique em Clonar ao lado de um perfil que seja semelhante ao que você deseja criar.
- Nomeie seu novo perfil e salve-o.
Atribuir um perfil
Depois de criar um perfil, personalize-o para corresponder às necessidades de um conjunto específico de usuários e atribua o perfil a eles.
- Certifique-se de que a interface de usuário de perfil avançada esteja ativada nas configurações de gerenciamento do usuário.
- Em Configuração, na caixa Busca rápida, insira Perfis e depois selecione Perfis.
- Clique no nome do perfil que você deseja personalizar.
- Edite o perfil usando as configurações e permissões mais restritivas que puder para esse tipo de usuário. (Não tenha medo de bloquear um usuário em relação a coisas que ele precise fazer. Abriremos outras oportunidades para ele na seção Usar os conjuntos de permissões para conceder acesso abaixo.)
- Em Configuração, na caixa Busca rápida, insira Usuários e selecione Usuários.
- Clique em Editar ao lado do usuário a que deseja atribuir o perfil.
- No menu suspenso Perfil, selecione o perfil que você acabou de configurar. Em seguida, clique em Salvar.
Usar os conjuntos de permissões para conceder acesso
Um conjunto de permissões é um conjunto de configurações e permissões que dão aos usuários acesso a várias ferramentas e funções. As configurações e permissões em conjuntos de permissões também são encontradas em perfis, mas os conjuntos de permissões estendem o acesso funcional dos usuários sem alterar seus perfis.
Os conjuntos de permissões facilitam a concessão e a revogação de acesso aos diversos aplicativos e objetos personalizados da sua organização.
Os usuários podem ter somente um perfil, mas podem ter vários conjuntos de permissões.
Você usará os conjuntos de permissões para duas finalidades gerais: conceder acesso a objetos ou a aplicativos e conceder permissões, temporárias ou de longa duração, a campos específicos.
Conceder acesso a objetos personalizados ou a aplicativos.
Digamos que você tem muitos usuários na sua organização com as mesmas funções de trabalho fundamentais. Você pode atribuir um perfil a todos eles que conceda acesso aos itens necessários para eles executarem seu trabalho. Mas alguns destes usuários estão trabalhando em um projeto especial e precisam acessar um aplicativo que ninguém mais usa. E digamos que outros usuários precisam acessar esse aplicativo e um outro aplicativo que o primeiro grupo não precisa. Se tivéssemos somente perfis, você teria que criar mais perfis personalizados para as necessidades desse pequeno grupo de usuários ou arriscar e adicionar mais acesso ao perfil original, disponibilizando os aplicativos para usuários que não precisam deles. Nenhuma dessas opções é ideal, especialmente se sua organização estiver crescendo e as necessidades de seus usuários mudarem regularmente.
Conceder permissões para campos específicos.
Digamos que você tem um usuário, Tom, que precisa ter acesso temporário de edição a um campo enquanto seu colega está de férias. Você pode criar um conjunto de permissões que conceda acesso ao campo e atribuir o conjunto de permissões a Tom. Quando o colega de Tom retornar das férias e Tom não precisar mais acessar o campo, basta remover a atribuição do conjunto de permissões do registro de usuário de Tom.
Gerenciando conjuntos de permissões
A página de visão geral de um conjunto de permissões é o ponto de entrada para todas as permissões desse conjunto. Para abrir uma página de visão geral do conjunto de permissões, em Configuração, na caixa Busca rápida, insira Conjuntos de permissões e selecione Conjuntos de permissões. Selecione o conjunto de permissões que você deseja visualizar. Em cada conjunto de permissões, as permissões e configurações são organizadas em configurações de aplicativos, configurações do sistema, permissões de objeto e permissões de campo.
Criar um conjunto de permissões
Crie um conjunto de permissões para conceder permissões adicionais a usuários específicos, além das permissões de perfil existentes, sem ter que modificar os perfis existentes, criar novos perfis ou conceder um perfil de administrador.
- Em Configuração, na caixa Busca rápida, insira Conjuntos de permissões e selecione Conjuntos de permissões.
- Clique em Clonar ao lado do conjunto que você deseja copiar. Um conjunto de permissões clonado tem a mesma licença de usuário do original. Para criar um conjunto com uma licença diferente, clique em New (Novo) (1).
- Digite um rótulo e uma descrição. O nome da API é um nome exclusivo usado pela API e pelos pacotes gerenciados. Ele repete o rótulo automaticamente, mas você pode modificá-lo.
- Em um conjunto de permissões novo, selecione uma opção de licença de usuário.
- Se você pretender atribuir este conjunto de permissões a diversos usuários com licenças diferentes, selecione --Nenhum--.
- Se esse conjunto de permissões for usado somente por usuários com um tipo de licença, selecione essa licença de usuário.
- Clique em Salvar para voltar à página de visão geral do conjunto de permissões.
- Na barra de ferramentas do conjunto de permissões, clique em Gerenciar atribuições e em Adicionar atribuições.
- Selecione os usuários a serem atribuídos a este conjunto de permissões e clique em Atribuir. Revise as mensagens na página Resumo da atribuição. Se nenhum usuário foi atribuído, a coluna Mensagem indica o motivo.
- Clique em Concluído para voltar a uma lista de todos os usuários atribuídos ao conjunto de permissões.
Perfis e conjuntos de permissões para o aplicativo Recruiting
Agora que você já viu como criar e modificar perfis e conjuntos de permissões, vamos configurar o acesso de nível de objeto apropriado para nosso exemplo do aplicativo Recruiting. O aplicativo possui quatro tipos de usuários principais: recrutadores, gerentes de contratação, entrevistadores e funcionários padrão.
Aqui estão as principais considerações para decidir se deseja criar um perfil ou um conjunto de permissões para cada tipo de usuário.
Recrutadores
Representam uma função de trabalho claramente definida e precisam acessar tipos de dados diferentes dos dados acessados por outros usuários. Por essa razão, faz sentido criar um perfil para os recrutadores.
Gerentes de contratação
Na maioria das organizações, um gerente de contratação do departamento de Vendas precisará acessar tipos de dados diferentes dos dados acessados por um gerente de contratação do departamento de Engenharia. No entanto, todos os gerentes de contratação ainda precisam dos mesmos tipos de acesso a dados de recrutamento: avaliações, candidatos, posições e formulários de emprego. Nesse caso, é conveniente criar um conjunto de permissões de gerente de contratação que possa ser atribuído a diferentes tipos de usuários.
Entrevistadores
Um funcionário de qualquer departamento e em qualquer função de trabalho pode ser convidado a realizar uma entrevista, que exige acesso a informações de recrutamento apenas por um determinado período de tempo. Faz sentido definir um conjunto de permissões para entrevistadores, uma vez que as permissões podem ser facilmente atribuídas e revogadas, conforme a necessidade.
Funcionários padrão
Este é um grupo genérico e não reflete uma função de trabalho específica. Para a maioria dos funcionários é possível criar um perfil de base que forneça acesso a um conjunto pequeno de dados e, em seguida, dependendo de suas especialidades, podemos criar e atribuir conjuntos de permissões para fornecer mais acesso a eles, conforme a necessidade.
A partir do que vimos anteriormente, a melhor maneira de configurar as permissões de objeto do aplicativo Recruiting é a seguinte:
- Crie dois perfis: Recrutadores e Funcionários padrão.
- Crie dois conjuntos de permissões: Gerentes de contratação e Entrevistadores.
- Atribua o perfil Funcionário padrão a gerentes de contratação e entrevistadores e, em seguida, conceda o conjunto de permissões apropriado para a função.
Recursos
-
Perfis
-
Viewing Profile Lists
-
Editar permissões de objeto em perfis
-
Permission Sets
-
Considerations for Permission Sets
-
Ativar a interface de visualização de perfil avançada
-
Security Implementation Guide