Skip to main content

Expanda seu negócio com o Salesforce Starter

Melhore o relacionamento com os clientes usando vendas, atendimento e marketing em um aplicativo.

Avaliação gratuita de 30 dias
Tempo estimado

Controle o acesso aos registros

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Listar as quatro maneiras de controlar o acesso aos registros.
  • Descrever situações nas quais se usa cada um dos quatro controles de segurança ao nível do registro.
  • Explicar como os diferentes controles de registro interagem entre si.
  • Definir padrões de compartilhamento para toda a organização para controlar o acesso aos registros.
Nota

Nota

Deseja aprender em português (Brasil)? Comece o desafio em um Trailhead Playground de português (Brasil) e copie e cole os valores de português (Brasil). Se você não passar no desafio em sua organização de português (Brasil), recomendamos que (1) mude o local para os Estados Unidos, (2) mude o idioma para inglês, seguindo as instruções aqui, e (3) clique novamente no botão “Validar o desafio”.

Consulte o emblema Trailhead no seu idioma para saber mais sobre como aproveitar a experiência de Trailhead em outros idiomas.

Segurança em nível de registro

Para controlar o acesso a dados com precisão, você pode permitir que determinados usuários visualizem campos específicos em um determinado objeto, mas pode restringir os registros individuais que eles podem visualizar.

O acesso aos registros determina quais registros individuais os usuários podem visualizar e editar em cada objeto ao qual têm acesso em seu perfil. Primeiro, faça a si mesmo estas perguntas:

  • Seus usuários devem ter acesso livre a todos os registros ou somente a um subconjunto?
  • Se a resposta for subconjunto, quais regras devem determinar se o usuário pode acessá-lo?

Para nosso aplicativo de exemplo, o Recruiter, digamos que você criaria um novo perfil chamado Recrutador para dar as permissões em nível de objeto necessárias para os recrutadores. Você restringe a capacidade de excluir objetos relacionados ao recrutamento; assim, os recrutadores nunca poderão excluir esses objetos. Porém, conceder permissão a recrutadores para criar, ler ou editar objetos de recrutamento não significa necessariamente que eles possam ler ou editar todos os registros no objeto de recrutamento. Isso ocorre por conta de dois conceitos importantes:

  • As permissões em um registro são sempre avaliadas de acordo com a combinação das permissões no nível do objeto, no nível do campo e no nível do registro.
  • Quando há conflitos entre as permissões no nível do registro e as permissões no nível do objeto, as permissões mais restritivas são aplicadas.

Isso significa que mesmo quando você concede a um perfil permissões de criação, leitura e edição nos objetos de recrutamento, se as permissões no nível do registro de um registro de recrutamento individual forem mais restritivas, essas permissões mais restritivas definirão o que um recrutador pode acessar. No entanto, como você verá, as permissões no nível do registro oferecem camadas em ordem crescente de acesso; portanto, é importante saber que permissões no nível do registro são observadas para entender o nível de acesso que um usuário tem.

Você controla o acesso em nível do registro de quatro maneiras. Elas estão listadas em ordem crescente de acesso. Você pode usar os padrões para toda a organização para bloquear seus dados no nível mais restrito e, em seguida, usar as outras ferramentas de segurança no nível do registro para conceder acesso a usuários selecionados, conforme necessário.

  • Os Padrões para toda a organização especificam o nível padrão de acesso que os usuários têm aos registros uns dos outros.
  • As hierarquias de papéis garantem que os gerentes têm acesso aos mesmos registros que seus subordinados. Cada papel na hierarquia representa um nível de acesso a dados de que um usuário ou grupo de usuários precisa.
  • As regras de compartilhamento são exceções automáticas aos padrões para toda a organização para determinados grupos de usuários, a fim de dar a eles acesso aos registros que eles não têm ou que normalmente não poderiam ver.
  • O compartilhamento manual permite que os proprietários do registro concedam permissões de leitura e edição a usuários que não possuam acesso ao registro de outra forma.

Aumento dos níveis de visibilidade

A visibilidade de qualquer tipo de dados e o acesso aos mesmos são determinados pela interação dos controles de segurança acima, com base nestes princípios-chave.

  • As permissões básicas de um usuário em qualquer objeto são determinadas por seu perfil.
  • Se o usuário tiver quaisquer conjuntos de permissões atribuídos, eles também definirão as permissões básicas juntamente com o perfil.
  • O acesso a registros por um usuário que não seja seu proprietário é definido primeiramente pelos padrões para toda a organização.
  • Se os padrões para toda a organização forem inferiores a Leitura/Gravação pública, você pode reabrir o acesso a certos papéis usando a hierarquia de papéis.
  • Você pode usar regras de compartilhamento para expandir o acesso a grupos de usuários adicionais.
  • Cada proprietário do registro pode compartilhar manualmente registros individuais com outros usuários usando o botão Compartilhar no registro.

Você já viu como configurar o acesso em nível de objeto e em nível de campo usando perfis e conjuntos de permissões. Agora, vamos examinar em detalhe os diversos controles de segurança no nível do registro.

Compartilhamento para toda a organização

Os padrões para toda a organização especificam o nível de acesso básico que o usuário mais restrito deve ter. Use os padrões para toda a organização para bloquear seus dados, e use as outras ferramentas de segurança e compartilhamento no nível do registro (hierarquias de papéis, regras de compartilhamento e compartilhamento manual) para liberar os dados para os outros usuários que precisam acessá-los.

As permissões de objeto determinam o nível de acesso básico para todos os registros de um objeto. Os padrões para toda a organização modificam aquelas permissões de acesso a registros que os usuários não têm. As configurações de compartilhamento para toda a organização podem ser definidas separadamente para cada tipo de objeto.

Os padrões para toda a organização nunca podem conceder mais acesso aos usuários do que eles têm por meio da permissão de objeto.

Para determinar os padrões para toda a organização que você precisa para seu aplicativo, faça a si mesmo estas perguntas sobre cada objeto:

  1. Quem é o usuário com mais restrições deste objeto?
  2. Existirá uma instância deste objeto que este usuário não deverá ter permissão para visualizar?
  3. Existirá uma instância deste objeto que este usuário não deverá ter permissão para editar?

Um diagrama para determinar o modelo de compartilhamento para objetos

Com base em suas respostas, você pode definir o modelo de compartilhamento desse objeto para uma dessas configurações.

Privado 

Somente o proprietário do registro e os usuários superiores na hierarquia podem ver, editar e gerar relatório desses registros.

Somente leitura pública

Todos os usuários podem visualizar e gerar relatórios sobre registros, mas somente o proprietário e os usuários acima deste nível na hierarquia de papéis podem editá-los.

Leitura/gravação pública

Todos os usuários podem ver, editar e gerar relatório de todos os registros.

Controlado pelo pai 

Um usuário pode visualizar, editar ou excluir um registro se ele puder realizar a mesma ação no objeto ao qual ele pertence.

Quando a configuração de compartilhamento para toda a organização para um objeto é Private (Particular) ou Public Read Only (Somente leitura pública), um administrador pode conceder aos usuários acesso adicional a registros configurando uma hierarquia de papéis ou definindo regras de compartilhamento. As regras de compartilhamento só podem ser usadas para conceder acesso adicional. Elas não podem ser usadas para restringir o acesso aos registros além do que foi originalmente especificado com os padrões de compartilhamento para toda a organização.

Como um exemplo, vamos avançar e responder à lista de perguntas acima para o objeto Posição no aplicativo Recruiting.

Quem é o usuário com mais restrições deste objeto?

Um membro do perfil Funcionário padrão. Ele pode somente visualizar uma posição.

Existirá uma instância deste objeto que este usuário não deverá ter permissão para visualizar?

Não. Os valores dos campos de salário mínimo e máximo estão ocultos para os funcionários padrão, mas eles têm permissão para visualizar todos os registros de posição.

Existirá uma instância deste objeto que este usuário não deverá ter permissão para editar?

Sim. Os funcionários padrão não têm permissão para editar registros de posição.

Como respondemos “Sim” para a pergunta número 3, o modelo de compartilhamento do objeto Posição deve ser configurado como Somente leitura pública. Ao repetir o mesmo exercício com os outros objetos de recrutamento, você pode facilmente descobrir as configurações padrão para toda a organização adequadas para eles. O perfil Funcionário padrão é o usuário mais restrito para cada objeto e existirão registros de candidato, formulário de emprego e revisão que determinados funcionários não conseguirão visualizar. Consequentemente, o modelo de compartilhamento para os objetos Candidate (Candidato), Job Application (Formulário de emprego) e Review (Revisão) deve ser configurado como Private (Particular).

Nota

Você não pode definir os padrões para toda a organização para o objeto Revisão porque o objeto está no lado do detalhe de um relacionamento entre mestre e detalhes, e um registro de detalhe herda automaticamente a configuração de compartilhamento de seu pai. Então, em nosso aplicativo, o objeto Revisão é automaticamente definido como Private (Particular).

Definir padrões de compartilhamento para toda a organização

Use os padrões para toda a organização para especificar o nível de acesso básico que o usuário mais restrito deve ter.

  1. Em Configuração, na caixa Busca rápida, insira Configurações de compartilhamento e selecione Configurações de compartilhamento.
  2. Clique em Editar na área Padrões para toda a organização. Observe que alguns objetos padrão usam diferentes opções padrão para toda a organização. As opções padrão personalizadas para toda a organização de objetos incluem Somente leitura privada/pública ou Leitura/Gravação pública.
  3. Para cada objeto, selecione o acesso interno padrão e o acesso externo padrão.
  4. Para desativar o acesso automático usando suas hierarquias, desmarque Conceder acesso usando hierarquias para qualquer objeto personalizado que não tenha o acesso padrão Controlado pelo pai.

Por padrão, uma hierarquia de papéis concede acesso de registros automaticamente para os usuários acima do proprietário do registro na hierarquia. Configurar um objeto como Private (Particular) torna esses registros visíveis apenas aos proprietários de registros e àqueles acima deles na hierarquia de papéis. Use a caixa de seleção Grant Access Using Hierarchies (Conceder acesso usando hierarquias) para desativar o acesso a registros para usuários acima do proprietário do registro na hierarquia para objetos personalizados. Se você desmarcar essa caixa de seleção de um objeto personalizado, somente o proprietário do registro e os usuários que tiverem acesso por meio de padrões para toda a organização receberão acesso aos registros.

Mesmo que a opção Grant Access Using Hierarchies (Conceder acesso usando hierarquias) esteja desmarcada, alguns usuários, como aqueles com as permissões de objeto “View All” (“Exibir tudo”) e “Modify All” (“Modificar tudo”) e as permissões do sistema “View All Data” (“Exibir todos os dados”) e “Modify All Data” (“Modificar todos os dados”), ainda poderão acessar os registros que eles não possuem.

Nota

Após a atualização dos padrões para toda a organização, o compartilhamento é recalculado automaticamente para aplicar qualquer alteração de acesso a seus registros. Quando o recálculo estiver concluído, você receberá um email de notificação e poderá atualizar a página Configurações de compartilhamento para ver as alterações. Para exibir o status de atualização, em Configuração, na caixa Busca rápida, insira View Setup Audit Trail (Exibir trilha de auditoria de configuração) e, em seguida, selecione View Setup Audit Trail (Exibir trilha de auditoria de configuração).

Após bloquear seus dados com os padrões para toda a organização, as configurações resultantes podem ser muito restritivas para algumas pessoas. Nesse caso, você pode usar os controles de segurança restantes no nível do registro: hierarquias de papéis, regras de compartilhamento, e compartilhamento manual para abrir o acesso ao registro especificamente para os funcionários que precisam dele.

Quero saber mais...

O compartilhamento gerenciado do Apex permite que os desenvolvedores compartilhem programaticamente registros associados a objetos personalizados. Quando você usa o compartilhamento gerenciado do Apex para um objeto personalizado, somente os usuários com a permissão “Modificar todos os dados” poderão adicionar ou alterar o compartilhamento nos registros desse objeto personalizado, e o acesso de compartilhamento será mantido mesmo se o proprietário do registro mudar. Para obter mais informações, consulte Compartilhamento do Apex.

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback