Controle o acesso aos registros

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:
  • Listar as quatro maneiras de controlar o acesso aos registros.
  • Descrever situações nas quais se usa cada um dos quatro controles de segurança ao nível do registro.
  • Explicar como os diferentes controles de registro interagem entre si.
  • Definir padrões de compartilhamento para toda a organização para controlar o acesso aos registros.

Segurança em nível de registro

Para controlar o acesso a dados com precisão, você pode permitir que determinados usuários visualizem campos específicos em um determinado objeto, mas pode restringir os registros individuais que eles podem visualizar.

O acesso aos registros determina quais registros individuais os usuários podem visualizar e editar em cada objeto ao qual têm acesso em seu perfil. Primeiro, faça a si mesmo estas perguntas:
  • Seus usuários devem ter acesso livre a todos os registros ou somente a um subconjunto?
  • Se a resposta for subconjunto, quais regras devem determinar se o usuário pode acessá-lo?

Digamos que você cria um novo perfil chamado Recrutador para dar as permissões em nível de objeto necessárias para os recrutadores. Você restringe a capacidade de excluir objetos relacionados ao recrutamento; assim, os recrutadores nunca poderão excluir esses objetos. Porém, conceder permissão a recrutadores para criar, ler ou editar objetos de recrutamento não significa necessariamente que eles possam ler ou editar todos os registros no objeto de recrutamento. Isso ocorre por conta de dois conceitos importantes:

  • As permissões em um registro são sempre avaliadas de acordo com a combinação das permissões no nível do objeto, no nível do campo e no nível do registro.
  • Quando há conflitos entre as permissões no nível do registro e as permissões no nível do objeto, as permissões mais restritivas são aplicadas.
Isso significa que mesmo quando você concede a um perfil permissões de criação, leitura e edição nos objetos de recrutamento, se as permissões no nível do registro de um registro de recrutamento individual forem mais restritivas, essas permissões mais restritivas definirão o que um recrutador pode acessar.

Você controla o acesso em nível do registro de quatro maneiras. Elas estão listadas em ordem crescente de acesso. Você pode usar os padrões para toda a organização para bloquear seus dados no nível mais restrito e, em seguida, usar as outras ferramentas de segurança no nível do registro para conceder acesso a usuários selecionados, conforme necessário.
  • Os Padrões para toda a organização especificam o nível padrão de acesso que os usuários têm aos registros uns dos outros.
  • As hierarquias de papéis garantem que os gerentes têm acesso aos mesmos registros que seus subordinados. Cada papel na hierarquia representa um nível de acesso a dados de que um usuário ou grupo de usuários precisa.
  • As regras de compartilhamento são exceções automáticas aos padrões para toda a organização para determinados grupos de usuários, a fim de dar a eles acesso aos registros que eles não têm ou que normalmente não poderiam ver.
  • O compartilhamento manual permite que os proprietários do registro concedam permissões de leitura e edição a usuários que não possuam acesso ao registro de outra forma.
Aumento dos níveis de visibilidade
A visibilidade de qualquer tipo de dados e o acesso aos mesmos são determinados pela interação dos controles de segurança acima, com base nestes princípios-chave.
  • As permissões básicas de um usuário em qualquer objeto são determinadas por seu perfil.
  • Se o usuário tiver quaisquer conjuntos de permissões atribuídos, eles também definirão as permissões básicas juntamente com o perfil.
  • O acesso a registros por um usuário que não seja seu proprietário é definido primeiramente pelos padrões para toda a organização.
  • Se os padrões para toda a organização forem inferiores a Leitura/Gravação pública, você pode reabrir o acesso a certos papéis usando a hierarquia de papéis.
  • Você pode usar regras de compartilhamento para expandir o acesso a grupos de usuários adicionais.
  • Cada proprietário do registro pode compartilhar manualmente registros individuais com outros usuários usando o botão Compartilhar no registro.

Você já viu como configurar o acesso em nível de objeto e em nível de campo usando perfis e conjuntos de permissões. Agora, vamos examinar em detalhe os diversos controles de segurança no nível do registro.

Compartilhamento para toda a organização

Os padrões para toda a organização especificam o nível de acesso básico que o usuário mais restrito deve ter. Use os padrões para toda a organização para bloquear seus dados, e use as outras ferramentas de segurança e compartilhamento no nível do registro (hierarquias de papéis, regras de compartilhamento e compartilhamento manual) para liberar os dados para os outros usuários que precisam acessá-los.

As permissões de objeto determinam o nível de acesso básico para todos os registros de um objeto. Os padrões para toda a organização modificam aquelas permissões de acesso a registros que os usuários não têm. As configurações de compartilhamento para toda a organização podem ser definidas separadamente para cada tipo de objeto.

Os padrões para toda a organização nunca podem conceder mais acesso aos usuários do que eles têm por meio da permissão de objeto.

Para determinar os padrões para toda a organização que você precisa para seu aplicativo, faça a si mesmo estas perguntas sobre cada objeto:
  1. Quem é o usuário com mais restrições deste objeto?
  2. Existirá uma instância deste objeto que este usuário não deverá ter permissão para visualizar?
  3. Existirá uma instância deste objeto que este usuário não deverá ter permissão para editar?
Um diagrama para determinar o modelo de compartilhamento para objetos

Com base em suas respostas, você pode definir o modelo de compartilhamento desse objeto para uma dessas configurações.

Particular 
Somente o proprietário do registro e os usuários superiores na hierarquia podem ver, editar e gerar relatório desses registros.

Somente leitura pública

Todos os usuários podem visualizar e gerar relatórios sobre registros, mas somente o proprietário e os usuários acima deste nível na hierarquia de papéis podem editá-los.

Leitura/gravação pública
Todos os usuários podem ver, editar e gerar relatório de todos os registros.

Controlado pelo pai 
Um usuário pode visualizar, editar ou excluir um registro se ele puder realizar a mesma ação no registro ao qual ele pertence.

Quando a configuração de compartilhamento para toda a organização para um objeto é Particular ou Somente leitura pública, um administrador pode conceder aos usuários acesso adicional a registros configurando uma hierarquia de papéis ou definindo regras de compartilhamento. As regras de compartilhamento só podem ser usadas para conceder acesso adicional. Elas não podem ser usadas para restringir o acesso aos registros além do que foi originalmente especificado com os padrões de compartilhamento para toda a organização.

Como um exemplo, vamos avançar e responder à lista de perguntas acima para o objeto Posição no aplicativo Recruiting.

Quem é o usuário mais restrito deste objeto?
Um membro do perfil Funcionário padrão. Ele pode somente visualizar uma posição.

Existirá uma instância deste objeto que este usuário não deverá ter permissão para visualizar?
Não. Os valores dos campos de salário mínimo e máximo estão ocultos para os funcionários padrão, mas eles têm permissão para visualizar todos os registros de posição.

Existirá uma instância deste objeto que este usuário não deverá ter permissão para editar?
Sim. Os funcionários padrão não têm permissão para editar registros de posição.

Como respondemos “Sim” para a pergunta número 3, o modelo de compartilhamento do objeto Posição deve ser configurado como Somente leitura pública. Ao repetir o mesmo exercício com os outros objetos de recrutamento, você pode facilmente descobrir as configurações padrão para toda a organização adequadas para eles. O perfil Funcionário padrão é o usuário mais restrito para cada objeto e existirão registros de candidato, formulário de emprego e revisão que determinados funcionários não conseguirão visualizar. Consequentemente, o modelo de compartilhamento para os objetos Candidato, Formulário de emprego e Revisão deve ser configurado como Particular.
Nota

Nota

Você não pode definir os padrões para toda a organização para o objeto Revisão porque o objeto está no lado do detalhe de um relacionamento entre mestre e detalhes, e um registro de detalhe herda automaticamente a configuração de compartilhamento de seu pai. Então, em nosso aplicativo, o objeto Revisão é automaticamente definido como Particular.

Definir padrões de compartilhamento para toda a organização

Use os padrões para toda a organização para especificar o nível de acesso básico que o usuário mais restrito deve ter.
  1. Em Configuração, use a caixa Busca rápida para encontrar Configurações de compartilhamento.
  2. Clique em Editar na área Padrões para toda a organização. A página de edição dos padrões para toda a organização
  3. Para cada objeto, selecione o acesso padrão que deseja atribuir a todos.
  4. Para desativar o acesso automático usando suas hierarquias, desmarque Conceder acesso usando hierarquias para qualquer objeto personalizado que não tenha o acesso padrão Controlado pelo pai.
Por padrão, uma hierarquia de papéis concede acesso de registros automaticamente para os usuários acima do proprietário do registro na hierarquia. Configurar um objeto como Particular torna esses registros visíveis apenas aos proprietários de registros e àqueles acima deles na hierarquia de papéis. Use a caixa de seleção Conceder acesso usando hierarquia para desativar o acesso a registros para usuários acima do proprietário do registro na hierarquia para objetos personalizados. Se você desmarcar essa caixa de seleção de um objeto personalizado, somente o proprietário do registro e os usuários que tiverem acesso por meio de padrões para toda a organização receberão acesso aos registros.

Mesmo que a opção Conceder acesso usando hierarquias esteja desmarcada, alguns usuários, como aqueles com as permissões de objeto “Exibir tudo” e “Modificar tudo” e as permissões do sistema “Exibir todos os dados” e “Modificar todos os dados”, ainda poderão acessar os registros que eles não possuem.

Nota

Nota

Após a atualização dos padrões para toda a organização, o compartilhamento é recalculado automaticamente para aplicar qualquer alteração de acesso a seus registros. Quando o recálculo estiver concluído, você receberá um email de notificação e poderá atualizar a página Configurações de compartilhamento para ver as alterações. Para exibir o status de atualização, em Configuração, insira Exibir trilha de auditoria de configuração na caixa Busca rápida e selecione Exibir trilha de auditoria de configuração.

Após bloquear seus dados com os padrões para toda a organização, as configurações resultantes podem ser muito restritivas para algumas pessoas. Nesse caso, você pode usar os controles de segurança restantes no nível do registro: hierarquias de papéis, regras de compartilhamento, e compartilhamento manual para abrir o acesso ao registro especificamente para os funcionários que precisam dele.

Quero saber mais...

O compartilhamento gerenciado do Apex permite que os desenvolvedores compartilhem programaticamente registros associados a objetos personalizados. Quando você usa o compartilhamento gerenciado do Apex para um objeto personalizado, somente os usuários com a permissão “Modificar todos os dados” poderão adicionar ou alterar o compartilhamento nos registros desse objeto personalizado, e o acesso de compartilhamento será mantido mesmo se o proprietário do registro mudar. Para obter mais informações, consulte Compartilhamento do Apex.

Continue a aprender de graça!
Inscreva-se em uma conta para continuar.
O que você ganha com isso?
  • Receba recomendações personalizadas para suas metas de carreira
  • Pratique suas habilidades com desafios práticos e testes
  • Monitore e compartilhe seu progresso com os empregadores
  • Conecte-se a orientação e oportunidades de carreira