Controle o acesso aos registros

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

• Listar as quatro maneiras de controlar o acesso aos registros.
  
• Descrever situações nas quais se usa cada um dos quatro controles de segurança ao nível do registro.
  
• Explicar como os diferentes controles de registro interagem entre si.
  
• Definir padrões de compartilhamento para toda a organização para controlar o acesso aos registros.
  

Nota

Deseja aprender em português (Brasil)? Comece o desafio em um Trailhead Playground de português (Brasil) e copie e cole os valores de português (Brasil). Se você não passar no desafio em sua organização de português (Brasil), recomendamos que (1) mude o local para os Estados Unidos, (2) mude o idioma para inglês, seguindo as instruções aqui, e (3) clique novamente no botão “Validar o desafio”.

Consulte o emblema Trailhead no seu idioma para saber mais sobre como aproveitar a experiência de Trailhead em outros idiomas.

Segurança em nível de registro

Para controlar o acesso a dados com precisão, você pode permitir que determinados usuários visualizem campos específicos em um determinado objeto, mas pode restringir os registros individuais que eles podem visualizar. O acesso a registros determina quais registros individuais os usuários podem visualizar e editar em cada objeto ao qual eles têm acesso. Primeiro, faça a si mesmo estas perguntas:

• Seus usuários devem ter acesso livre a todos os registros ou somente a um subconjunto?
  
• Se a resposta for subconjunto, quais regras devem determinar se o usuário pode acessá-lo?
  

Para o aplicativo Recruiting de exemplo, você criou um novo grupo de conjunto de permissões chamado Recruiters (Recrutadores) para dar as permissões em nível de objeto necessárias para os recrutadores. Você restringiu a capacidade de excluir objetos relacionados ao recrutamento; assim, os recrutadores nunca poderão excluir esses objetos. Porém, conceder permissão a recrutadores para criar, ler ou editar objetos de recrutamento não significa necessariamente que eles possam ler ou editar todos os registros no objeto de recrutamento. Este comportamento ocorre porque a segurança em nível de registro controla o acesso que os usuários têm aos registros que não pertencem a eles.

Os recursos em nível de registro oferecem camadas em ordem crescente de acesso; portanto, é importante saber quais recursos em nível de registro são configurados e como entender o nível de acesso que um usuário tem.

Você controla o acesso em nível do registro de quatro maneiras. Elas estão listadas em ordem crescente de acesso. Você pode usar os padrões para toda a organização para bloquear seus dados no nível mais restrito e, em seguida, usar as outras ferramentas de segurança em nível de registro para conceder acesso a usuários selecionados, conforme necessário.

• Os Padrões para toda a organização especificam o nível padrão de acesso que os usuários têm aos registros que não pertencem a eles.
  
• As hierarquias de papéis garantem que os gerentes têm acesso aos mesmos registros que seus subordinados. Cada papel na hierarquia representa um nível de acesso a dados de que um usuário ou grupo de usuários precisa.
  
• As Regras de compartilhamento são exceções automáticas aos padrões para toda a organização para determinados grupos de usuários, a fim de dar a eles acesso aos registros que eles não têm ou que normalmente não poderiam ver.
  
• O Compartilhamento manual permite que os proprietários do registros com permissões suficientes concedam acesso de leitura e edição aos usuários que não tenham acesso ao registro de outra forma.
  

A visibilidade de qualquer tipo de dados e o acesso aos mesmos são determinados pela interação dos controles de segurança acima, com base nestes princípios-chave.

• As permissões básicas de um usuário em qualquer objeto são determinadas por seus conjuntos de permissões combinados, grupos de conjuntos de permissões e perfil.
  
• O acesso a registros por um usuário que não seja proprietário dos mesmos é definido primeiramente pelos padrões para toda a organização.
  
• Se os padrões para toda a organização forem inferiores a Public Read/Write (Leitura/Gravação pública), é possível reabrir o acesso a certos papéis usando a hierarquia de papéis.
  
• Você pode usar regras de compartilhamento para expandir o acesso a grupos de usuários adicionais.
  
• Cada proprietário do registro pode compartilhar manualmente registros individuais com outros usuários usando o botão Compartilhar no registro.
  

O Salesforce oferece recursos adicionais para gerenciar o acesso a registros que podem ser úteis dependendo das suas necessidades comerciais. Para mais informações, consulte Configurar o acesso a registros para seus usuários na Ajuda do Salesforce.

No restante deste módulo, você saberá mais sobre como controlar o acesso aos registros. Nesta unidade, você vai se aprofundar na configuração de padrões para toda a organização.

Padrões para toda a organização

Os Padrões para toda a organização especificam o nível de acesso básico que os usuários têm aos registros que não pertencem a eles. A configuração deve representar o acesso que o usuário mais restrito deve ter. Use os padrões para toda a organização para bloquear seus dados, e use as outras ferramentas de segurança e compartilhamento no nível do registro (hierarquias de papéis, regras de compartilhamento e compartilhamento manual) para liberar os dados para os outros usuários que precisam acessá-los.

As permissões de objeto determinam o nível de acesso básico para todos os registros de um objeto e os padrões para toda a organização modificam aquelas permissões de acesso a registros que os usuários não têm. Os padrões para toda a organização nunca podem conceder mais acesso aos usuários do que eles têm por meio da permissão de objeto. Os padrões para toda a organização podem ser definidos separadamente para cada tipo de objeto e para usuários internos ou externos.

Para determinar os padrões para toda a organização que você precisa para seu aplicativo, faça a si mesmo estas perguntas sobre cada objeto:

1. Quem é o usuário com mais restrições deste objeto?
   
2. Existirá uma instância deste objeto que este usuário não deverá ter permissão para visualizar?
   
3. Existirá uma instância deste objeto que este usuário não deverá ter permissão para editar?
   

Com base em suas respostas, você pode definir o modelo de compartilhamento desse objeto para uma dessas configurações.

• Privado: Somente o proprietário do registro e os usuários superiores na hierarquia podem ver, editar e gerar relatório desses registros.
  
• Public Read Only (Somente leitura pública): Todos os usuários podem visualizar e gerar relatórios sobre registros, mas somente o proprietário e os usuários acima deste nível na hierarquia de papéis podem editá-los.
  
• Public Read/Write (Leitura/Gravação pública): Todos os usuários podem ver, editar e gerar relatório de todos os registros.
  
• Controlado pelo pai: Um usuário pode visualizar, editar ou excluir um registro se ele puder realizar a mesma ação no objeto ao qual ele pertence.
  

Quando a configuração de compartilhamento para toda a organização para um objeto é Private (Particular) ou Public Read Only (Somente leitura pública), um administrador pode conceder aos usuários acesso adicional a registros configurando uma hierarquia de papéis ou definindo regras de compartilhamento. As regras de compartilhamento só podem ser usadas para conceder acesso adicional. Elas não podem ser usadas para restringir o acesso aos registros além do que foi originalmente especificado com os padrões de compartilhamento para toda a organização.

Como exemplo, vamos responder às perguntas da lista acima para o objeto Position (Vaga) no aplicativo Recruiting.

1. Quem é o usuário com mais restrições deste objeto?
   

Um funcionário padrão, que só tem permissão para visualizar uma vaga.

2. Existirá uma instância deste objeto que este usuário não poderá ter permissão para visualizar?
   

Não. Os valores dos campos de bônus mínimo e máximo estão ocultos para os funcionários padrão, mas eles têm permissão para visualizar todos os registros de vagas.

3. Existirá uma instância deste objeto que este usuário não deverá ter permissão para editar?
   

Sim. Os funcionários padrão não têm permissão para editar registros de posição.

Como a resposta à pergunta número 3 é “Sim”, o modelo de compartilhamento do objeto Position (Vaga) deverá ser configurado como Public Read Only (Somente leitura pública). Ao repetir o mesmo exercício com os outros objetos de recrutamento, você pode facilmente descobrir as configurações padrão para toda a organização adequadas para eles. O funcionário padrão é o usuário mais restrito de cada objeto e existirão registros de candidato, formulário de emprego e revisão que determinados funcionários não conseguirão visualizar. Consequentemente, o modelo de compartilhamento para os objetos Candidate (Candidato), Job Application (Formulário de emprego) e Review (Revisão) deve ser configurado como Private (Particular).

Você não pode definir os padrões para toda a organização para o objeto Review (Revisão) porque o objeto está no lado do detalhe de um relacionamento entre mestre e detalhes, e um registro de detalhe herda automaticamente a configuração de compartilhamento de seu pai. Então, em nosso aplicativo, o objeto Review (Revisão) é automaticamente definido como Private (Particular).

Definir padrões de compartilhamento para toda a organização

Use os padrões para toda a organização para especificar o nível de acesso básico que o usuário mais restrito deve ter.

1. Em Setup (Configuração), na caixa Quick Find (Busca rápida), pesquise por e selecione Sharing Settings (Configurações de compartilhamento).
   
2. Clique em Editar na área Padrões para toda a organização.
   

3. Para cada objeto, selecione o acesso interno padrão e o acesso externo padrão. Como visto anteriormente, você configura o acesso interno padrão de Position (Vaga) como Public Read Only (Somente leitura pública) e de Candidate (Candidato), Job Application (Formulário de emprego) e Review (Revisão) como Private (Privado). O acesso externo padrão para todos os quatro objetos é definido como Private (Privado).
   

Alguns objetos padrão usam diferentes opções padrão para toda a organização. As opções padrão personalizadas para toda a organização de objetos incluem Somente leitura privada/pública ou Leitura/Gravação pública.

4. Para desativar o acesso automático usando sua hierarquia de papéis, você pode desmarcar Grant Access Using Hierarchies (Conceder acesso usando hierarquias) para qualquer objeto personalizado que não tenha o acesso padrão Controlado pelo pai. Se você desmarcar essa caixa de seleção, somente o proprietário do registro e os usuários que tiverem acesso por meio de recursos de compartilhamento receberão acesso aos registros.
   
5. Clique em Save (Salvar) quando terminar de configurar o acesso.
   

Após a atualização dos padrões para toda a organização, o compartilhamento é recalculado automaticamente para aplicar qualquer alteração de acesso a seus registros. Quando o recálculo estiver concluído, você receberá um email de notificação e poderá atualizar a página Configurações de compartilhamento para ver as alterações. Para exibir o status de atualização, em Setup (Configuração), na caixa Quick Find (Busca rápida), pesquise por e selecione View Setup Audit Trail (Exibir trilha de auditoria de configuração).

Após bloquear seus dados com os padrões para toda a organização, as configurações resultantes podem ser muito restritivas para alguns usuários. Você pode usar os controles de segurança de outro nível do registro, como hierarquias de papéis, regras de compartilhamento, e compartilhamento manual para abrir o acesso ao registro especificamente para os funcionários que precisam dele.

Recursos

• Ajuda do Salesforce: Configurar acesso a registros para seus usuários
• Ajuda do Salesforce: Padrões de compartilhamento para toda a organização
• Ajuda do Salesforce: Sharing Considerations