Controle o acesso aos objetos
Objetivos de aprendizagem
Gerenciar permissões de objeto
A maneira mais simples de controlar o acesso a dados é definindo permissões em um determinado tipo de objeto. (Um objeto é um conjunto de registros, como leads ou contatos.) Você pode controlar se um grupo de usuários pode criar, visualizar, editar ou excluir qualquer registro desse objeto.
- O perfil de um usuário determina os objetos que ele pode acessar e as ações que ele pode realizar com qualquer registro de objeto (como criar, ler, editar ou excluir).
- Os conjuntos de permissões concedem permissões adicionais e configurações de acesso ao usuário.
Use perfis para conceder as permissões e configurações mínimas que todos os usuários de um determinado tipo precisam. Em seguida, use os conjuntos de permissões para conceder mais permissões, conforme necessário. A combinação de conjuntos de perfis e permissões oferece uma grande flexibilidade ao especificar o acesso em nível de objeto.
Permissões de objeto para o aplicativo Recruiting
Como exemplo, vamos explorar a forma como você pode configurar o acesso ao nível de objeto no aplicativo Recruiting. (Observe que, como isso é um exemplo, você não verá esse aplicativo em sua organização!) O aplicativo tem quatro tipos principais de usuários: gerentes de contratação, recrutadores, entrevistadores e funcionários padrão. Quais tipos de acesso a objetos cada tipo de usuário precisa?
Gerentes de contrataçãoBen, gerente de contratação, deve ser capaz de acessar os registros de recrutamento relacionados às suas posições em aberto, mas não deve ter acesso a outros registros de recrutamento (exceto os registros pertencentes a outros gerentes de contratação que são seus subordinados). Além disso, ele não deve visualizar determinados campos confidenciais, como o campo de número de segurança social. Vamos considerar as permissões que Ben precisa para cada um dos principais objetos personalizados no aplicativo.
- Posição — Ben também deve ser capaz de publicar novas posições e também atualizar e visualizar todos os campos das posições nas quais ele é o gerente de contratação, mas deve apenas visualizar as posições dos outros gerentes.
- Candidato — Ben deve ser capaz de visualizar somente os candidatos que se candidataram para uma posição em que ele é o gerente de contratação. Além disso, como não há necessidade de Ben visualizar o número de CPF do candidato, ele não deve ter permissão para visualizar esse campo.
- Formulário de emprego — Ben precisa atualizar o status dos formulários de emprego para especificar quais candidatos devem ser selecionados ou rejeitados. No entanto, ele não deve ser capaz de alterar o candidato listado no formulário de emprego e a posição na qual o candidato está se candidatando, então precisamos encontrar uma forma de evitar que Ben atualize os campos de pesquisa nos formulários de emprego.
- Revisão — Para tomar uma decisão sobre os candidatos que estão se candidatando, Ben precisa visualizar as revisões publicadas pelos entrevistadores e fazer comentários sobre elas, se achar que o entrevistador foi tendencioso em sua revisão. Da mesma forma, Ben precisa criar revisões para que possa se lembrar das suas impressões sobre os candidatos que ele entrevistou.
Mario, um dos recrutadores, precisa conseguir criar, visualizar e modificar as posições, os candidatos, os formulários de emprego ou as revisões disponíveis no sistema. Ele também precisa visualizar e modificar os registros de recrutamento de todos os outros recrutadores, visto que todos os recrutadores trabalham juntos para preencher todas as posições, independentemente de quem as criou.
Precisamos garantir que nenhum recrutador excluirá acidentalmente um registro com informações sobre um candidato. Isso porque as leis estaduais e federais exigem que os registros relacionados ao recrutamento sejam guardados durante alguns anos para que, se uma decisão de contratação for questionada, ela possa ser defendida em tribunal.
Entrevistadores
Melissa é uma engenheira que entrevista candidatos para cargos altamente técnicos. Ela deve ser capaz de visualizar somente os candidatos e formulários de emprego para os quais ela é designada como entrevistadora. Além disso, ela não deve ser capaz de ver os valores salariais mínimos e máximos de nenhum dos cargos ou os números da segurança social dos candidatos, pois isso é informação sigilosa que não tem nada a ver com seu trabalho.
Funcionários padrão
Funcionários, como Harry, costumam ser os melhores recursos para o recrutamento de novos contratados, mesmo que não sejam ativamente gerentes de contratação ou entrevistadores. Por essa razão, precisamos nos certificar de que esses funcionários podem visualizar as posições em aberto, mas não podem visualizar os campos de salário mínimo e máximo das posições; caso contrário, poderiam sugerir aos amigos a negociação da posição pelo valor máximo do salário! Harry também não deve ser capaz de visualizar outros registros no aplicativo Recruiting.
Aqui estão as permissões necessárias para cada um dos quatro tipos de usuários.
Objeto personalizado | Recrutador | Gerente de contratação | Entrevistador | Funcionário padrão |
---|---|---|---|---|
Posição | Ler Criar Editar | Ler Criar Editar* | Ler (sem salário mín./máx.) | Ler (sem salário mín./máx.) |
Candidato | Ler Criar Editar | Ler* (sem SSN) | Ler* (sem SSN) | Não aplicável |
Formulário de emprego | Ler Criar Editar | Ler Editar (sem campos de pesquisa) | Ler * | Não aplicável |
Revisão | Ler Criar Editar | Ler Criar Editar | Ler ** Criar Editar ** | Não aplicável |
* Somente para registros associados a uma posição à qual o gerente de contratação ou entrevistador foi atribuído.
** Somente para registros de propriedade do entrevistador.
No restante do módulo, você aprenderá como pode usar a plataforma para implementar essas regras no aplicativo Recruiting. Como você verá, isso exigirá a configuração de controles de segurança nos três níveis: objetos, campos e registros.
Usar perfis para limitar o acesso
- As configurações no perfil de um usuário determinam se ele pode ver um aplicativo, guia, campo ou tipo de registro específico.
- As permissões no perfil de um usuário determinam se ele pode criar ou editar registros de um determinado tipo, executar relatórios e personalizar o aplicativo.
Os perfis geralmente correspondem à função de trabalho de um usuário (por exemplo, administrador do sistema, recrutador ou gerente de contratação), mas você pode ter perfis para qualquer coisa que faça sentido na sua organização do Salesforce. Um perfil pode ser atribuído a muitos usuários, mas um usuário só pode ter um perfil por vez.
Perfis padrão
A plataforma inclui um conjunto de perfis padrão. Algumas exceções são:
- Usuário padrão
- Usuário do Marketing
- Gerente do contrato
- Administrador de sistemas
- Acesso mínimo - Salesforce
- Exibir todos os dados
- Modificar todos os dados
Essas permissões substituem todas as outras configurações de compartilhamento; por isso, tome cuidado ao atribuí-las a qualquer perfil que não seja o de Administrador do sistema. Você pode visualizar uma lista de todos os perfis padrão e personalizados na área Configuração.
Você não poderá editar as permissões de objeto em um perfil padrão. No entanto, você pode clonar um perfil existente e usar isso como base para um novo perfil, ajustando os aplicativos e configurações do sistema conforme precisar. Por exemplo, no aplicativo Recruiting, você pode criar três novos perfis, um para cada recrutador, entrevistador e gerente de contratação. Cada perfil pode então ser configurado para fornecer o tipo específico de acesso a dados necessário para um determinado papel. Em seguida, você pode usar os conjuntos de permissões para conceder permissões adicionais, conforme necessário.
Gerenciando perfis
A página de visão geral do perfil oferece um ponto de entrada para todas as configurações e permissões para um único perfil. Em Configuração, na caixa Busca rápida, insira Perfis e depois selecione Perfis. Clique no perfil que você deseja visualizar.
Criar um perfil
- Em Configuração, na caixa Busca rápida, insira Perfis e depois selecione Perfis.
- Clique em Clonar ao lado de um perfil que seja semelhante ao que você deseja criar.
- Nomeie seu novo perfil e salve-o.
Atribuir um perfil
- Certifique-se de que a interface de usuário de perfil avançada esteja ativada nas configurações de gerenciamento do usuário.
- Em Configuração, na caixa Busca rápida, insira Perfis e depois selecione Perfis.
- Clique no nome do perfil que você deseja personalizar.
- Edite o perfil usando as configurações e permissões mais restritivas que puder para esse tipo de usuário. (Não tenha medo de bloquear um usuário em relação a coisas que ele precise fazer. Abriremos outras oportunidades para ele na seção Usar os conjuntos de permissões para conceder acesso abaixo.)
- Em Configuração, na caixa Busca rápida, insira Usuários e selecione Usuários.
- Clique em Editar ao lado do usuário a que deseja atribuir o perfil.
- No menu suspenso Perfil, selecione o perfil que você acabou de configurar. Em seguida, clique em Salvar.
Usar os conjuntos de permissões para conceder acesso
Digamos que você tenha muitos usuários na sua organização com as mesmas funções de trabalho fundamentais. Você pode atribuir um perfil a todos eles que conceda acesso aos itens necessários para eles executarem seu trabalho. Mas alguns destes usuários estão trabalhando em um projeto especial e precisam acessar um aplicativo que ninguém mais usa. E digamos que outros usuários precisam acessar esse aplicativo e um outro aplicativo que o primeiro grupo não precisa. Se tivéssemos somente perfis, você teria que criar mais perfis personalizados para as necessidades desse pequeno grupo de usuários ou arriscar e adicionar mais acesso ao perfil original, disponibilizando os aplicativos para usuários que não precisam deles. Nenhuma dessas opções é ideal, especialmente se sua organização estiver crescendo e as necessidades de seus usuários mudarem regularmente.
Atribua permissões a campos específicos.
Digamos que você tem um usuário, Tom, que precisa ter acesso temporário de edição a um campo enquanto seu colega está de férias. Você pode criar um conjunto de permissões que conceda acesso ao campo e atribuir o conjunto de permissões a Tom. Quando o colega de Tom retornar das férias e Tom não precisar mais acessar o campo, basta remover a atribuição do conjunto de permissões do registro de usuário de Tom.
Gerenciando conjuntos de permissões
A página de visão geral de um conjunto de permissões é o ponto de entrada para todas as permissões desse conjunto. Para abrir uma página de visão geral do conjunto de permissões, em Configuração, na caixa Busca rápida, insira Conjuntos de permissões e selecione Conjuntos de permissões. Selecione o conjunto de permissões que você deseja visualizar. Em cada conjunto de permissões, as permissões e configurações são organizadas em configurações de aplicativos, configurações do sistema, permissões de objeto e permissões de campo.
Criar um conjunto de permissões
- Em Configuração, na caixa Busca rápida, insira Conjuntos de permissões e selecione Conjuntos de permissões.
- Clique em Clonar ao lado do conjunto que você deseja copiar. Um conjunto de permissões clonado tem a mesma licença de usuário do original. Para criar um conjunto com uma licença diferente, clique em New (Novo) (1).
- Digite um rótulo e uma descrição. O nome da API é um nome exclusivo usado pela API e pelos pacotes gerenciados. Ele repete o rótulo automaticamente, mas você pode modificá-lo.
- Em um conjunto de permissões novo, selecione uma opção de licença de usuário.
- Se você pretender atribuir este conjunto de permissões a diversos usuários com licenças diferentes, selecione --Nenhum--.
- Se esse conjunto de permissões for usado somente por usuários com um tipo de licença, selecione essa licença de usuário.
- Clique em Salvar para voltar à página de visão geral do conjunto de permissões.
- Na barra de ferramentas do conjunto de permissões, clique em Gerenciar atribuições e em Adicionar atribuições.
- Selecione os usuários a serem atribuídos a este conjunto de permissões e clique em Atribuir. Revise as mensagens na página Resumo da atribuição. Se nenhum usuário foi atribuído, a coluna Mensagem indica o motivo.
- Clique em Concluído para voltar a uma lista de todos os usuários atribuídos ao conjunto de permissões.
Perfis e conjuntos de permissões para o aplicativo Recruiting
Recrutadores
Representam uma função de trabalho claramente definida e precisam acessar tipos de dados diferentes dos dados acessados por outros usuários. Por essa razão, faz sentido criar um perfil para os recrutadores.
Gerentes de contratação
Na maioria das organizações, um gerente de contratação do departamento de Vendas precisará acessar tipos de dados diferentes do gerente de contratação do departamento de Engenharia. No entanto, todos os gerentes de contratação ainda precisam dos mesmos tipos de acesso a dados de recrutamento: avaliações, candidatos, posições e formulários de emprego. Nesse caso, é conveniente criar um conjunto de permissões de gerentes de contratação que possa ser atribuído a diferentes tipos de usuários.
Entrevistadores
Um funcionário de qualquer departamento e em qualquer função de trabalho pode ser convidado a realizar uma entrevista, que exige acesso a informações de recrutamento apenas por determinado período de tempo. Faz sentido definir um conjunto de permissões para entrevistadores uma vez que as permissões podem ser facilmente atribuídas e revogadas, conforme a necessidade.
Funcionários padrão
Este é um grupo genérico e não reflete uma função de trabalho específica. Para a maioria dos funcionários é possível criar um perfil de base que forneça acesso a um conjunto pequeno de dados e, em seguida, dependendo de suas especialidades, podemos criar e atribuir conjuntos de permissões para fornecer mais acesso a eles, conforme a necessidade.
A partir do que vimos anteriormente, a melhor maneira de configurar as permissões de objeto do aplicativo Recruiting é a seguinte:
- Crie dois perfis: Recrutadores e Funcionários padrão.
- Crie dois conjuntos de permissões: Gerentes de contratação e Entrevistadores.
- Atribua o perfil Funcionário padrão a gerentes de contratação e entrevistadores e, em seguida, conceda o conjunto de permissões apropriado para a função.