控制用户可访问内容
学习目标
完成本单元后,您将能够:
- 描述 Salesforce 控制数据访问的不同级别。
- 创建权限集和权限集组。
- 设置组织范围内的默认共享设置。
数据安全简介
了解了如何添加用户之后,您可能希望了解如何确保用户能且只能看到必要的内容。在本单元中,您将学习如何配置用户对 Salesforce 记录的访问权限,以确保用户只能访问必要的信息。
Salesforce 提供了一些便于配置的安全控件,可以协助用户轻松指定哪些用户可以查看、创建、编辑或删除应用中的任何记录或字段。您可以在组织、对象、字段或单个记录级别配置访问权限。您可以结合不同级别的安全性控制,向数以千计的用户提供相应级别的数据访问权限,而无需单独向每个用户指定权限。
在本单元中,我们将介绍数据访问权限级别以及可用于管理对象、记录和字段访问权限的一些功能。但我们在这里只会触及一些基础知识。有关控制数据访问权限的更多信息和实践练习,请查看数据安全性。
数据访问权限级别
在 Salesforce 中,您可以在四个主要级别配置数据访问权限。
组织能力
在这一最高级别,您可以通过维护授权用户列表、设置密码策略和限制某些时段和地点的登录权限来保护您的组织访问权限。
对象
对象级安全性是控制用户访问权限的最简单方法。通过设定特定类型对象的权限,您可以防止一组用户创建、查看、编辑或删除该对象的任何记录。例如,您可以使用对象权限确保面试官可以查看职位和职位申请,但不会对其进行编辑或将其删除。我们建议您使用权限集和权限集组来配置对象权限。
字段
字段级安全限制对特定字段的访问,即使是用户可访问对象中的字段。例如,您可以让职位对象中的工资字段对面试官不可见,但对招聘经理和招聘人员可见。字段权限也在权限集中进行配置。
记录
为了更精确地控制数据,您可以允许特定用户查看某个对象,但限制他们能看到哪些对象记录。例如,记录级访问权限允许面试官查看和编辑自己的评价,而不会暴露其他面试官的评价。您可以使用组织范围内的默认设置来设置用户对彼此记录的默认访问权限级别。然后,您可以使用角色层次结构、共享规则、手动共享和其他共享功能来开放对记录的访问权限。
让我们仔细看看用于配置数据访问权限的两个功能:权限集和组织范围的默认设置。
权限集
权限集是确定用户可以在 Salesforce 中执行哪些操作的设置和权限的集合。使用权限集授予对对象、字段、选项卡和其他功能的访问权限,并在不更改用户简档的情况下扩展用户的访问权限。
那么,权限集到底好在哪里呢?由于您可以重复使用较小的权限集构建块,因此可以避免为每个用户和工作职能创建数十甚至数百个简档。正因如此,我们建议您为用户分配“最低访问权限 - Salesforce”简档,然后使用权限集和权限集组来管理用户的访问权限。
创建权限集时,请包含作业或任务所需的所有权限。
创建权限集
让我们来尝试创建一个权限集。
- 在 Setup(设置)中的 Quick Find(快速查找)框内输入
Permission Sets
(权限集),然后选择 Permission Sets(权限集)。
- 单击 New(新建)。
- 输入您的权限集的标签和描述。
- 或者,您可以选择是否仅向具有特定许可证的用户分配此权限集。
- 单击 Save(保存)。
权限集的概览页面包括所有可配置的权限和设置的部分。我们将启用对象、字段和用户权限。
- 单击 Object Settings(对象设置)并选择一个对象。(或者,要直接跳转到某个对象,请在 Find Settings…(查找设置...)框中搜索该对象。)
- 单击编辑。在此页面中,您可以启用您希望分配给此权限集的用户拥有的对象权限和字段权限。完成编辑后,单击 Save(保存)。
- 单击 Permission Set Overview(权限集概览)链接返回此页面。
- 用户权限位于 App Permissions(应用程序权限)和 System Permissions(系统权限)部分。我们来单击 App Permissions(应用程序权限)。
- 单击编辑。要启用用户权限,请选中该权限的复选框,然后单击 Save(保存)。
很好!您在权限集中创建并设置了权限。您现在可以直接将权限集分配给用户...但我们有更好的方法!我们将首先创建一个包含权限集的权限集组,以便我们可以更轻松地管理用户的权限。
权限集组
权限集组顾名思义就是成组的权限集。使用权限集组根据工作角色或角色将权限集捆绑在一起。然后,您可以将权限集组分配给用户,而无需跟踪多个权限集分配。已获分配一个权限集组的用户将获得该组中所有权限集的合并权限。
权限集组之所以如此强大,是因为您可以将一个权限集包含在多个权限集组中。您还可以禁用权限集组中的特定权限,这样分配的用户就没有这些权限。
当您将所有这些功能组合在一起时,您可以高效地重复使用权限集。您可以确保您的用户仅拥有其工作所需的权限,而无需复制数十个(或数百个!)简档来实现相同的设置。
与我们提到的其他数据安全性功能一样,我们在这里仅稍微涉及权限集组。要了解更多信息,您可以查看权限集组。
创建权限集组并禁用权限
要创建权限集组:
- 在 Setup(设置)中的 Quick Find(快速查找)框内输入
Permission Set Groups
(权限集组),然后选择 Permission Set Groups(权限集组)。
- 单击新建权限集组。
- 输入您的权限集组的标签和描述。单击 Save(保存)。
- 在概览页面中,单击 Permission Sets in Group(组中的权限集)。单击 Add Permission Set(添加权限集),然后选择要包含在此权限集组中的权限集。单击 Add(添加),然后单击 Done(完成)。
要禁用权限集组中的一项权限:
- 在权限集组的概览页面,单击 Muting Permission Set in Group(禁用组中的权限集)。
- 单击 New(新建)。保留禁用权限集的名称不变,然后单击 Save(保存)。
- 单击您的禁用权限集的名称。
- 使用 Find Settings…(查找设置...)框直接跳转到对象或权限。或者,导航到包含您要禁用的权限的部分。
- 单击 Edit(编辑)并选中 Muted(已禁用)列中的权限的复选框。然后单击保存。
即将完成!最后一步是将权限集组分配给您的用户:
- 在权限集组的概览页面,依次单击 Manage Assignments(管理分配)和 Add Assignments(添加分配)。
- 选择要分配组的用户,然后单击 Next(下一步)。
- 或者,为用户分配选择一个到期日期。如果您希望临时为用户分配权限集组,则此选项可能很有用。
- 单击分配。
组织范围共享默认设置
为了更精确地控制数据访问,您可以允许特定用户查看某个对象,但限制他们能看到哪些对象记录。正如我们之前提到的,您可以使用组织范围的默认设置来指定用户对不属于他们的记录的基本访问权限级别。
您可以通过回答每个对象的以下问题来确定组织范围的默认设置。
- 哪个用户是该对象最想限制的用户?
- 该对象中是否会有此用户不可以查看的实例?
- 该对象中是否会有此用户不可以编辑的实例?
基于您对这些问题的回答,您可以将该对象的共享模型设置为以下设置之一。
字段 |
描述 |
---|---|
专用 |
仅记录所有人和更高级别的用户可以查看、编辑和报告这些记录。 |
公用只读 |
所有用户可以查看和报告记录,但无法编辑。仅记录所有人和更高级别的用户可以编辑这些记录。 |
公用读/写 |
所有用户可以查看、编辑和报告所有记录。 |
由父级控制 |
用户可以根据是否可对联系人相关记录执行特定操作来判断是否能对该记录执行相同的操作(例如查看、编辑或删除)。 |
如果您已将某个对象的组织范围共享设置设置为专用或公用只读,您可以通过设置角色层次结构、定义共享规则或使用共享功能来授予用户更多的记录访问权限。您只能使用这些功能授予更多访问权限,不可用于在组织范围共享默认设置以外限制对记录的访问权限。
设置组织范围共享默认设置
了解了组织范围默认设置后,您可以尝试进行一些设置。
- 在 Setup(设置)中的 Quick Find(快速查找)框内输入
Sharing Settings
(共享设置),然后选择 Sharing Settings(共享设置)。
- 单击“组织范围默认设置”区域中的编辑。
- 为每个对象在 Default Internal Access(默认内部访问权限)列选择您想使用的默认访问权限。
- 如需自动允许角色层次结构中更高级别的员工访问记录,对于任何不具有 Controlled by Parent(由父级控制)默认访问权限的自定义对象,选择 Grant Access Using Hierarchies(使用层次结构授予访问权限)。
您学习了在 Salesforce 控制数据访问的基础知识,还进行了一些配置控制对象、字段和记录访问的功能的实践练习。要更深入地为用户设置访问权限,请记住查看数据安全性。