学习目标
完成本单元后,您将能够:
- 查看现有配置文件并创建新配置文件
- 修改使用配置文件访问对象。
- 查看配置文件中的所有分配的用户。
- 创建新的权限集。
- 将权限集分配给单个和多个用户。
管理对象权限
控制数据访问的最简单方法是对特定类型的对象设置权限。 (一个对象是一个记录的集合,如线索或联系人)。您可以控制一组用户是否可以创建,查看,编辑或删除该对象的任何记录。
您可以使用配置文件或权限集来设置对象权限。用户可以拥有一个配置文件和许多权限集。
- 用户的配置文件确定他们可以访问的对象以及他们可以用任何对象记录(如创建,读取,编辑或删除)执行的操作。
- 权限集授予额外的权限和访问设置给用户。
使用配置文件授予所有特定类型用户所需的最低权限和设置。然后使用权限集根据需要授予更多的权限。配置文件和权限集的组合为您指定对象级访问提供了极大的灵活性。
对招聘应用程序的对象权限
作为一个例子,我们来看看如何在Recruiting应用程序中配置对象级访问。该应用程序有四种主要类型的用户:招聘经理,招聘人员,访问员和标准员工。每种类型的用户需要什么类型的对象访问?
- 招聘经理
- 本招聘经理应该能够访问与其未平仓头寸相关的招聘记录,但不应该有其他招聘记录(除非他们是由其他向他报告的招聘经理拥有的)。此外,还有一些他不需要看的敏感字段,比如社会安全号码字段。让我们考虑一下Ben对于应用程序中的每个关键自定义对象所需的权限。
- 职位—Ben应该能够发布新的职位,以及更新和查看他是招聘经理职位的所有字段,但他只能够查看其他经理的职位。
- 候选人—本只能查看那些已经申请了招聘经理职位的候选人。此外,由于本没有理由看到候选人的社会安全号码,所以这个字段应该受到限制。
- 申请工作— Ben需要能够更新工作申请的状态,以指定应选择或拒绝哪些候选人。然而,他不应该改变申请人列出的候选人,也不应该考虑候选人所申请的职位,所以我们必须找到一种方法来阻止Ben更新职位申请的查询字段。
- 评论—为了对正在申请的候选人做出决定,Ben需要看到面试官发布的评论,并且如果他认为面试官的评论过于偏袒,他们就会发表评论。同样,本需要能够创建评论,以便他能够记住自己对他所面试候选人的印象。
- 招聘
- 招聘人员Mario需要能够创建,查看和修改系统中的任何职位,候选人,工作申请或审核。他还需要查看和修改所有其他招聘人员拥有的招聘记录,因为所有招聘人员一起工作来填补每个职位,而不管是谁创建的。
我们需要确保招聘人员不会意外删除有关候选人信息的记录。这是因为州和联邦法律要求将与招聘相关的记录保存多年,以便在招聘决定受到质疑时,可以在法庭上进行辩护。 - 面试官
- 梅丽莎是一位采访高技术职位候选人的工程师。她应该只能查看她被指定为面试官的候选人和工作申请。而且,她也不应该能够查看任何候选人的任何职位或社会安全号码的最低和最高工资值,因为这是与她的工作无关的敏感信息。
- 标准员工
- 像Harry这样的员工通常是招聘新员工的最佳资源,即使他们不是积极的招聘经理或面试官。因此,我们需要确保员工可以查看未平仓头寸,但是他们无法看到头寸的最低和最高工资的价值 – 否则他们可能会倾倒朋友来谈判一个头寸的最高工资值! Harry也不应该在Recruiting应用程序中查看任何其他记录。
以下是四种类型用户所需的权限。
| 自定义对象 | 招聘 | 招聘经理 | 面试官 | 标准员工 |
|---|---|---|---|---|
| 职位 | 读 创建 编辑 |
读 创建 编辑* |
读 (没有最低/ 最高工资) |
读 (没有最低/ 最高工资) |
| 候选人 | 读 创建 编辑 |
读* (无SSN) | 读 * (无SSN) | |
| 申请工作 | 读 创建 编辑 |
读 编辑(无查找字段) |
读* | |
| 评论 | 读 创建 编辑 |
读 创建 编辑 |
读** 创建 编辑** |
*仅用于与招聘经理或面试人员分配的职位相关的记录。
**只适用于面试官拥有的记录。
在本模块的其余部分,您将了解如何使用该平台在Recruiting应用程序中实施这些规则。正如你所看到的,这将需要在所有三个级别配置安全控制:对象,字段和记录。
使用配置文件来限制访问
- 用户个人资料中的设置决定了她是否可以看到特定的应用,标签,字段或记录类型。
- 用户配置文件中的权限决定了她是否可以创建或编辑给定类型的记录,运行报告和自定义应用程序。
配置文件通常与用户的工作职能相匹配(例如系统管理员,招聘人员或招聘经理),但您可以拥有适用于您的Salesforce组织的任何配置文件。配置文件可以分配给许多用户,但用户一次只能有一个配置文件。
标准配置文件
该平台包含一组标准配置文件。一些例子是:
- 只读
- 标准用户
- 营销用户
- 合同管理人
- 系统管理员
每个标准配置文件都包含平台上所有可用标准对象的默认权限集。例如,标准用户可以创建和编辑记录,而只读用户可以查看记录,但不能创建或编辑记录。系统管理员配置文件具有最广泛的数据访问权限和最大的配置和自定义Salesforce的能力。系统管理员配置文件还包含两个特殊权限:
- 查看所有数据
- 修改所有数据
这些权限将覆盖所有其他共享设置,因此在将其分配给系统管理员以外的任何配置文件时请谨慎使用。您可以在安装程序中查看所有标准和自定义配置文件的列表。
您不能编辑标准配置文件上的对象权限。但是,您可以克隆任何现有配置文件,并将其用作新配置文件的基础,根据需要调整应用程序和系统设置。例如,在招聘应用程序中,您可以创建三个新的配置文件,招聘人员,面试官和招聘经理各一个。然后可以将每个配置文件配置为提供特定角色所需的特定类型的数据访问。然后,您可以根据需要使用权限集来授予其他权限。
注意
组织中的配置文件功能取决于用户许可证类型。
管理配置文件
配置文件概述页面为单个配置文件提供所有设置和权限的入口点。在安装程序中,使用快速查找框查找配置文件,然后单击要查看的配置文件。
创建一个配置文件
Salesforce具有增强的配置文件用户界面,可以轻松查找和修改配置文件设置。这就是我们将用于这个练习。为此,请在安装程序的快速查找框中找到用户界面,然后选择启用增强型配置文件用户界面,然后单击保存。
- 在安装程序中,使用快速查找框查找配置文件。
- 点击与您要创建的配置文件类似的配置文件旁边的复制。
- 给你的新配置文件一个名字,并保存。
分配一个配置文件
- 在设置中查找配置文件
- 单击配置文件的名称,然后单击编辑以查看其设置。
- 为此用户类型设置最严格的设置和权限,然后保存。
(不要担心阻止用户做他们需要做的事情,当我们给他们权限集时,我们会为他们开放更多的可能性。)
- 在安装程序中找到用户,然后单击其中一个旁边的编辑。
- 从配置文件下拉列表中选择您刚刚设置的配置文件,然后保存。
使用权限集来授予访问权限
权限集使您可以轻松地授予对组织中各种应用程序和自定义对象的访问权限,并在不再需要时取消访问权限。
用户只能有一个配置文件,但可以有多个权限集。
您将使用权限集来实现两个一般目的:授予对自定义对象或应用程序的访问权限,并将权限(临时或长期)授予特定字段。
- 授予对自定义对象或应用的访问权限
- 假设您的组织中有许多用户具有相同的基本工作职能。您可以为他们分配所有的配置文件,授予他们完成工作所需的所有访问权限。但是其中一些用户正在开发一个特殊的项目,他们需要访问一个没有其他人使用的应用程序。而其他一些用户需要访问该应用程序以及第一个组不需要的另一个应用程序。如果我们只有配置文件,则必须根据少数用户的需求创建更多的配置文件,或者抓住机会,将更多的访问权限添加到原始配置文件中,使应用程序可供不需要的用户使用。这些选项都不是理想的,尤其是在您的组织日益壮大以及用户需求定期更改的情况下。
- 授予特定字段的权限。
- 比方说,你有一个用户,汤姆,他的同事正在度假时需要临时编辑一个字段。您可以创建一个权限集,授予对该字段的访问权限并将权限集分配给Tom。当Tom的同事从休假中返回时,Tom不再需要访问该字段,只需从Tom的用户记录中删除权限集分配即可。
注意
如果用户在其基本配置文件中拥有权限,则不能通过将权限集分配给该用户来将其删除。权限只能添加权限。要取消权限,您必须从用户的基本配置文件以及用户可能拥有的任何权限集中删除权限。
管理权限集
权限集的概述页面是权限集中所有权限的入口点。要打开权限集概述页面,请在“设置”中找到“权限集”,然后选择要查看的权限集。在每个权限集中,权限和设置都被组织到应用程序设置,系统设置,对象权限和字段权限中。
创建一个权限集
- 使用快速查找框来查找安装程序中的权限集。
- 点击要复制的集旁边的复制。
注意
克隆权限集具有与原始相同的用户许可证。要创建具有不同许可证的集合,请单击“新建”。
- 输入一个标签和一个描述。
API名称是由API和受管软件包使用的唯一名称。它会自动复制标签,但您可以修改它。
- 如果这是一个新的权限集,请选择一个用户许可证选项。
- 如果您计划将此权限集分配给具有不同许可证的多个用户,请选择 – 无 – 。
- 如果只有具有一种类型许可证的用户才能使用此权限集,请选择该用户许可证。
- 单击保存返回到权限集概述页面。
- 在权限集工具栏中,单击管理分配,然后单击添加分配。
- 选择要分配给此权限集的用户,然后单击分配。
查看“作业摘要”页面上的消息。如果没有分配任何用户,则“消息”列将告诉您为什么。
- 单击完成返回到分配给权限集的用户列表。
招聘应用程序的配置文件和权限集
以下是决定是否为每种类型的用户创建配置文件或权限集的关键考虑因素。
- 招聘
- 这些代表一个明确定义的工作职能,他们需要访问不同类型的数据比其他用户。因此,为招聘者创建一个档案是有意义的。
- 招聘经理
- 对于大多数组织,销售部门的招聘经理需要访问不同于工程部门招聘经理的数据类型。但是,所有招聘经理仍然需要获得相同类型的招聘数据 – 评论,候选人,职位和工作申请。因此,创建可分配给各种类型的用户的招聘经理权限集是很方便的。
- 面试官
- 来自任何部门和任何工作职位的员工可能被要求进行面试,并且只需要有限的时间访问招聘信息。为采访者定义权限集合是有意义的,因为权限可以根据需要轻松分配和撤销。
- 标准员工
- 这是一个通用的组,不反映特定的工作职能。 对于大多数员工,您可以创建一个基本配置文件,以访问一小部分数据,然后根据他们的专长,创建并分配权限集,以便根据需要为他们提供更多访问权限。
所以从我们所看到的,为Recruiting应用程序配置对象权限的最佳方式是这样的:
- 创建两个配置文件:招聘人员和标准员工。
- 创建两个权限集:招聘经理和访问者。
- 将标准员工配置文件分配给招聘经理和访调员,然后为其职能授予适当的权限集。