La seguridad en salesforce es un tema que considera multiples aspectos, prácticamente se busca lograr distintos conjuntos de configuraciones que se ajusten a los diferentes niveles de seguridad que puedan existir en los equipos de trabajo para que el sistema funcione adecuadamente.
Dichas configuraciones son aplicadas dependiendo lo que se busque asegurar, como pudieran ser los accesos y/o restricciones en:
- Organizacion
- Objetos
- Campos
- Registros
El primer nivel de seguridad que se considera es el del acceso a la organizacion. Para ello, Salesforce provee usuarios, los cuales establecen la identidad de las personas que realizarán las operaciones y funcionan como credenciales para autenticarse ante el inicio de sesión en la organización.
Una vez se tienen definidos los usuarios, se busca aplicarles diferentes permisos de la manera mas flexible posible, para ello Salesforce usa multiples elementos, los cuales son:
Perfiles. Definen las operaciones CRED que se pueden realizar en los objetos y en sus campos. En adición, los perfiles tambien controlan:
- Nivel de seguridad en los campos (Cuales campos son visibles o editables)
- Tipos de registros (Record types)
- Formatos de páginas (Page layouts)
- Acceso a aplicaciones
Tecnicámente los perfiles le dan forma a los usuarios en la organización. La asignacion de un perfil para cada usuario es obligatoria.
Conjuntos de permisos (Permission sets).
Los Permission sets, son configuraciones que funcionan como extensiones de permisos para los perfiles. Son ideales si tenemos la necesidad de asignar permisos extras a un usuario y el perfil perteneciente se encuentre limitado para realizar ciertas funciones.
Si bien, hasta este punto se han descrito las maneras de retringir o acceder a la organizacion, objetos y a sus campos, queda explicar como se pueden definir reglas para especificar quien puede acceder a los registros. Esto se logra travez de diferentes capas de configuracion, las cuales son:
- Valores predeterminados de toda la organización (Org-wide defaults)
- Herarquia de roles (Role hierarchies)
- Reglas de colaboración (Sharing rules)
- Colaboracion manual (Manual sharing)
Cuando un usuario crea nuevos registros, se establece una relacion de propiedad, donde el usuario creador se considera como el propietario del registro. Esta relación es util para establecer logica de negocios mas complejas, como por ejemplo una relacion vendedor-cliente. Por default, salesforce restringe la comparticion de algunos objetos entre sus usuarios basandose en la propiedad, siendo asi que usuarios no pueden visualizar registros ajenos, como es el caso de las oportunidades, donde los registros de cada usuario no pueden ser vistos por otros usuarios a menos de que se modifiquen las configuraciones.
De ser necesario que los usuarios se vean en la necesidad de compartir los registros, se pueden agregar configuraciones extra en diferentes capas que Salesforce provee.
Estas capas se comportan como reglas restrictivas en los registros y solo permite el la comparticion de los mismos solo a aquellos usuarios que esten inscritos en alguna de las capas:
Los valores predeterminados de toda la organización (Org-wide defaults) son las configuraciones en las que se establece el nivel de acceso por default en cada objeto para dictar como se compartiran los registros de los usuarios en toda la organizacion. Es la capa más "nativa" al momento de compartit registros y debe configurarse buscando ser lo mas restrictiva posible, ya que si se busca agregar permisos especiales para otros usuarios, estos se puedan "inscribir" en las otras capas (Roles, sharing rules o manual sharing).
Los roles (implicitamente, la jerarquia de roles) son la siguiente capa y definen la visibilidad de registros en Salesforce de un usuario y como puede compartilos con otros usuarios que pertenecen en la misma jerarquia.
En otras palabras, los roles especifican los niveles de acceso que un usuario puede tener sobre los registros ajenos, mismos que pertenecen a una misma jerarquia.
Las Reglas de colaboración (Sharing rules) son excepciones a los valores predeterminados de la organizacion para permitir el acceso de registros a grupos particulares de usuarios que no son propietarios o que normalmente no verían.
La colaboracion manual (Manual Sharing) permite que los propietarios otorgar permisos de lectura o edicion a usarios que no tienen acceso de alguna otra manera.
Estos conjuntos de configuracion permiten a los administradores una configuracion flexible y extensa sobre los objetos y mas especificamente en los registros al momento de permitir accesos o agregar restricciones en los usuarios. Conocer como aplicarlas puede facilitar la gestion de la seguridad en la organizacion.
Comentarios
Publicar un comentario