Controlar el acceso a los objetos


Link de trailhead

Objetivos de aprendizaje

Después de completar esta unidad, podrá:
  • Ver perfiles existentes y crear unos nuevos.
  • Modificar el acceso a objetos utilizando perfiles.
  • Ver todos los usuarios asignados en un perfil.
  • Crear nuevos conjuntos de permisos.
  • Asignar conjuntos de permisos a uno o múltiples usuarios.

Gestionar permisos de objetos

La manera más sencilla de controlar el acceso a los datos es mediante la configuración de permisos para un tipo de objeto determinado. (Un objeto es una colección de registros como, por ejemplo, prospectos o contactos.) De este modo, puede controlar si un grupo de usuarios puede crear, ver, modificar o eliminar registros de dicho objeto.

Puede establecer permisos de objeto mediante perfiles o conjuntos de permisos. Un usuario puede tener un perfil y muchos conjuntos de permisos.
  • Los perfiles de usuario determinan los objetos a los que el usuario puede acceder y las acciones que puede realizar con los registros de los objetos (crear, leer, modificar o eliminar).
  • Los conjuntos de permisos para otorgan permisos adicionales y parámetros de acceso a los usuarios.

Use los perfiles para otorgar los parámetros y permisos mínimos que pueden necesitar los usuarios de un tipo determinado. A continuación use conjuntos de permisos para otorgar permisos adicionales según sea necesario. La combinación de perfiles y conjuntos de permisos le proporciona mucha flexibilidad al especificar el acceso a nivel de objeto.

Permisos de objetos para la aplicación de Contratación

Veamos, a modo de ejemplo, cómo puede configurar el acceso de nivel de objeto en la aplicación de contratación. La aplicación tiene cuatro tipos principales de usuarios: gestores de contratación, contratadores, entrevistadores y empleados estándar. ¿Qué tipo de acceso a los objetos necesita cada tipo de usuario?

Gerentes de contratación
Ben, un gestor de contratación, debe tener acceso a los registros de contratación relacionados con sus puestos vacantes, pero no debe tener acceso a otros registros de contratación (a menos que sean propiedad de otros gestores de contratación que responden ante él). Además, existen algunos campos confidenciales que no necesita ver, como el campo de número de seguridad social. Consideremos los permisos que necesita Ben para cada uno de los objetos personalizados clave en la aplicación.
  • Puesto: Ben debe poder publicar nuevos puestos, así como actualizar y ver todos los campos para puestos de los que es el gestor de contratación, pero solo puede ver los puestos de otros gestores.
  • Prospecto: Ben solo debe poder ver aquellos prospectos que postularon para un puesto en el que es el gestor de contratación. Además, como Ben no tiene motivos para ver el número de seguridad social de un prospecto, este campo debe ser restringido para él.
  • Solicitud de empleo: Ben necesita poder actualizar el estado de las solicitudes de empleo para especificar qué candidatos se deben seleccionar o rechazar. Sin embargo, no debe poder cambiar el prospecto indicado en la solicitud de empleo, ni el puesto para el que postula el prospecto, por lo que deberemos encontrar una forma de evitar que Ben actualice los campos de búsqueda en solicitudes de empleo.
  • Revisión: para tomar una decisión acerca de los prospectos que están postulando, Ben necesita ver las revisiones publicadas por los entrevistadores, así como realizar comentarios acerca de ellos si cree que el entrevistador estuvo demasiado parcial en su revisión. Asimismo, Ben necesita poder crear revisiones de modo que pueda recordar sus propias impresiones de los prospectos que entrevista.
Contratadores
Mario, un contratador, necesita poder crear, ver y modificar cualquier puesto, prospecto, solicitud de empleo o revisión que se encuentre en el sistema. También necesita ver y modificar los registros de contratación de todos los contratadores de los que es responsable, ya que estos trabajan en conjunto para encontrar un candidato para cada posición, independientemente de quién la haya creado.
Por lo tanto, necesitamos estar seguros de que un contratador nunca pueda eliminar por accidente ningún registro con información sobre un candidato, ya que las leyes estatales y federales de EE.UU. exigen que los registros de contratación se conserven durante un número de años determinado con el fin de poder defender ante un tribunal las decisiones de contratación en caso de que se vean cuestionadas.
Entrevistadores
Melissa es ingeniero y realiza entrevistas a candidatos para puestos de elevado nivel técnico. Debe poder ver solo los prospectos y solicitudes de empleo a las que está asignada como entrevistadora. Además, no debe poder ver los valores de salario mínimo y máximo para ningún puesto o el número de la seguridad social de ningún prospecto, ya que es información confidencial que no tiene nada que ver con su trabajo.
Empleados estándar
Los empleados, como Harry, son a menudo los mejores recursos para realizar nuevas contrataciones, incluso si no son entrevistadores o gestores de contratación activos. Por este motivo, necesitamos asegurarnos de que esos empleados puedan ver puestos libres, pero que no puedan ver los valores para los campos de salario mínimo y máximo del puesto: de lo contrario, podrían aconsejar a amigos para negociar el salario máximo de un puesto. Harry tampoco puede ver cualquier otro registro en la aplicación de Contratación

A continuación se detallan los permisos necesarios para cada uno de los cuatro tipos de usuarios.

Objeto personalizado Contratador Gestor de contratación (Hiring Manager) Entrevistador Empleado estándar
Posición Leer Crear Modificar Leer Crear Modificar* Leer (sin paga mín/máx) Leer (sin paga mín/máx)
Prospecto Leer Crear Modificar Leer* (Sin NSS) Leer* (Sin NSS)
Solicitud de empleo (Job Application) Leer Crear Modificar Leer Modificar (Sin campos de búsqueda) Leer *
Revisión (Review) Leer Crear Modificar Leer Crear Modificar Leer ** Crear Modificar **


* Solo para los registros asociados con puestos a los que se ha asignado el gerente de contratación o el entrevistador.

** Solo para los registros que son propiedad del entrevistador.

En el resto de este módulo, obtendrá información acerca de cómo puede utilizar la plataforma para implementar esas reglas en la aplicación de Contratación. Como verá, esto requiere configurar controles de seguridad en los tres niveles: objetos, campos y registros.

Usar perfiles para restringir el acceso

Cada usuario tiene un perfil que controla los datos y las funciones a los que tiene acceso. Un perfil es una colección de permisos y parámetros. La configuración de perfil determina los datos que el usuario puede ver y los permisos determinan las acciones que el usuario puede realizar con los datos.
  • Los parámetros de un perfil de usuario determinan si este puede ver una aplicación, una ficha, un campo o un tipo de registro determinado.
  • Los permisos de los perfiles de usuario determinan si el usuario puede crear o modificar registros de un tipo determinado, ejecutar reportes o personalizar la aplicación.

Los perfiles suelen ajustarse a la función laboral de los usuarios (por ejemplo, administrador del sistema, contratador o gerente de contratación); sin embargo, puede crear cualquier perfil para su organización de Salesforce. Un perfil puede asignarse a muchos usuarios, pero un usuario solo puede tener asignado un perfil a la vez.

Perfiles estándar

La plataforma incluye un conjunto de perfiles estándar. Algunos ejemplos:

  • Solo lectura
  • Usuario estándar
  • Usuario de marketing
  • Administrador del contrato
  • Administrador del sistema
Cada perfil estándar incluye un conjunto de permisos predeterminado para todos los objetos estándar en la plataforma. Por ejemplo, un usuario estándar puede crear y modificar registros mientras que un usuario de solo lectura puede ver registros, pero no crearlos o modificarlos. El perfil Administrador del sistema tiene el acceso más amplio a los datos y la mejor capacidad para configurar y personalizar Salesforce. El perfil Administrador del sistema también incluye dos permisos especiales.
  • Ver todos los datos
  • Modificar todos los datos

Estos permisos sustituyen todas las demás configuraciones de colaboración, por lo que tenga cuidado al utilizarlos en cualquier perfil que no sea Administrador del sistema. En Configuración podrá ver una lista de todos los perfiles personalizados y estándar.

No podrá modificar los permisos de objetos de perfiles estándar. Sin embargo, puede duplicar cualquier perfil existente y utilizar eso como la base de un nuevo perfil, ajustando la configuración de sistema y aplicaciones según sea necesario. Por ejemplo, en la aplicación Contratación, puede crear tres nuevos perfiles, una para contratadores, otro para entrevistadores y otro para gestores de contratación. Cada perfil se puede configurar para proporcionar el tipo específico de acceso de datos necesario para una función concreta. A continuación, podrá usar conjuntos de permisos para conceder permisos adicionales según sea necesario.

Nota

La función de los perfiles en una organización depende del tipo de licencia de usuario.

Gestión de perfiles

La página de descripción general proporciona un punto de entrada de todas las configuraciones y permisos de un perfil único. En Configuración, use el cuadro Búsqueda rápida para buscar Perfiles y, a continuación, haga clic en el perfil que desea ver.

Crear un perfil

La forma más sencilla de crear un perfil es duplicar un perfil existente similar al que desea crear y luego modificarlo.
Salesforce dispone de una interfaz de usuario de perfiles mejorada que facilita la búsqueda y la modificación de la configuración de perfiles. Esta interfaz es la que usaremos para este ejercicio. Para ello, busque Configuración de gestión de usuario en el cuadro Búsqueda rápida en Configuración, luego active Interfaz de usuario de perfil mejorado y haga clic en Guardar.
  1. En Configuración, use el cuadro Búsqueda rápida para buscar Perfiles.
  2. Haga clic en Duplicar junto a un perfil similar al que desea crear.
  3. Asigne un nombre a su nuevo perfil y guarde los cambios.

Asignar un perfil

Una vez creado el perfil, puede personalizarlo para que se ajuste a las necesidades de determinados conjuntos de usuarios. De este modo, podrá asignar el perfil a dichos usuarios.
  1. Busque Perfiles en Configuración.
  2. Seleccione un perfil y luego haga clic en Configuración de objetos. Haga clic en Modificar para ver su configuración.
  3. Establezca los permisos y los parámetros más restrictivos para este tipo de usuario y, a continuación, guarde los cambios.
    (No se preocupe en estos momentos si bloquea funciones necesarias para los usuarios, ya que las desbloquearemos más adelante cuando asignemos conjuntos de permisos.)
  4. Busque Usuarios En Configuración y haga clic en la opción Modificar situada junto a cada uno.
  5. Desde la lista desplegable Perfil, seleccione el perfil que acaba de configurar y guarde los cambios.

Usar conjuntos de permisos para conceder acceso

Un conjunto de permisos es una colección de configuraciones y permisos que ofrece a los usuarios acceso a varias herramientas y funciones. Las configuraciones y permisos de los conjuntos de permisos se encuentran también en los perfiles, pero los conjuntos de permisos amplían el acceso funcional de los usuarios sin cambiar sus perfiles.

Los conjuntos de permisos facilitan la concesión de acceso a distintos objetos personalizados y aplicaciones de su organización. Asimismo, permiten cancelar el acceso cuando este deje de ser necesario.

Los usuarios solo pueden tener un perfil, aunque pueden tener varios conjuntos de permisos.

Los conjuntos de permisos se usan con dos propósitos en general: conceder acceso a aplicaciones u objetos personalizados y conceder permisos (temporales o a largo plazo) para campos específicos.

Concesión de acceso a aplicaciones u objetos personalizados.
Supongamos que tiene varios usuarios en su organización con las mismas funciones laborales. Puede asignarles a todos un solo perfil que les otorgue el acceso que necesitan para hacer su trabajo. Sin embargo, varios usuarios están trabajando en un proyecto especial y necesitan acceso a una aplicación que no usa ningún otro usuario más. Por su parte, otro grupo de usuarios necesita acceso a dicha aplicación y a otra aplicación que el primer grupo no necesita. Si solo tuviésemos perfiles, tendríamos que crear más perfiles personalizados a las necesidades de este grupo reducido de usuarios o jugárnosla y conceder privilegios de acceso al perfil original, lo que haría que las aplicaciones estuviesen disponibles para usuarios que no las necesitan. Ninguna de estas opciones es perfecta, sobre todo si su organización está en crecimiento y las necesidades de los usuarios cambian de manera periódica.
Concesión de permisos para campos específicos.
Supongamos que tiene un usuario, Tom, que necesita acceso de modificación temporal a un campo mientras que su colega está de vacaciones. Puede crear un conjunto de permisos que otorga el acceso al campo y asignar el conjunto de permisos a Tom. Cuando el colega de Tom vuelve de sus vacaciones y Tom ya no necesita acceder al campo, solo tiene que eliminar el conjunto de permisos del registro de usuario de Tom.

Nota

Tenga en cuenta que si un usuario tiene un permiso en su perfil base, no podrá eliminarlo asignando un conjunto de permisos a dicho usuario. Los permisos solo pueden agregar más permisos. Para eliminar un permiso, tendrá que eliminarlo del perfil base del usuario y de los conjuntos de permisos que tenga configurado el usuario.

Gestión de conjuntos de permisos

La página de descripción general de un conjunto de permisos es el punto de entrada para todos los permisos de un conjunto de permisos. Para abrir la página de descripción general de un conjunto de permisos, busque Conjuntos de permisos en Configuración y, a continuación, seleccione el conjunto de permisos que desea ver. En cada conjunto de permisos, los permisos y los parámetros están organizados en parámetros de aplicación, parámetros de sistema, permisos de objetos y permisos de campos.

Crear un conjunto de permisos

Cree un conjunto de permisos para conceder permisos adicionales a usuarios específicos, además de los permisos de los perfiles existentes, sin tener que modificar perfiles existentes, crear nuevos o asignar perfiles de administrador.
  1. Use el cuadro Búsqueda rápida para buscar Conjuntos de permisos en Configuración.
  2. Haga clic en Duplicar junto al conjunto que desea copiar.

    Nota

    Los conjuntos de permisos duplicados tendrán la misma licencia de usuario que el original. Para crear un conjunto con una licencia distinta, haga clic en Nuevo.

  3. Ingrese una etiqueta y una descripción.
    El nombre de API es un nombre exclusivo que usan la API y los paquetes gestionados. Este nombre sustituye automáticamente la etiqueta, aunque puede modificarlo.
  4. Si es un nuevo conjunto de permisos, seleccione una opción de licencia de usuario.
    • Si piensa asignar este conjunto de permisos a varias usuarios con diferentes licencias, seleccione --Ninguno--.
    • Si solo los usuarios con un tipo de licencia usarán este conjunto de permisos, seleccione dicha licencia de usuario.
  5. Haga clic en Guardar para volver a la página de descripción general de los conjuntos de permisos.
  6. En la barra de herramientas del conjunto de permisos, haga clic en Asignaciones y, a continuación, haga clic en Agregar asignaciones.
  7. Seleccione los usuarios a los que desea asignar este conjunto de permisos y haga clic en Asignar.
    Revise los mensajes en la página Resumen de asignaciones. Si no se puede asignar el conjunto de permisos a algún usuario, la columna Mensaje le indicará el motivo.
  8. Haga clic en Hecho para volver a una lista con los usuarios que tienen asignado el conjunto de permisos.

Perfiles y conjuntos de permisos para la aplicación de Contratación

Ahora que ya ha visto cómo crear y modificar perfiles y conjuntos de permisos, vamos a configurar el acceso de nivel de objeto adecuado para la aplicación de contratación. La aplicación tiene cuatro tipos principales de usuarios: contratadores, gestores de contratación, entrevistadores y empleados estándar.

Estas son las consideraciones clave para decidir si crear un perfil o conjunto de permisos para cada tipo de usuario.

Contratadores
Esta es una función de trabajo claramente definida. Los usuarios con esta función necesitan tener acceso a distintos tipos de datos que el resto de usuarios. Por lo tanto, tiene más sentido crear un perfil para contratadores.
Gerentes de contratación
Para la mayoría de las organizaciones, los gerentes de contratación de ventas necesitan acceso a distintos tipos de datos que los gerentes de contratación de ingeniería. Sin embargo, todos los gestores de contratación seguirán necesitando los mismos tipos de acceso a datos de contratación: revisiones, puestos y solicitudes de empleo. Por lo tanto, es conveniente crear un conjunto de permisos de gestor de contratación que se puede asignar a varios tipos de usuarios.
Entrevistadores
Las entrevistas las pueden realizar empleados de cualquier departamento y con cualquier función. Por lo tanto, estos empleados necesitan acceso solo a la información de contratación durante un periodo limitado. Por lo tanto, tiene sentido definir un conjunto de permisos para entrevistadores, ya que los permisos pueden asignarse y revocarse fácilmente según sea necesario.
Empleados estándar
Este es un grupo genérico no específico a ninguna función. Para la mayoría de los empleados, puede crear un perfil básico que proporciona el acceso a un pequeño conjunto de datos y dependiendo de sus especialidades, cree u asigne conjuntos de permisos para otorgarles más acceso según sea necesario.

¿Le ha resultado útil este artículo?