Steuern der Bereiche, auf die Benutzer Zugriff haben
Lernziele
Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
- Beschreiben der verschiedenen Ebenen für die Steuerung des Datenzugriffs in Salesforce.
- Erstellen von Berechtigungssätzen und Berechtigungssatzgruppen
- Festlegen organisationsweiter Standard-Freigabeeinstellungen
Einführung in die Datensicherheit
Sie wissen bereits, wie Sie Benutzer hinzufügen, und möchten jetzt wahrscheinlich erfahren, wie Sie sicherstellen können, dass die Benutzer nur die Daten sehen, die sie sehen müssen und dürfen. In dieser Lektion lernen Sie, wie Sie den Zugriff Ihrer Benutzer auf Ihre Salesforce-Datensätze konfigurieren, damit sie nur auf die für sie notwendigen Informationen zugreifen können.
Salesforce bietet einfach zu konfigurierende Sicherheitssteuerungen, mit denen Sie leicht festlegen können, welche Benutzer Datensätze oder Felder in der Anwendung anzeigen, erstellen, bearbeiten und löschen dürfen. Sie können den Zugriff auf Ebene der Organisation oder der Objekte, Felder oder einzelner Datensätze konfigurieren. Durch die Kombination von Sicherheitssteuerungen auf unterschiedlichen Ebenen erreichen Sie genau das richtige Maß an Datenzugriff für Tausende von Benutzern, ohne für jeden Benutzer einzeln Berechtigungen festlegen zu müssen.
In dieser Lektion befassen wir uns mit den Datenzugriffsebenen und einigen der Funktionen für die Steuerung des Objekt-, Datensatz- und Feldzugriffs. Wir behandeln dieses Thema jedoch nur oberflächlich. Weitere Informationen und praktische Übungen zur Steuerung des Datenzugriffs finden Sie im Modul Datensicherheit.
Datenzugriffsebenen
Der Datenzugriff in Salesforce kann auf vier Hauptebenen konfiguriert werden.
Organisation
Auf der höchsten Ebene können Sie den Zugriff auf Ihre Organisation sicher gestalten, indem Sie eine Liste autorisierter Benutzer führen, Kennwortrichtlinien einrichten und den Anmeldezugriff auf bestimmte Stunden und Standorte begrenzen.
Objekte
Die Objektebenensicherheit ist die einfachste Möglichkeit, um zu steuern, welche Benutzer Zugriff auf welche Daten haben. Durch das Festlegen von Berechtigungen für eine bestimmte Art von Objekt können Sie eine Benutzergruppe daran hindern, Datensätze dieses Objekts zu erstellen, anzuzeigen, zu bearbeiten oder zu löschen. Mithilfe von Objektberechtigungen können Sie beispielsweise sicherstellen, dass Gesprächsleiter Stellen und Bewerbungen anzeigen, sie aber nicht bearbeiten oder löschen können. Wir empfehlen, Berechtigungssätze und Berechtigungssatzgruppen zum Konfigurieren von Objektberechtigungen zu verwenden.
Felder
Die Feldebenensicherheit beschränkt den Zugriff auf bestimmte Felder, und zwar selbst bei Objekten, für die der Benutzer zugriffsberechtigt ist. Sie können beispielsweise das Feld "Gehalt" im Objekt "Stelle" für Gesprächsleiter unsichtbar machen, während es für Einstellungs-Manager und Personalbeschaffungsmitarbeiter angezeigt wird. Feldberechtigungen werden auch in Berechtigungssätzen konfiguriert.
Datensätze
Um den Datenzugriff präziser zu steuern, können Sie bestimmten Benutzern die Anzeige eines Objekts gestatten, aber dann die einzelnen Objektdatensätze einschränken, die sie sehen können. Beispielsweise gestattet der datensatzspezifische Zugriff Gesprächsleitern, ihre eigenen Reviews zu sehen und zu bearbeiten, ohne dass für sie die Reviews anderer Gesprächsleiter sichtbar sind. Mit organisationsweiten Standardeinstellungen legen Sie den Standardzugriff fest, den Benutzer auf die Datensätze anderer Benutzer haben. Anschließend verwenden Sie die Rollenhierarchie, Freigaberegeln, manuelle Freigabe und andere Freigabefunktionen, um Zugriff auf Datensätze zu gewähren.
Werfen wir nun einen genaueren Blick auf zwei Funktionen zum Konfigurieren des Datenzugriffs: Berechtigungssätze und organisationsweite Standardeinstellungen.
Berechtigungssätze
Bei Berechtigungssätzen handelt es sich um Sammlungen von Einstellungen und Berechtigungen, die bestimmen, auf welche Daten Benutzer in Salesforce zugreifen können. Verwenden Sie Berechtigungssätze, um Zugriff auf Objekte, Felder, Registerkarten und mehr zu gewähren und den Zugriff von Benutzern auszuweiten, ohne ihre Profile zu ändern.
Was ist so toll an Berechtigungssätzen? Da Sie kleinere Berechtigungssätze als Bausteine wiederverwenden können, können Sie vermeiden, Dutzende oder gar Hunderte von Profilen für jeden Benutzer und jeden Tätigkeitsbereich erstellen zu müssen. Aus diesem Grund empfehlen wir, Benutzern das Profil "Minimum Access - Salesforce (Mindestzugriff – Salesforce)" zuzuweisen und den Benutzerzugriff dann mithilfe von Berechtigungssätzen oder Berechtigungssatzgruppen zu steuern.
Fügen Sie beim Erstellen von Berechtigungssätzen alle für eine Position oder Aufgabe notwendigen Berechtigungen hinzu.
Erstellen eines Berechtigungssatzes
Wir erstellen jetzt einfach einmal einen Berechtigungssatz.
- Geben Sie unter "Setup" im Feld "Schnellsuche"
Berechtigungssätze
ein und wählen Sie dann Berechtigungssätze aus.
- Klicken Sie auf New (Neu).
- Geben Sie eine Bezeichnung und Beschreibung für den Berechtigungssatz ein.
- Optional können Sie auswählen, ob dieser Berechtigungssatz nur Benutzern mit bestimmten Lizenzen zugewiesen werden soll.
- Klicken Sie auf Save (Speichern).
Die Übersichtsseite des Berechtigungssatzes enthält Abschnitte für alle Berechtigungen und Einstellungen, die konfiguriert werden können. Wir aktivieren nun Objekt-, Feld- und Benutzerberechtigungen.
- Klicken Sie auf Object Settings (Objekteinstellungen) und wählen Sie ein Objekt aus. (Sie können auch direkt zu einem Objekt springen, indem Sie im Feld "Find Settings… (Einstellungen suchen)" danach suchen.)
- Klicken Sie auf Edit (Bearbeiten). Von dieser Seite aus können Sie Objekt- und Feldberechtigungen aktivieren, über die Benutzer verfügen sollen, denen dieser Berechtigungssatz zugewiesen wird. Wenn Sie Ihre Änderungen vorgenommen haben, klicken Sie auf Save (Speichern).
- Klicken Sie auf den Link Permission Set Overview (Berechtigungssatz-Übersicht), um zu dieser Seite zurückzukehren.
- Benutzerberechtigungen befinden sich in den Abschnitten "App Permissions (Anwendungsberechtigungen)" und "System Permissions (Systemberechtigungen)". Für unsere Zwecke klicken Sie nun auf App Permissions (Anwendungsberechtigungen).
- Klicken Sie auf Edit (Bearbeiten). Um eine Benutzerberechtigung zu aktivieren, aktivieren Sie das zugehörige Kontrollkästchen und klicken dann auf Save (Speichern).
Prima. Sie haben einen Berechtigungssatz erstellt und Berechtigungen darin festgelegt. Sie können den Berechtigungssatz nun im Prinzip direkt Benutzern zuweisen – wir kennen allerdings noch eine bessere Methode! Wir erstellen nun eine Berechtigungssatzgruppe, die den Berechtigungssatz enthält, sodass wir die Berechtigungen unserer Benutzer leichter verwalten können.
Berechtigungssatzgruppen
Berechtigungssatzgruppen sind genau das: Gruppen von Berechtigungssätzen. Mit Berechtigungssatzgruppen können Sie Berechtigungssätze auf der Grundlage der Position oder Rolle zusammenfassen. Sie können eine Berechtigungssatzgruppe dann Benutzern zuweisen, anstatt mehrere Berechtigungssatzzuweisungen verwalten zu müssen. Benutzer, die einer Berechtigungssatzgruppe zugewiesen sind, erhalten die kombinierten Berechtigungen aller Berechtigungssätze in der Gruppe.
Was Berechtigungssatzgruppen so leistungsfähig macht, ist die Tatsache, dass Sie einen Berechtigungssatz in mehr als eine Berechtigungssatzgruppe aufnehmen können. Außerdem können Sie bestimmte Berechtigungen innerhalb einer Berechtigungssatzgruppe stummschalten, sodass die entsprechenden Benutzer nicht über diese Berechtigungen verfügen.
Wenn Sie alle diese Möglichkeiten kombinieren, können Sie Ihre Wiederverwendung von Berechtigungssätzen sehr effizient gestalten. Sie können sicherstellen, dass Ihre Benutzer nur über die Berechtigungen verfügen, die sie für ihre Tätigkeiten benötigen, ohne Dutzende (oder gar Hunderte) von Profilen duplizieren zu müssen, um dasselbe Ziel zu erreichen.
Wie bei den restlichen Datensicherheitsfunktionen, die wir angesprochen haben, reißen wir auch das Thema Berechtigungssatzgruppen hier nur an. Ausführlichere Informationen finden Sie im Modul Berechtigungssatzgruppen.
Erstellen einer Berechtigungssatzgruppe und Stummschalten einer Berechtigung
So erstellen Sie eine Berechtigungssatzgruppe:
- Geben Sie unter "Setup" im Feld "Quick Find (Schnellsuche)"
Permission Set Groups
(Berechtigungssatzgruppen) ein und wählen Sie dann Permission Set Groups (Berechtigungssatzgruppen) aus.
- Klicken Sie auf New Permission Set Group (Neue Berechtigungssatzgruppe).
- Geben Sie eine Bezeichnung und Beschreibung für die Berechtigungssatzgruppe ein. Klicken Sie auf Save (Speichern).
- Klicken Sie auf der Übersichtsseite auf Permission Sets in Group (Berechtigungssätze in Gruppe). Klicken Sie auf Add Permission Set (Berechtigungssatz hinzufügen) und wählen Sie dann die Berechtigungssätze aus, die in dieser Berechtigungssatzgruppe enthalten sein sollen. Klicken Sie auf Add (Hinzufügen) und dann auf Done (Fertig).
So schalten Sie eine Berechtigung in einer Berechtigungssatzgruppe stumm:
- Klicken Sie auf der Übersichtsseite auf Muting Permission Set in Group (Stummschaltungsberechtigungssatz in Gruppe).
- Klicken Sie auf New (Neu). Lassen Sie den Namen des Stummschaltungsberechtigungssatzes unverändert und klicken Sie auf Save (Speichern).
- Klicken Sie auf den Namen des Stummschaltungsberechtigungssatzes.
- Mit dem Feld "Find Settings… (Einstellungen suchen)" können Sie direkt zu Objekten oder Berechtigungen springen. Sie können auch zu dem Abschnitt navigieren, der die Berechtigungen enthält, die Sie stummschalten möchten.
- Klicken Sie auf Edit (Bearbeiten) und aktivieren Sie das Kontrollkästchen für die Berechtigungen in der Spalte "Muted (Stummgeschaltet)". Klicken Sie dann auf Save (Speichern).
Sie sind fast fertig! Der letzte Schritt besteht darin, Ihren Benutzern die Berechtigungssatzgruppe zuzuweisen:
- Klicken Sie auf der Übersichtsseite der Berechtigungssatzgruppe auf Manage Assignments (Zuweisungen verwalten) und danach auf Add Assignments (Zuweisungen hinzufügen).
- Wählen Sie die Benutzer aus, denen Sie die Gruppe zuweisen möchten, und klicken Sie auf Next (Weiter).
- Wählen Sie optional ein Ablaufdatum aus, an dem die Benutzerzuweisung ablaufen soll. Diese Option kann nützlich sein, wenn Benutzer der Berechtigungssatzgruppe nur temporär zugewiesen werden sollen.
- Klicken Sie auf Zuweisen.
Organisationsweite Freigabestandardeinstellungen
Sie können den Datenzugriff präziser steuern, indem Sie bestimmten Benutzern die Anzeige eines Objekts gestatten, aber dann innerhalb des Objekts die einzelnen Datensätze einschränken, die sie sehen können. Wie bereits erwähnt, verwenden Sie organisationsweite Standardeinstellungen, um den Basiszugriff von Benutzern auf Datensätze festzulegen, deren Inhaber sie nicht sind.
Sie können die organisationsweiten Standardeinstellungen ermitteln, indem Sie für jedes Objekt die folgenden Fragen klären:
- Für welche Benutzer dieses Objekts gelten die strengsten Einschränkungen?
- Kann es jemals eine Instanz dieses Objekts geben, die dieser Benutzer nicht sehen können soll?
- Kann es jemals eine Instanz dieses Objekts geben, die dieser Benutzer nicht bearbeiten können soll?
Anhand der Antworten auf diese Fragen legen Sie das Freigabemodell für das betreffende Objekt auf eine der folgenden Einstellungen fest:
Feld |
Beschreibung |
---|---|
Privat |
Nur der Inhaber und Benutzer über dieser Rolle in der Hierarchie können diese Datensätze anzeigen, bearbeiten und in Berichten verwenden. |
Öffentlicher Lesezugriff |
Alle Benutzer können Datensätze anzeigen und in Berichten verwenden, diese jedoch nicht bearbeiten. Nur der Inhaber des Datensatzes und Benutzer über dieser Rolle in der Hierarchie können diese Datensätze bearbeiten. |
Öffentlicher Lese-/Schreibzugriff |
Alle Benutzer können alle Datensätze anzeigen, bearbeiten und in Berichten verwenden. |
Gesteuert durch übergeordnetes Element |
Ein Benutzer kann eine Aktion (wie Anzeigen, Bearbeiten oder Löschen) für einen Datensatz dann durchführen, wenn er dieselbe Aktion für den zugeordneten Datensatz durchführen kann. |
Wenn Sie die organisationsweite Freigabeeinstellung für ein Objekt auf "Private (Privat)" oder "Public Read Only (Öffentlicher Lesezugriff)" festlegen, können Sie Benutzern weiteren Zugriff auf Datensätze gewähren, indem Sie eine Rollenhierarchie einrichten, Freigaberegeln definieren oder andere Freigabefunktionen verwenden. Sie können diese Funktionen jedoch nur zum Gewähren von weitergehendem Zugriff verwenden. Mit ihnen kann der Zugriff auf Datensätze nicht weiter eingeschränkt werden als ursprünglich im Freigabemodell durch organisationsweite Freigabestandardwerte angegeben wurde.
Festlegen organisationsweiter Freigabestandardeinstellungen
Da Sie nun schon von organisationsweiten Standardeinstellungen gehört haben, werden Sie nun einige dieser Werte festlegen.
- Geben Sie unter "Setup" im Feld "Schnellsuche"
Sharing Settings
(Freigabeeinstellungen) ein und wählen Sie dann Sharing Settings (Freigabeeinstellungen) aus.
- Klicken Sie im Bereich "Organisationsweite Standardeinstellungen" auf Bearbeiten.
- Wählen Sie für jedes Objekt in der Spalte "Default Internal Access (Interner Standardzugriff)" den gewünschten Standardzugriff aus.
- Wenn Mitarbeiter auf höheren Ebenen der Rollenhierarchien automatisch Zugriff auf Datensätze haben sollen, aktivieren Sie Grant Access Using Hierarchies (Verwenden von Zugriff mithilfe von Hierarchien) für alle benutzerdefinierten Objekte, für die der Standardzugriff nicht auf "Gesteuert durch übergeordnetes Element" festgelegt ist.
Sie haben die Grundlagen der Steuerung des Datenzugriffs in Salesforce kennengelernt und sogar praktische Erfahrungen beim Konfigurieren von Funktionen zur Steuerung des Objekt-, Feld- und Datensatzzugriffs gesammelt. Wenn Sie tiefer in die Zugriffssteuerung für Ihre Benutzer eintauchen möchten, denken Sie an das Modul Datensicherheit.