Robert Richter
11. Oktober 2016

Wie du Zugriffsberechtigungen auf Datensatzebene definierst

Salesforce Zugriffsberechtigungen

Auf oberster Sicherheitsebene werden durch die Festlegung von objekt- und feldspezifischen Zugriffsberechtigungen in Profilen und Berechtigungssätzen alle Objekte und Felder definiert, auf denen die Benutzer in der Anwendung Zugriff haben sollen. In diesem Artikel werde ich erläutern, wie Sie die Berechtigungen für die eigentlichen Datensätze festlegen können.

Für eine präzise Steuerung des Datenzugriffs haben Sie die Möglichkeit bestimmten Benutzern die Anzeige eines Objektes zu erlauben und dabei gleichzeitig einzelne Datensätze in ihrer Sichtbarkeit einzuschränken.

Fragen Sie sich vor der Erstellung eines Zugriffskonzeptes:

  • Sollen die Benutzer Zugriff auf alle Datensätze haben oder nur auf bestimmte Datensätze für bestimmte Nutzergruppen?
  • Wenn der Zugriff auf eine Teilmenge beschränkt wird, nach welchen Kriterien soll der Zugriff gewährt werden?
Unser E-Book zur Salesforce Entwicklung

E-Book: Salesforce Entwicklung

Die Wahl der richtigen Entwicklungsumgebung, Todsünden der Salesforce Entwicklung und vieles mehr.

Grundüberlegungen zu den Zugriffsberechtigungen an einem Beispiel erläutert

Zunächst erstellen wir ein neues Profil mit dem Namen “Kundenbetreuer”. Auf Objektebene wird dann festgelegt, dass die Mitarbeiter der Kundenbetreuung keine Kunden/Accounts in Saleforce löschen können. Die Kundenbetreuer haben dennoch Berechtigungen Accounts zu erstellen, zu lesen oder zu bearbeiten. Jedoch sollen nicht zwangsläufig alle Kundendaten von Ihnen gelesen oder bearbeitet werden.

Dies ist die Folge von zwei grundlegenden Salesforce Konzepten:

  • Die Berechtigungen für einen Datensatz werden gemäß einer Kombination aus Berechtigungen der Objekt-, Feld- und Datensatzebene ausgewertet
  • Wenn die Berechtigungen auf der Objektebene mit denen der Datensatzebene in Konflikt stehen, greifen die strengeren Einstellungen

In unserem Beispiel heißt das: Selbst wenn das Profil einen lesenden und schreibenden Zugriff auf die Kunden hat, greift diese Berechtigung nicht auf die strengeren Einschränkungen der Datensätze. Als Kundenbetreuer sehe ich dann nur die Kunden, die aufgrund meiner eingeschränkten Zugriffsberechtigungen für mich nicht ausgeblendet sind.

Salesforce ist bei Ihnen schon im Einsatz oder Sie überlegen, ob Salesforce das richtige CRM-System für Ihr Unternehmen ist? Sie sind sich aber nicht sicher, ob Salesforce mehr ist als nur ein Datenspeicher?

Zugriffspyramide zur Veranschaulichung der variierenden Zugriffsbreite

Anhand der abgebildeten Zugriffspyramide sehen Sie die unterschiedliche Zugriffsbreite der verschiedenen Ebenen. Auf diese wird im weiteren Verlauf näher eingegangen.

OWD’s

Unter den OWD’s verstehen wir die Organisation Wide Defaults, oder auf Deutsch die organisationsweiten Standardeinstellungen der Datensätze. Auf dieser Ebene wird pro Objekt festgelegt, welchen Zugriff Benutzer auf Datensätze anderer Benutzer haben sollen. Mithilfe der OWD’s legen Sie den restriktivsten Zugriff für Ihre Daten fest. Um zu entscheiden, welche OWD’s pro Objekt genommen werden sollen, können Sie sich an folgender Entscheidungsgrafik orientieren.

In Umgebungen, bei denen die OWD’s eines Objekts auf Privat oder öffentlichen Lesezugriff eingestellt sind, kann der Administrator den Benutzern mithilfe einer Rollenhierarchie weiteren Zugriff auf die Datensätze gewähren.

Rollenhierarchie

Dabei bewirkt die Rollenhierarchie, dass Benutzer alle Daten anzeigen und bearbeiten können, deren Inhaber Benutzer sind, die in der Rollenhierarchie unter ihnen stehen.

Das heißt in unserem folgenden Beispiel hat ein Benutzer mit der Rolle “Bereichsleitung Kundenbetreuung” Zugriff auf alle Datensätze der in der Hierarchie unter ihm stehenden Benutzer. In der Kundenbetreuung Süd können die Benutzer nur ihre eigenen Datensätze sehen.

Freigaberegeln

Freigaberegeln erweitern ebenfalls den Zugriff auf bestimmte Datensätze. Eine Freigaberegel besteht aus drei Komponenten:

1) Welche Datensätze sollen freigegeben werden? 

Es können Datensätze freigegeben werden, deren Inhaber bestimmte Benutzer sind oder die bestimmte Kriterien erfüllen. Mit kriterienbasierten Freigaberegeln wird anhand von Feldwerten bestimmt, welche Datensätze freigegeben werden.

2) Für welche Benutzer?

Sie können Benutzergruppen anhand der Rolle definieren oder eine öffentliche Gruppe erstellen.

3) Welche Art von Zugriff? 

Sie können den Zugriff “Schreibschutz” oder “Lese-/Schreibzugriff” zuweisen.

Manuelle Freigabe

Ein Datensatzinhaber kann über die Schaltfläche “Freigabe” eines Datensatzes diesen für andere Benutzer freigeben. In einigen Fällen beinhaltet die Zugriffsberechtigung für einen Datensatz auch den Zugriff auf alle damit verknüpften Datensätze. Wenn Sie beispielsweise einem anderen Benutzer Zugriff auf einen Account gewähren, hat der Benutzer automatisch Zugriff auf alle Opportunities und Kundenvorgänge, die mit diesem Account verknüpft sind.

Um Zugriff auf einen Datensatz zu gewähren, müssen Sie einer der Benutzer sein:

  • Inhaber des Datensatzes
  • Ein Benutzer in einer Rolle über dem Inhaber in der Hierarchie (sofern die Freigabeeinstellungen Ihrer Organisation den Zugriff über Hierarchien steuern)
  • Ein Benutzer, dem uneingeschränkter Zugriff auf den Datensatz gewährt wurde
  • Administrator

Fazit

Die Zugriffsberechtigungen auf der Datensatzebene könen in Salesforce in unterschiedlicher Zugriffsbreite erstellt werden. Der Artikel hat Ihnen einen ersten Überblick über die vier Abstufungen der Zugriffsbreite gegeben. Für detaillierte Frage zu den einzelnen Stufen nehmen Sie gerne Kontakt mit mir auf.

Robert Richter

Robert Richter

Mein Name ist Robert Richter, ich berate Kunden beim Thema Vertrieb- und Service mit dem Schwerpunkt Salesforce.

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren

Sie möchten Anhänge von einem Objekt zu einem beliebigen anderen Objekt transferieren, wissen aber nicht wie? Salesforce auch nicht. Zumindest ist der Transfer von Anhängen zwischen beliebigen Objekten zum gegenwärtigen […]

weiterlesen

Wer seine Salesforce-Org jenseits der Standard-Konfigurationsoptionen anpassen möchte, kommt um eigens programmierte Lightning Components kaum herum. Nun lässt sich die UI von Lightning Components mithilfe des Salesforce Lightning Design System […]

weiterlesen

Viele Unternehmen wollen ihre Produkte heutzutage agil umsetzen. Bei der weiteren Planung stellt sich oft ein Unverständnis heraus, was sich hinter diesem Begriff verbirgt. Warum wir bei mindforce agile Vorgehensweise […]

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Kontaktieren Sie uns!
Anja Klusner Kundenservice