Alexander Schares
 - 11. Oktober 2016

Wie du Zugriffsberechtigungen auf Datensatzebene definierst

Salesforce Zugriffsberechtigungen

Auf oberster Sicherheitsebene werden durch die Festlegung von objekt- und feldspezifischen Zugriffsberechtigungen in Profilen und Berechtigungssätzen alle Objekte und Felder definiert, auf denen die Benutzer in der Anwendung Zugriff haben sollen. In diesem Artikel werde ich erläutern, wie Sie die Berechtigungen für die eigentlichen Datensätze festlegen können.

Für eine präzise Steuerung des Datenzugriffs haben Sie die Möglichkeit bestimmten Benutzern die Anzeige eines Objektes zu erlauben und dabei gleichzeitig einzelne Datensätze in ihrer Sichtbarkeit einzuschränken.

Fragen Sie sich vor der Erstellung eines Zugriffskonzeptes:

  • Sollen die Benutzer Zugriff auf alle Datensätze haben oder nur auf bestimmte Datensätze für bestimmte Nutzergruppen?
  • Wenn der Zugriff auf eine Teilmenge beschränkt wird, nach welchen Kriterien soll der Zugriff gewährt werden?

Grundüberlegungen zu den Zugriffsberechtigungen an einem Beispiel erläutert

Zunächst erstellen wir ein neues Profil mit dem Namen „Kundenbetreuer“. Auf Objektebene wird dann festgelegt, dass die Mitarbeiter der Kundenbetreuung keine Kunden/Accounts in Saleforce löschen können. Die Kundenbetreuer haben dennoch Berechtigungen Accounts zu erstellen, zu lesen oder zu bearbeiten. Jedoch sollen nicht zwangsläufig alle Kundendaten von Ihnen gelesen oder bearbeitet werden.

Dies ist die Folge von zwei grundlegenden Salesforce Konzepten:

  • Die Berechtigungen für einen Datensatz werden gemäß einer Kombination aus Berechtigungen der Objekt-, Feld- und Datensatzebene ausgewertet
  • Wenn die Berechtigungen auf der Objektebene mit denen der Datensatzebene in Konflikt stehen, greifen die strengeren Einstellungen

In unserem Beispiel heißt das: Selbst wenn das Profil einen lesenden und schreibenden Zugriff auf die Kunden hat, greift diese Berechtigung nicht auf die strengeren Einschränkungen der Datensätze. Als Kundenbetreuer sehe ich dann nur die Kunden, die aufgrund meiner eingeschränkten Zugriffsberechtigungen für mich nicht ausgeblendet sind.

Zugriffspyramide zur Veranschaulichung der variierenden Zugriffsbreite

Anhand der abgebildeten Zugriffspyramide sehen Sie die unterschiedliche Zugriffsbreite der verschiedenen Ebenen. Auf diese wird im weiteren Verlauf näher eingegangen.

Pyramide Zugriffsberechtigungen

OWD’s

Unter den OWD’s verstehen wir die Organisation Wide Defaults, oder auf Deutsch die organisationsweiten Standardeinstellungen der Datensätze. Auf dieser Ebene wird pro Objekt festgelegt, welchen Zugriff Benutzer auf Datensätze anderer Benutzer haben sollen. Mithilfe der OWD’s legen Sie den restriktivsten Zugriff für Ihre Daten fest. Um zu entscheiden, welche OWD’s pro Objekt genommen werden sollen, können Sie sich an folgender Entscheidungsgrafik orientieren.
OWD Entscheidungshilfe
In Umgebungen, bei denen die OWD’s eines Objekts auf Privat oder öffentlichen Lesezugriff eingestellt sind, kann der Administrator den Benutzern mithilfe einer Rollenhierarchie weiteren Zugriff auf die Datensätze gewähren.

Rollenhierarchie

Dabei bewirkt die Rollenhierarchie, dass Benutzer alle Daten anzeigen und bearbeiten können, deren Inhaber Benutzer sind, die in der Rollenhierarchie unter ihnen stehen.

Das heißt in unserem folgenden Beispiel hat ein Benutzer mit der Rolle „Bereichsleitung Kundenbetreuung“ Zugriff auf alle Datensätze der in der Hierarchie unter ihm stehenden Benutzer. In der Kundenbetreuung Süd können die Benutzer nur ihre eigenen Datensätze sehen.
OWD Entscheidungshilfe

Freigaberegeln

Freigaberegeln erweitern ebenfalls den Zugriff auf bestimmte Datensätze. Eine Freigaberegel besteht aus drei Komponenten:

1) Welche Datensätze sollen freigegeben werden? 

Es können Datensätze freigegeben werden, deren Inhaber bestimmte Benutzer sind oder die bestimmte Kriterien erfüllen. Mit kriterienbasierten Freigaberegeln wird anhand von Feldwerten bestimmt, welche Datensätze freigegeben werden.

2) Für welche Benutzer?

Sie können Benutzergruppen anhand der Rolle definieren oder eine öffentliche Gruppe erstellen.

3) Welche Art von Zugriff? 

Sie können den Zugriff „Schreibschutz“ oder „Lese-/Schreibzugriff“ zuweisen.

Manuelle Freigabe

Ein Datensatzinhaber kann über die Schaltfläche „Freigabe“ eines Datensatzes diesen für andere Benutzer freigeben. In einigen Fällen beinhaltet die Zugriffsberechtigung für einen Datensatz auch den Zugriff auf alle damit verknüpften Datensätze. Wenn Sie beispielsweise einem anderen Benutzer Zugriff auf einen Account gewähren, hat der Benutzer automatisch Zugriff auf alle Opportunities und Kundenvorgänge, die mit diesem Account verknüpft sind.

Um Zugriff auf einen Datensatz zu gewähren, müssen Sie einer der Benutzer sein:

  • Inhaber des Datensatzes
  • Ein Benutzer in einer Rolle über dem Inhaber in der Hierarchie (sofern die Freigabeeinstellungen Ihrer Organisation den Zugriff über Hierarchien steuern)
  • Ein Benutzer, dem uneingeschränkter Zugriff auf den Datensatz gewährt wurde
  • Administrator
Künstliche Intelligenz: Potenzialworkshop

Unser Potenzialworkshop hilft Ihnen zu erkennen, wo Sie in Ihrem Unternehmen künstliche Intelligenz nutzen können.

Fazit

Die Zugriffsberechtigungen auf der Datensatzebene könen in Salesforce in unterschiedlicher Zugriffsbreite erstellt werden. Der Artikel hat Ihnen einen ersten Überblick über die vier Abstufungen der Zugriffsbreite gegeben. Für detaillierte Frage zu den einzelnen Stufen nehmen Sie gerne Kontakt mit mir auf.

Alexander Schares - Salesforce Consultant
Das Aufsetzen einer passenden Berechtigungsstruktur birgt einige Herausforderungen und Individualisierungsmöglichkeiten
Salesforce Consultant Alexander Schares

Haben Sie Fragen zu Zugriffsberechtigungen oder Wünschen eine grundlegende Berechtigungsberatung?

Kontaktieren Sie uns: Telefon 0211 9462 8572-65 oder per E-Mail an info@mind-force.de

Alexander Schares

Mein Name ist Alexander Schares und ich bin Salesforce Consultant und Projektleiter im Fachbereich mindforce. Zu meinen Schwerpunkten gehört insbesondere die Prozessoptimierung in den Bereichen CRM und digitalem Marketing.

Sie haben Fragen? Kontaktieren Sie mich!




Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support