分类: 管理员-设置

处理Salesforce无法访问情况

解决问题:

  1. 无法打开Salesforce登陆画面
  2. 登陆Salesforce后,速度慢。

第一步:查看服务器状态

打开 https://trust.salesforce.com/ 网站
检查网页https://status.salesforce.com/. 我们在上面发布服务器实例的可用情况和性能问题,在服务器实例图标矩阵上方区域,我们偶尔会在与互联网服务器供应商合作处理网络问题时贴出常规讯息。

第二步:自查辨别问题原因

  • 检查是否整个团队都经历相同程度的性能问题,是否有发现缓和问题的举措,比如,你
    总是使用一个物理线路连接而使用 WiFi 的同事并没遇到使用问题。也可同时使用手机的
    热点来替换 WiFi 或局域网,尝试连接登录对比结果
  • 另外,如果你的公司有多个办公室和远程工作员工,请与他们确认 – 他们是否也有同样
    问题;
  • 与其他日本网站做比较(如 https://www.japan.go.jp/ 或 https://www.yahoo.co.jp/)看是否也有页面加载缓慢的情况;

以上的方法之后如发现问题现象依然存在且其他网站访问正常,请接着下面的步骤进行。

第三步:执行Traceroute命令

执行到 Salesforce 的 Traceroute 命令,并保存文件,请准备可能在之后请求 Salesforce 支持会用到的日志文件,首先是 Traceroute 命令日志,一个 traceroute 命令可以告知我们从你站点到 Salesforce 的通路情况,这也可以帮助发现哪里可能时发生问题的点,要运行 traceroute 命令
微软视窗用户:

  1. 在视窗任务拦, 点击开始, 选择运行。
  2. 在文本框中键入”cmd” (没有引号) 并且按回车键。DOS 窗口将出现。
  3. 在 DOS 提示, 键入”tracert www.salesforce.com >> c:\tracert.txt” (没有引号)
    并且按回车键。(这个过程需要大约 1 分钟。)
  4. 重覆步骤 3, 键入”tracert ap(x).salesforce.com >> c:\tracert.txt” (没有引号) 。
    其中 ap(x)指的是你们系统在 Salesforce 平台上的实例代号,如果在平时系统访问时的 URL 显示的是 ap1.salesforce.com,这里的 ap1 就是你们公司生产环境所在的实例号;如果是沙盒测试环境,一般是 cs(x)
  5. 一旦所有三个步骤完成了, 在您的 C: \ 盘目录下确认 tracert.txt 文件生成(之后需要以提交个案的形式附带此文件给 Salesforce 客户服务做进一步分析)。

第四步:执行PING命令

请依照以下提示来运行一些更广泛详细的数据包传输测试.在键入每个指令后,让程序运
行直到返回到指令提示符,再进行下一步操作。

  1. 点击开始, 选择运行。 键入 cmd 。 (以下用 ap5 为例,实际情况下以你们的真实系统实例代号替代)
  2. 键入”ping -f -n 25 -l 1200 ap5.salesforce.com >>C:\sfdcping.txt”
  3. 键入”ping -f -n 25 -l 1300 ap5.salesforce.com >>C:\sfdcping.txt”
  4. 键入”ping -f -n 25 -l 1400 ap5.salesforce.com >>C:\sfdcping.txt”
    在以上所有步骤中, 在 1200, 1300, 和 1400 之前是一个”破折号 L”。在您的 C: \ 盘目录下确认 sfdcping.txt 文件生成。之后以提交个案的形式附带此文件给 Salesforce 客户服务做进一步分析。

第五步:向 Salesforce 获取技术支持

–如果可以登录系统
请至网页 https://help.salesforce.com/home,此处需要以自己的 Salesforce 用户身份登录
系统。在页面上找到个案入口,按照指导创建个案,记住以下几个要点

  1. 路径选择正确, General Salesfroce Functionality –>Network and Performance;选择 Log a New Case
  2. 正确书写标题-请用英文描写标题,并加入关键字 –“China Connectivity”
  3. 准确定义等级(Severity Level),请标注 Level2
  4. 仔细描述问题症状和执行的自查内容及结果,可以的话,提供复现问题的步骤
  5. 补充完整必填项目
  6. 保存并提交个案后,记得再次打开个案,将以上两个附件(tracert.txt 和sfdcping.txt)附加到个案中。
    –如果不可以登录系统
    请致电 Salesforce 国内支持热线:400-120-1224;联系坐席帮助提交紧急个案。

 

Salesforce 系统管理员(共享规则)

学习目标

完成本单元后,您将能够:

  • 使用共享规则将访问扩展到角色层次结构之外。
  • 创建一个包含具有不同配置文件和角色的用户的公共组。

使用共享规则扩展访问

您的组织范围内的默认共享设置为您提供了一个(相对限制性的)每个对象的基准访问级别。如果您的组织机构共享公共只读或专用默认设置,则可以使用共享规则为某些用户打开访问权限备份。这使您可以为选定的用户组自动完成全组织范围的共享设置。

共享规则可以基于谁拥有记录或记录中字段的值。例如,使用共享规则来扩展对公共组或角色中的用户的共享访问。与角色层次结构一样,共享规则永远不会比您的组织范围默认设置更严格。他们只是允许更多的访问特定用户。

每个共享规则有三个组件。

分享哪些记录?
您可以共享某些用户拥有的记录或符合特定条件的记录。基于标准的共享规则根据所有权以外的字段值确定要共享的记录。
用哪个用户?
您可以按角色或通过定义公共组来定义用户组。公共组是由管理员定义的用户分组,可用于简化共享规则的创建。每个公共小组可以是以下的组合:

  • 个人用户
  • 角色
  • 角色和下属
  • 其他公共团体
什么样的访问?
您可以分配只读或读/写访问权限。

共享规则在针对您可以预先确定或预测的特定用户组定义的情况下效果最佳,而不是一组频繁更改的用户。例如,在招聘应用程序中,与每个招聘人员分享每个职位,候选人,工作申请和审查很重要。由于招聘人员都属于角色层级中的招聘经理或招聘人员角色,因此我们可以轻松使用共享规则与招聘经理角色及其下属共享这些对象。

或者,考虑招聘应用程序的另一个用例:面试官需要阅读面试人员的候选人和工作申请。在这种情况下,面试官很难提前预测 – 招聘经理可能会根据他们所雇用的职位使用不同的面试官,而面试官可能来自角色体系中的不同群体。所以,这个用例可能不应该用共享规则来处理 – 任何给定经理的访问者团队都太难预测了。

我们应该使用共享规则吗?

让我们通过一系列我们仍然想要实现的权限,然后挑选出最适合共享规则的权限。

招聘人员需要阅读和更新应用程序中存在的每个职位,候选人,工作申请和审核记录。
是。正如我们前面所讨论的,在我们的角色层次中挑选一组招聘者是很容易的。
招聘经理需要阅读和更新招聘经理在职位和招聘记录上的访问权限。
不可以。预测哪个职位将分配给哪个招聘经理是太难了。我们需要以其他方式处理这个用例。
招聘经理需要阅读他们作为招聘经理的候选人记录。
再说一次,要预测哪个职位将分配给哪个招聘经理是太难了。
招聘经理需要阅读和更新每个工作申请和审查记录。
是。由于我们不限制哪个职位申请和审查人事经理读取和更新,我们可以轻松地从我们的角色层次中挑选出所有的招聘经理,并为他们定义一个共享规则。
面试人员需要阅读候选人和工作申请记录上的面试人员。
没有。正如我们之前所讨论的,很难预测谁将成为某个特定职位的面试小组的成员。

总而言之,这里是我们为Recruiting应用程序定义的关键共享规则。

对象 规则标签 拥有… 与某人分享… 访问权限
评论 编辑
评论		 整个组织 招聘人员和招聘经理 读/写
候选人 编辑
候选人		 整个组织 招聘经理的角色和下属 读/写
职位 编辑
职位		 招聘经理的角色和下属 招聘经理的角色和下属 读/写

定义一个公共组

在创建共享规则之前,建立适当的公共组是很重要的。 公共团体是个人用户,其他团体,个人角色和/或与其下属的角色的集合,它们都具有共同的功能。 例如,具有“招聘人员”配置文件的用户以及“软件开发经理”角色的用户都可以查看作业申请。

在定义共享规则时使用公共组使得规则更容易创建,更重要的是,更容易理解,特别是如果它是您尝试在大型组织中维护的众多共享规则之一。如果要定义包含多个或两个组或角色或任何个人的共享规则,请创建一个公共组。

查看我们要实现的必需权限,只有两个对象需要公共组的共享规则:作业应用程序和审阅。好消息是,我们可以将这些对象覆盖在一个组中,因为Review对象位于主从关系的细节一侧,所以它继承了我们应用于作业应用程序对象的共享设置。由于招聘人员和招聘经理都需要阅读和更新职位申请和评论,我们可以定义一个名为“评审人员”的公共组织,其中包括招聘人员和招聘经理。

  1. 在安装程序中,使用快速查找框来查找 Public Groups.
  2. 点击 New.
    The Sharing Group Membership page for the new group Reviewers. The selected members include those in the SW Dev Manager role and members and subordinates of the Recruiting Manager role.
    新建公共组页面允许您选择其他公共团体,个人角色,包括角色的下属个人角色或个人用户。
  3. 给你的规则标签 Reviewers.
    Group Name 文本框在您单击时自动填充。这是API和受管软件包使用的唯一名称。
  4. 在 Search 下拉列表中,选择“角色”。
  5. 在Available Members列表中,选择SW Dev Manager,Director产品管理和Director QA,然后单击Add。
  6. 返回搜索下拉列表,这次选择角色和下属。
  7. 在“可用成员”列表中,选择“招聘经理”,单击“添加”,然后保存。
一旦你定义了你的组,你可以用它来定义共享规则。

定义一个共享规则

让我们使用我们创建的公共组来定义审阅记录的共享规则。您可以为单个公共组,角色或角色和下属定义共享规则。
已经有一个默认的公共组织包含了组织中的每个用户。
  1. 在安装程序中,使用快速查找框来查找共享设置。这是用于定义组织范围默认值的相同页面。
  2. 在管理共享设置下拉列表中,选择作业应用程序。
    在此下拉列表中选择一个对象,可以让您一次性关注单个对象的整个组织范围内的默认值和共享规则,而不是在一个长页面中查看所有对象 – 如果您有一个有用的东西一个拥有多个自定义对象的大型组织。我们使用此“共享规则”相关列表来创建适用于“作业应用程序”和“审阅”对象的共享规则。
  3. 在“作业应用程序共享规则”区域中,单击“新建”,并为您的规则指定 Review Records.
    Rule Name 文本框在您单击时自动填充。
  4. 对于规则类型,确保选择 Based on record owner
  5. Select which records to be shared,请选择公共组,然后选择整个组织。
  6. Select users to share with, 选择公共组,然后选择审阅者。
  7. Select the level of access for the users,选择“读取/写入”,然后保存。
我们刚刚创建了一个规则,与所有招聘人员和招聘经理共享由组织成员编写和拥有的评论。由于审稿人和招聘经理都需要阅读和更新评论,所以我们用一个共享规则和一个公共组织来处理每个人。

Salesforce 系统管理员(创建角色)

学习目标

完成本单元后,您将能够:

  • 解释角色层次结构与组织结构图的不同之处。
  • 查看和修改角色层次结构。
  • 创建和分配角色以简化对记录的访问。

创建和编辑角色

角色层次结构与共享设置一起工作,以确定用户对Salesforce数据的访问级别。用户可以访问层次结构中正下方所有用户的数据。
需要查看大量数据的用户(例如首席执行官,主管或其他管理层)经常出现在层次结构的顶端。但角色层次结构不必与您的组织结构图匹配。层次结构中的每个角色仅代表用户或用户组需要的数据访问级别。
  • 无论组织范围内的默认设置如何,经理都可以访问与其员工相同的数据。
  • 倾向于需要访问相同类型记录的用户可以组合在一起。稍后我们将讨论共享规则时使用这些组。

根据您的共享设置,角色可以控制用户对Salesforce数据的可见性级别。任何给定角色级别的用户都可以查看,编辑和报告角色层次结构中由其下的用户拥有或共享的所有数据,除非对象的共享模型另有指定。具体而言,在“组织范围默认值”相关列表中,如果对自定义对象禁用“授予访问权限使用层次结构”选项,则只有由组织范围默认设置授予访问权限的记录所有者和用户可以访问该对象的记录。

除了设置每个对象的组织范围共享默认值之外,还可以指定用户是否可以访问层次结构中的下属所拥有的数据或与其下属共享的数据。例如,角色层次结构会自动将记录访问权授予层次结构中记录所有者之上的用户。默认情况下,为所有对象启用“授予访问使用层次结构”选项。只能对自定义对象进行更改。

要使用任何自定义对象的层次结构控制共享访问,请在快速查找方框中输入共享设置,然后选择共享设置。在“组织范围默认值”部分中,单击“编辑”。如果要阻止用户获得对层次结构中的下属拥有的数据或与其下属共享的数据的自动访问权限,请取消选择“使用层次结构授予访问权限”。

定义角色层次结构

一旦您对层次结构应该是什么样子有所了解,在平台中实现角色层次结构就很容易了。最好从公司的组织结构图开始,然后尽可能将不同的职位合并为单一角色。
例如,如果一个软件开发小组有一个软件工程师和一个初级软件工程师,这些职位可以合并为一个软件工程师角色。一旦完成,您可以开始定义角色层次本身。
  1. 从安装程序中,使用快速查找框查找角色。

    提示

    如果您看到名为“了解角色”的介绍性启动页面,请单击页面底部的“设置角色”以跳至实际工具。

    The Create Role Hierarchy page with the organization role hierarchy set to "Show in tree view"

    组织角色层次结构的“创建角色层次结构”页面设置为“以树状视图显示”
    此页面的默认视图是树形视图,如Role Hierarchy标题栏最右侧的下拉列表中所示。在创建角色层次结构时,最好使用这个或者列表视图,因为它们都可以很容易地看到这些角色如何在层次结构中相互配合。如果知道要查找的角色的名称,但是不确定它是否适合层次结构,或者您不想单击打开所有树节点,则排序的列表视图是最好的。为了我们的目的,我们将坚持树形视图。
    当您首次开始定义角色层次结构时,树形视图将显示一个单位占位符节点,其中包含组织名称。从这个角度来说,我们需要添加层次结构中最高层角色的名称,在我们的例子中,是CEO。

    注意

    如果您使用免费的Developer Edition或Trailhead Playground组织构建您的应用程序,则可以将角色层次结构预定义为示例。没关系。你仍然可以继续创造更多的角色。

  2. 在公司名称下方,单击添加角色。

    注意

    如果CEO角色已经存在,请单击编辑。

  3. 在标签文本框中输入CEO。
    角色名称文本框自动与CEO。
  4. 在“此角色报告给文本框”中,单击查找图标查找图标Lookup icon,然后单击组织名称旁边的选择。
    通过在“此角色报告给文本框”中选择组织的名称,我们指出CEO角色是角色层次结构中的顶级职位,不会向任何人报告。
  5. 在报告文本框中显示的角色名称中,输入CEO。
    这个文本在报告中用来表示一个角色的名字。由于像产品开发副总裁这样的长角色名称会在您的报告列中占用额外的空间,因此我们建议使用简短但可读的缩写。
  6. 将其他选项(如“机会访问”)设置为默认值并保存。
    这些访问选项与我们的Recruiting应用程序没有任何关系,只有当您将组织标准对象的默认组织范围设置为比公开阅读/写入限制级别时才会出现。
  7. 现在您已经创建了第一个角色,您可以为其分配适当的用户。点击首席执行官,然后在首席执行官角色详情页面上,点击分配用户到角色。
    The Role Detail page for the CEO role
  8. 在“可用用户”下拉列表中,选择“全部未分配”。
  9. 从列表中选择一个用户,然后单击添加将其移到CEO的选定用户列表中,然后保存。

如果您从安装程序返回主角色页面,您现在可以在层次结构中看到新的CEO角色。您可以根据角色层次结构图来定义其余的角色。没有必要立即为用户指定每个角色 – 稍后您可以创建其他用户并测试您的应用。

提示

要加快添加新角色的过程,请直接在新角色应报告的角色名称下单击添加角色。当您这样做时,此角色报告到文本框将自动填入相应角色的名称。

招聘应用程序的角色层次结构

让我们来看看一个使用我们的招聘应用程序的虚构公司的角色层次结构的分支。请记住,在我们定义的整个组织范围的默认情况下,招聘经理可以查看(但不创建或更新)所有职位,招聘信息和招聘网站记录,查看和更新​​他们拥有的其他招聘记录。这并不能使我们的应用程序变得有用。但是,一旦我们的角色层次到位,我们的用户就可以获得他们需要的数据,并且我们的应用程序已经关闭并正在运行。

The role hierarchy for the Universal Containers company

此角色层次结构自动授予这些记录级权限:

  • 辛西娅首席执行官可以查看和更新​​组织中任何其他人都可以查看和更新​​的记录。
  • Andrew的开发副总裁可以查看和更新​​他的经理或其经理的员工可以查看或更新的任何记录。
  • Megan人力资源副总裁可以查看和更新​​她的招聘经理Phil或者Mario,Phil的招聘人员可以查看和更新​​的任何记录。
  • 招聘经理Phil可以查看和更新​​他的招聘人员Mario拥有的任何记录。
  • 软件开发经理Ben可以查看和更新​​他的软件工程师Melissa,Tom或Craig拥有的任何记录。
  • QA的主管Clark可以查看和更新​​他的质量保证工程师Flash或Harry拥有的任何记录。

正如您所看到的,角色层次结构是为需要查看大量数据的人员打开数据的强大方法!

使用组织范围内的默认设置和角色层次结构,您几乎可以完成Recruiting应用程序的记录级访问权限。剩下的就是分享出现在角色分层结构的不同分支中的组之间以及单个组中的对等体之间的招募相关记录。您可以使用共享规则和手动共享的组合来执行这些操作。

Salesforce 系统管理员(访问记录)

学习目标

完成本单元后,您将能够:

  • 列出四种方法来控制对记录的访问。
  • 描述使用四个记录级别安全控制中的每一个的情况。
  • 解释不同的记录控件如何相互作用。
  • 设置组织范围的共享默认设置来控制对记录的访问。

记录级安全

要精确控制数据访问,可以允许特定用户查看特定对象中的特定字段,但是可以限制它们允许查看的单个记录。
记录访问决定了用户可以在其个人资料中访问的每个对象中查看和编辑哪些记录。首先问自己这些问题:
  • 您的用户是否应该开放访问每个记录,或只是一个子集?
  • 如果它是一个子集,什么规则应该确定用户是否可以访问它们?

假设您创建一个名为Recruiter的新配置文件,为招聘者提供他们所需的对象级权限。您限制删除招聘相关对象的权力,所以招聘者永远不能删除这些对象。但是,授予招聘人员创建,阅读或编辑招聘对象的权限并不一定意味着招聘人员可以阅读或编辑招聘对象中的每个记录。这是两个重要概念的结果:

  • 记录上的权限总是根据对象级别,字段级别和记录级别权限的组合进行评估。
  • 当对象级权限与记录级权限相冲突时,限制最多的设置将胜出。

这意味着,即使您授予配置文件创建,读取和编辑招聘对象的权限,但如果个人招聘记录的记录级别权限更具限制性,这些规则也可以定义招聘人员可以访问的内容。
您可以通过四种方式控制记录级访问。它们按照访问次序的顺序排列。您使用组织范围的默认设置将数据锁定到最严格的级别,然后根据需要使用其他记录级别的安全工具向选定的用户授予访问权限。

  • Org-wide defaults 指定用户对对方记录的访问的默认级别。
  • Role hierarchies 确保管理者可以访问与其下属相同的记录。层次结构中的每个角色都表示用户或用户组需要的数据访问级别。
  • Sharing rules 是特定组用户的组织范围默认设置的自动例外情况,可以让他们访问他们不拥有或通常无法看到的记录。
  • Manual sharing 允许记录所有者给予可能无法以其他方式访问记录的用户的读取和编辑权限。

Increasing levels of visibility

任何类型数据的可见性和访问都是基于这些关键原则,通过上述安全控制的相互作用来确定的。

  • 用户对任何对象的基准权限由其配置文件决定。
  • 如果用户有任何权限集已分配,这些还设置与配置文件一起的基准权限。
  • 访问用户不拥有的记录首先由组织范围内的缺省设置。
  • 如果组织范围的默认值小于公共读/写,则可以使用角色层次结构为特定角色打开访问备份
  • 您可以使用共享规则将访问扩展到其他用户组。
  • 每个记录所有者可以通过使用记录上的分享按钮手动与其他用户共享单个记录。

您已经看到如何使用配置文件和权限集配置对象级别和字段级别的访问权限。现在我们来看看各种记录级安全控制的细节。

组织范围的共享

组织范围内的默认值指定最受限用户应具有的基准访问级别。使用组织范围的默认设置来锁定数据,然后使用其他记录级别的安全和共享工具(角色层次结构,共享规则和手动共享)将数据打开到需要的用户。
对象权限决定对象中所有记录的基准访问级别。组织范围内的默认值修改用户不拥有的记录的权限。组织范围的共享设置可以为每种类型的对象分别设置。

组织范围内的默认值永远不能授予用户比通过其对象权限更多的访问权限。

要确定您的应用程序需要的组织范围的默认值,请问自己有关每个对象的这些问题:

  1. 谁是这个对象最受限制的用户?
  2. 是否曾经有过这个对象的实例,这个用户不应该被允许看到?
  3. 是否曾经有过这个对象的实例,这个用户不应该被允许编辑?

A diagram for determining the sharing model for objects

根据您的答案,您可以将该对象的共享模型设置为其中一个设置。

Private
只有记录所有者和层次结构中的角色以上的用户才能查看,编辑和报告这些记录。
Public Read Only

所有用户都可以查看和报告记录,但是只有所有者和层次结构中的角色以上的用户才可以对其进行编辑。

Public Read/Write
所有用户都可以查看,编辑和报告所有记录。
Controlled by Parent
用户可以查看,编辑或删除记录,如果她可以在它所属的记录上执行相同的操作。

当对象的组织范围共享设置为“公共”或“公共只读”时,管理员可以通过设置角色层次结构或定义共享规则来授予用户对记录的其他访问权限。共享规则只能用于授予额外的访问权限。它们不能用于限制访问超出最初由组织范围共享默认值指定的记录。

作为一个例子,让我们来回顾一下Recruiting应用程序中Position对象的上述问题列表。

谁是这个对象最受限制的用户?
标准员工简介的成员。所有他们被允许做的是查看一个位置。
是否曾经有过这个对象的实例,这个用户不应该被允许看到?
不可以。尽管最低和最高薪酬字段的价值对于标准雇员是隐藏的,他们仍然可以查看所有的头寸记录。
是否曾经有过这个对象的实例,这个用户不应该被允许编辑?
是。标准员工不允许编辑任何职位记录。

由于我们对第三个问题回答“是”,所以Position对象的共享模型应该设置为Public Read Only。通过与其他招聘对象重复相同的练习,您可以轻松地找出适合他们的组织范围的默认设置。标准员工简介是每个对象最受限制的用户,并且将会有候选人,工作申请和特定员工无法查看的审核记录。因此,候选人,工作申请和审核对象的共享模式都应设置为“私人”。

注意

您无法为Review对象设置组织范围的默认值,因为该对象位于主从关系的详细信息一侧,而详细信息记录会自动继承其父对象的共享设置。所以在我们的应用程序中,Review对象被自动设置为Private。

设置您的组织范围共享默认值

使用组织范围内的默认值来指定最受限用户应具有的基准访问级别。
  1. 在安装程序中,使用快速查找框来查找共享设置。
  2. 单击组织范围默认区域中的编辑。
    The Org-Wide Defaults Edit page
  3. 对于每个对象,请选择您想给予每个人的默认访问权限。
  4. 要使用您的层次结构禁用自动访问,请取消选择“使用层次结构授予访问权限”,以获得没有“受父级控制”的默认访问权限的任何自定义对象。
默认情况下,角色层次结构会自动授予对层次结构中记录所有者之上的用户的记录访问权限。将对象设置为“私有”使得这些记录仅可用于在角色层次结构中记录所有者及其上的所有者。使用“授予使用层次结构的访问权”复选框禁止对记录所有者在自定义对象层次结构中的用户访问记录。如果您取消选中自定义对象的此复选框,则只有记录所有者和由组织范围的默认访问权限授予访问权才能访问记录。
即使取消选择“使用层次结构访问”,某些用户(如具有“查看全部”和“修改全部”对象权限以及“查看所有数据”和“修改所有数据”系统权限的用户)仍然可以访问记录自己的。

注意

更新组织范围内的默认值会自动运行共享重新计算,以将任何访问更改应用于您的记录。重新计算完成后,您会收到通知电子邮件,您可以刷新“共享设置”页面以查看更改。要从“设置”查看更新状态,请在“快速查找”框中输入“查看设置审计跟踪”,然后选择“查看设置审计跟踪”。

一旦使用组织范围的默认设置锁定了数据,对于某些用户而言,最终的设置可能太严格了。然后,您可以使用剩余的记录级别的安全控制(角色层次结构,共享规则和手动共享)来选择性地向需要它的特定员工打开记录访问权限。

告诉我更多…

Apex托管共享允许开发人员以编程方式共享与自定义对象关联的记录。当您对任何自定义对象使用Apex托管共享时,只有具有“修改所有数据”权限的用户才能添加或更改该自定义对象记录上的共享,并且即使记录所有者发生更改,共享访问也保持不变。有关更多信息,请参阅Apex共享。

Salesforce 系统管理员(访问字段)

学习目标

完成本单元后,您将能够:

  • 列出限制访问特定字段的原因。
  • 查看和编辑字段级安全设置。

修改字段级安全性

在控制对象级访问之后,定义敏感字段的字段级安全性是安全和共享难题的第二部分。
在某些情况下,您希望用户有权访问对象,但限制对该对象中各个字段的访问权限。字段级安全设置(或字段权限)控制用户是否可以查看,编辑和删除对象上特定字段的值。这些设置使我们能够保护敏感字段,如候选人的社会安全号码,而不必隐藏候选对象。

与页面布局不同的是,字段级别的安全控制了应用程序任何部分(包括相关列表,列表视图,报告和搜索结果)中字段的可见性。事实上,为了确保用户不能访问特定的字段,对给定对象使用字段级安全页面来限制对该字段的访问是很重要的。根本没有其他的快捷方式可以为特定的字段提供相同级别的保护。

例如,以下是您可以为Recruiting应用程序设置的一些字段级安全设置。

  • Position object—隐藏来自标准雇员和面试官的最低和最高工资。
  • Candidate object—隐藏招聘经理和面试官的社保号码。
  • Job Application object— 使招聘经理的位置和候选人查找字段为只读。

字段设置可以通过修改配置文件或权限集或从设置中的字段辅助功能菜单应用。

在为用户设置字段级安全性之后,您可以:

  • 创建页面布局来组织细节和编辑页面上的字段。
  • 通过检查字段可访问性来验证用户对字段的访问权限。
  • 自定义搜索布局以设置在搜索结果中,查找对话框搜索结果中以及标签主页上的键列表中显示的字段。

用配置文件限制字段访问

您通过修改配置文件或权限集来应用现场设置。让我们尝试限制一个用户的配置文件的一般访问。然后,我们将根据需要使用权限集进行扩展。
  1. 使用快速查找框查找安装程序中的配置文件。
  2. 选择您想要更改的配置文件。 “标准用户”将会做得很好。
  3. 在“字段级安全性”部分中,单击要修改的对象旁边的“查看”,然后单击“编辑”。
  4. 对于每个字段,使用此配置文件指定用户需要的访问类型,然后保存设置。
现在,您已经为敏感数据设置了字段级安全性,您可以创建页面布局来组织字段以方便用户,并自定义字段在搜索结果和列表中的显示方式。对于拼图的最后一部分,指定每个用户需要访问的单个记录。通过结合所有三个层面的安全控制,您可以建立一个高度安全的数据访问模型,这个模型足够灵活,可以满足许多不同类型用户的需求。

使用权限集添加字段访问

让我们看看如何通过修改权限集来应用字段设置。请记住,权限集用于将用户的访问权限扩展到其配置文件中受限制的字段。
让我们设置面试官,在面试候选人时更新候选人记录。我们假设我们的访问者拥有标准用户配置文件。
我们在设置自定义对象时使用了权限集。现在我们将返回到安装页面,确保一个或我们的对象中的正确字段可供需要它们的用户使用。
  1. 在安装程序中,使用快速查找框查找权限集。
  2. 选择一个权限集,然后单击对象设置。
  3. 点击您正在使用的对象,然后点击编辑。
    在这个例子中,我们正在修改候选对象。
  4. 在“字段权限”下,指定您的采访者需要的访问类型,然后保存此权限集。
    The Field-Level Security Edit page for the Standard Employee profile看看我们如何让我们的访问者既能阅读也能改变Apex和C#复选框的值?现在,当他们确定了候选人掌握这些技能的时候,他们可以选中或取消选中这些框。我们已经阻止他们改变招聘日期或招聘经理的名字,但他们可以看到这些信息。而且他们不需要知道该职位的薪酬,所以我们已经删除了他们的阅读和编辑访问这些字段
  5. 单击管理分配,然后选择您希望需要您指定权限的用户。点击添加分配和完成,你就完成了!
现在您已经为敏感数据定义了字段级别的安全性。 对于拼图的最后一部分,指定每个用户需要访问的单个记录。 通过结合所有三个层面的安全控制,您可以建立一个高度安全的数据访问模型,这个模型足够灵活,可以满足不同类型用户的需求。

Salesforce 系统管理员(访问对象)

学习目标

完成本单元后,您将能够:

  • 查看现有配置文件并创建新配置文件
  • 修改使用配置文件访问对象。
  • 查看配置文件中的所有分配的用户。
  • 创建新的权限集。
  • 将权限集分配给单个和多个用户。

 

管理对象权限

控制数据访问的最简单方法是对特定类型的对象设置权限。 (一个对象是一个记录的集合,如线索或联系人)。您可以控制一组用户是否可以创建,查看,编辑或删除该对象的任何记录。

您可以使用配置文件或权限集来设置对象权限。用户可以拥有一个配置文件和许多权限集。

  • 用户的配置文件确定他们可以访问的对象以及他们可以用任何对象记录(如创建,读取,编辑或删除)执行的操作。
  • 权限集授予额外的权限和访问设置给用户。

使用配置文件授予所有特定类型用户所需的最低权限和设置。然后使用权限集根据需要授予更多的权限。配置文件和权限集的组合为您指定对象级访问提供了极大的灵活性。

对招聘应用程序的对象权限

作为一个例子,我们来看看如何在Recruiting应用程序中配置对象级访问。该应用程序有四种主要类型的用户:招聘经理,招聘人员,访问员和标准员工。每种类型的用户需要什么类型的对象访问?

招聘经理
本招聘经理应该能够访问与其未平仓头寸相关的招聘记录,但不应该有其他招聘记录(除非他们是由其他向他报告的招聘经理拥有的)。此外,还有一些他不需要看的敏感字段,比如社会安全号码字段。让我们考虑一下Ben对于应用程序中的每个关键自定义对象所需的权限。

  • 职位—Ben应该能够发布新的职位,以及更新和查看他是招聘经理职位的所有字段,但他只能够查看其他经理的职位。
  • 候选人—本只能查看那些已经申请了招聘经理职位的候选人。此外,由于本没有理由看到候选人的社会安全号码,所以这个字段应该受到限制。
  • 申请工作— Ben需要能够更新工作申请的状态,以指定应选择或拒绝哪些候选人。然而,他不应该改变申请人列出的候选人,也不应该考虑候选人所申请的职位,所以我们必须找到一种方法来阻止Ben更新职位申请的查询字段。
  • 评论—为了对正在申请的候选人做出决定,Ben需要看到面试官发布的评论,并且如果他认为面试官的评论过于偏袒,他们就会发表评论。同样,本需要能够创建评论,以便他能够记住自己对他所面试候选人的印象。
招聘
招聘人员Mario需要能够创建,查看和修改系统中的任何职位,候选人,工作申请或审核。他还需要查看和修改所有其他招聘人员拥有的招聘记录,因为所有招聘人员一起工作来填补每个职位,而不管是谁创建的。
我们需要确保招聘人员不会意外删除有关候选人信息的记录。这是因为州和联邦法律要求将与招聘相关的记录保存多年,以便在招聘决定受到质疑时,可以在法庭上进行辩护。
面试官
梅丽莎是一位采访高技术职位候选人的工程师。她应该只能查看她被指定为面试官的候选人和工作申请。而且,她也不应该能够查看任何候选人的任何职位或社会安全号码的最低和最高工资值,因为这是与她的工作无关的敏感信息。
标准员工
像Harry这样的员工通常是招聘新员工的最佳资源,即使他们不是积极的招聘经理或面试官。因此,我们需要确保员工可以查看未平仓头寸,但是他们无法看到头寸的最低和最高工资的价值 – 否则他们可能会倾倒朋友来谈判一个头寸的最高工资值! Harry也不应该在Recruiting应用程序中查看任何其他记录。

以下是四种类型用户所需的权限。

自定义对象 招聘 招聘经理 面试官 标准员工
职位
创建
编辑
创建
编辑*
(没有最低/
最高工资)
(没有最低/
最高工资)
候选人
创建
编辑		 读* (无SSN) 读 * (无SSN)
申请工作
创建
编辑
编辑(无查找字段)		 读*
评论
创建
编辑
创建
编辑		 读**
创建
编辑**

*仅用于与招聘经理或面试人员分配的职位相关的记录。

**只适用于面试官拥有的记录。

在本模块的其余部分,您将了解如何使用该平台在Recruiting应用程序中实施这些规则。正如你所看到的,这将需要在所有三个级别配置安全控制:对象,字段和记录。

 

使用配置文件来限制访问

每个用户都有一个配置文件,用于控制用户有权访问哪些数据和功能。配置文件是设置和权限的集合。配置文件设置确定用户可以看到哪些数据,权限决定了用户可以使用该数据执行的操作。
  • 用户个人资料中的设置决定了她是否可以看到特定的应用,标签,字段或记录类型。
  • 用户配置文件中的权限决定了她是否可以创建或编辑给定类型的记录,运行报告和自定义应用程序。

配置文件通常与用户的工作职能相匹配(例如系统管理员,招聘人员或招聘经理),但您可以拥有适用于您的Salesforce组织的任何配置文件。配置文件可以分配给许多用户,但用户一次只能有一个配置文件。

标准配置文件

该平台包含一组标准配置文件。一些例子是:

  • 只读
  • 标准用户
  • 营销用户
  • 合同管理人
  • 系统管理员

每个标准配置文件都包含平台上所有可用标准对象的默认权限集。例如,标准用户可以创建和编辑记录,而只读用户可以查看记录,但不能创建或编辑记录。系统管理员配置文件具有最广泛的数据访问权限和最大的配置和自定义Salesforce的能力。系统管理员配置文件还包含两个特殊权限:

  • 查看所有数据
  • 修改所有数据

这些权限将覆盖所有其他共享设置,因此在将其分配给系统管理员以外的任何配置文件时请谨慎使用。您可以在安装程序中查看所有标准和自定义配置文件的列表。

您不能编辑标准配置文件上的对象权限。但是,您可以克隆任何现有配置文件,并将其用作新配置文件的基础,根据需要调整应用程序和系统设置。例如,在招聘应用程序中,您可以创建三个新的配置文件,招聘人员,面试官和招聘经理各一个。然后可以将每个配置文件配置为提供特定角色所需的特定类型的数据访问。然后,您可以根据需要使用权限集来授予其他权限。

 

注意

组织中的配置文件功能取决于用户许可证类型。

管理配置文件

配置文件概述页面为单个配置文件提供所有设置和权限的入口点。在安装程序中,使用快速查找框查找配置文件,然后单击要查看的配置文件。

The profile overview page.

 

创建一个配置文件

创建配置文件的最简单方法是克隆与要创建的配置文件类似的现有配置文件,然后对其进行修改。

Salesforce具有增强的配置文件用户界面,可以轻松查找和修改配置文件设置。这就是我们将用于这个练习。为此,请在安装程序的快速查找框中找到用户界面,然后选择启用增强型配置文件用户界面,然后单击保存。

A list of user profiles
  1. 在安装程序中,使用快速查找框查找配置文件。
  2. 点击与您要创建的配置文件类似的配置文件旁边的复制。
  3. 给你的新配置文件一个名字,并保存。

 

分配一个配置文件

创建配置文件后,您需要对其进行自定义以匹配一组用户的需求,然后将该配置文件分配给这些用户。
  1. 在设置中查找配置文件
  2. 单击配置文件的名称,然后单击编辑以查看其设置。
  3. 为此用户类型设置最严格的设置和权限,然后保存。
    (不要担心阻止用户做他们需要做的事情,当我们给他们权限集时,我们会为他们开放更多的可能性。)
  4. 在安装程序中找到用户,然后单击其中一个旁边的编辑。
  5. 从配置文件下拉列表中选择您刚刚设置的配置文件,然后保存。

 

使用权限集来授予访问权限

权限集是一组设置和权限,可以让用户访问各种工具和功能。权限集中的设置和权限也可在配置文件中找到,但权限集可扩展用户的功能访问权限,而不更改其配置文件。
权限集使您可以轻松地授予对组织中各种应用程序和自定义对象的访问权限,并在不再需要时取消访问权限。

用户只能有一个配置文件,但可以有多个权限集。

您将使用权限集来实现两个一般目的:授予对自定义对象或应用程序的访问权限,并将权限(临时或长期)授予特定字段。

授予对自定义对象或应用的访问权限
假设您的组织中有许多用户具有相同的基本工作职能。您可以为他们分配所有的配置文件,授予他们完成工作所需的所有访问权限。但是其中一些用户正在开发一个特殊的项目,他们需要访问一个没有其他人使用的应用程序。而其他一些用户需要访问该应用程序以及第一个组不需要的另一个应用程序。如果我们只有配置文件,则必须根据少数用户的需求创建更多的配置文件,或者抓住机会,将更多的访问权限添加到原始配置文件中,使应用程序可供不需要的用户使用。这些选项都不是理想的,尤其是在您的组织日益壮大以及用户需求定期更改的情况下。
授予特定字段的权限。
比方说,你有一个用户,汤姆,他的同事正在度假时需要临时编辑一个字段。您可以创建一个权限集,授予对该字段的访问权限并将权限集分配给Tom。当Tom的同事从休假中返回时,Tom不再需要访问该字段,只需从Tom的用户记录中删除权限集分配即可。

 

注意

如果用户在其基本配置文件中拥有权限,则不能通过将权限集分配给该用户来将其删除。权限只能添加权限。要取消权限,您必须从用户的基本配置文件以及用户可能拥有的任何权限集中删除权限。

管理权限集

权限集的概述页面是权限集中所有权限的入口点。要打开权限集概述页面,请在“设置”中找到“权限集”,然后选择要查看的权限集。在每个权限集中,权限和设置都被组织到应用程序设置,系统设置,对象权限和字段权限中。

Permission set overview page

 

创建一个权限集

创建一个权限集,在特定用户的现有配置文件权限的基础上为其授予额外权限,而无需修改现有配置文件,创建新配置文件或授予管理员配置文件。
  1. 使用快速查找框来查找安装程序中的权限集。
  2. 点击要复制的集旁边的复制。

     

    注意

    克隆权限集具有与原始相同的用户许可证。要创建具有不同许可证的集合,请单击“新建”。

  3. 输入一个标签和一个描述。
    API名称是由API和受管软件包使用的唯一名称。它会自动复制标签,但您可以修改它。
  4. 如果这是一个新的权限集,请选择一个用户许可证选项。
    • 如果您计划将此权限集分配给具有不同许可证的多个用户,请选择 – 无 – 。
    • 如果只有具有一种类型许可证的用户才能使用此权限集,请选择该用户许可证。
  5. 单击保存返回到权限集概述页面。
  6. 在权限集工具栏中,单击管理分配,然后单击添加分配。
  7. 选择要分配给此权限集的用户,然后单击分配。
    查看“作业摘要”页面上的消息。如果没有分配任何用户,则“消息”列将告诉您为什么。
  8. 单击完成返回到分配给权限集的用户列表。

 

招聘应用程序的配置文件和权限集

现在您已经看到了如何创建和修改配置文件和权限集,让我们为我们的Recruiting应用程序设置适当的对象级访问权限。该应用程序有四种主要类型的用户:招聘人员,招聘经理,访问员和标准雇员。

以下是决定是否为每种类型的用户创建配置文件或权限集的关键考虑因素。

招聘
这些代表一个明确定义的工作职能,他们需要访问不同类型的数据比其他用户。因此,为招聘者创建一个档案是有意义的。
招聘经理
对于大多数组织,销售部门的招聘经理需要访问不同于工程部门招聘经理的数据类型。但是,所有招聘经理仍然需要获得相同类型的招聘数据 – 评论,候选人,职位和工作申请。因此,创建可分配给各种类型的用户的招聘经理权限集是很方便的。
面试官
来自任何部门和任何工作职位的员工可能被要求进行面试,并且只需要有限的时间访问招聘信息。为采访者定义权限集合是有意义的,因为权限可以根据需要轻松分配和撤销。
标准员工
这是一个通用的组,不反映特定的工作职能。 对于大多数员工,您可以创建一个基本配置文件,以访问一小部分数据,然后根据他们的专长,创建并分配权限集,以便根据需要为他们提供更多访问权限。

所以从我们所看到的,为Recruiting应用程序配置对象权限的最佳方式是这样的:

  1. 创建两个配置文件:招聘人员和标准员工。
  2. 创建两个权限集:招聘经理和访问者。
  3. 将标准员工配置文件分配给招聘经理和访调员,然后为其职能授予适当的权限集。

Salesforce 系统管理员(访问系统)

学习目标

完成本单元后,您将能够:

  • 创建,查看和管理用户。
  • 设置密码策略。
  • 限制用户可以登录的IP地址。
  • 限制用户登录的时间。

控制对组织的访问

如果您确保只有符合特定条件的员工才能登录到Salesforce,则可以保护您的数据达到最广泛的级别。您可以通过管理授权用户,设置密码策略以及限制用户何时何地登录。

管理用户

每个Salesforce用户都由用户名,密码和单个配置文件标识。与其他设置一起,配置文件确定用户可以执行哪些任务,查看了哪些数据以及可以对数据执行哪些操作。
要查看和管理您的组织中的用户,请使用安装程序中的“快速查找”框来查找用户。用户列表显示组织中的所有用户。

创建一个用户

您只需点击几下即可创建用户,甚至可以创建多个用户。这与输入用户名,别名和电子邮件以及选择角色,许可证和配置文件一样简单。当然,还有更多的选项可用,但这就是你需要开始的一切。
Salesforce会自动生成密码并立即通知新用户。用户登录后可以更改或添加自己的个人信息。
  1. 使用快速查找框来查找 Users | Users 在中 Setup.
  2. 点击 New User.
    或者您可以单击添加多个用户一次添加最多十个用户。

    Diagram of the relationship between the Position and Job Application custom objects in a record detail page
  3. 以电子邮件地址的形式输入用户的姓名,电子邮件地址和唯一的用户名。默认情况下,用户名与电子邮件地址相同。
  4. 选择此用户将拥有的用户许可证。
    许可证确定哪些配置文件可用于每个用户。
  5. 选择一个配置文件,指定用户的最低权限和访问设置。
  6. 选择生成一个新密码的选项并通知用户,然后保存。

取消激活用户

您无法删除用户,但可以停用某个帐户,以便用户无法登录。取消激活的用户将无法访问所有记录。 (包括单独与他们共享的记录以及作为团队成员与他们共享的记录)。但是,您仍然可以将此数据传输给其他用户并在“用户”页面上查看名称。
  1. 在 Setup中,使用快速查找框转到 Users.
  2. 点击要停用的用户名旁边的 Edit 
  3. 清除 Active 复选框,然后单击 Save.
    如果您无法立即停用某个帐户(例如,在自定义层次结构字段中选择该用户时),则可以冻结其帐户。这可以防止用户在停用它们的同时登录到组织。
    1. 在安装程序中的用户页面上,单击要冻结其帐户的用户的用户名。
    2. 点击 Freeze.

设置密码策略

您可以配置多个设置,以确保您的用户密码强大且安全。
密码策略
设置密码和登录策略,例如指定所有用户密码到期之前的时间以及密码所需的复杂程度。
用户密码到期
使组织中所有用户的密码失效,除了“密码永不过期”权限的用户。
用户密码重置
重置指定用户的密码。
登录尝试和锁定期间
如果用户由于失败的登录尝试失败而被锁定,您可以解锁该用户的访问权限。
  1. 使用快速查找框来查找安装程序中的密码策略。
    Diagram of the relationship between the Position and Job Application custom objects in a record detail page
  2. 自定义密码设置。
    1. 密码需要多长时间?
      在合理的范围内,时间越长越好。
    2. 你想要你的密码有多复杂?
      您可以要求字母,数字,大写,小写或特殊字符。
    3. 密码有效多少天?
    4. 被锁定之前有多少次可以尝试使用无效凭证登录?
  3. 选择如何处理忘记的密码和锁定的帐户。
  4. 点击 Save.

通过IP地址限制登录访问

您可以控制用户可以从哪里登录。例如,如果某些用户使用公司防火墙外部的IP地址,则可能无法登录。您选择的IP范围称为“可信”IP范围。
  • 如果您为整个组织设置可信的IP范围,则超出该范围的地址的用户不会被完全排除。他们可以登录,如果他们完成一个挑战问题,通常通过输入激活码发送到他们的电话或电子邮件。
  • 如果您只为给定的用户配置文件设置可信的IP范围,那么具有该配置文件且不在可信范围之内的所有用户都将被锁定。

默认情况下,Salesforce不限制登录访问的位置。如果你什么都不做,用户可以从任何IP地址登录。

  1. 转到您的设置面板。
    • 如果您为整个组织执行此操作,请使用“快速查找”框来查找网络访问。
    • 如果您正在为配置文件执行此操作,请查找“配置文件”,然后单击要编辑的配置文件的名称。
  2. 在“登录IP范围”相关列表中单击“新建”。
    Trusted IP range selection
  3. 输入可信IP地址范围的起点和终点,并保存。

限制按时间登录访问

对于每个配置文件,您可以指定用户可以登录的时间。例如,如果您决定呼叫中心的员工在拨打9到5的电话时只需要查看客户数据,则可以这样做无法在晚上和周末登录。
  1. 在安装程序中,使用快速查找框查找配置文件。
  2. 点击您想要更改的配置文件。
  3. 在登录时间下,单击编辑。
  4. 设置具有此配置文件的用户可登录到组织的天数和小时数。
    • 要允许用户随时登录,请单击全部清除。
    • 要禁止用户在特定日期使用系统,请将开始和结束时间设置为相同的值。

注意

如果用户在登录时间结束时登录,他们可以继续查看当前页面,但不能采取任何进一步的行动。

Salesforce 系统管理员(数据安全)

学习目标

完成本单元后,您将能够:

  • 解释让正确的人访问正确数据的重要性。
  • 列出您可以控制数据访问的四个级别。
  • 描述在四个级别中的每一级限制数据访问的典型场景。

介绍

选择每个用户或用户组可以看到的数据集是影响Salesforce组织或应用程序安全性的关键决策之一。一旦您设计并实现了您的数据模型,请仔细考虑您的用户正在做的事情以及他们需要做的数据。
假设您正在构建一个招聘应用程序,以帮助管理空缺职位,求职者和工作申请。您必须存储机密数据,例如社会安全号码,工资金额和申请者评论,只有某些类型的用户才能看到。您需要保护敏感数据,而不会让招聘人员,招聘经理和面试人员更加困难。

借助Salesforce平台的灵活分层共享模型,可以轻松地为不同的用户组分配不同的数据集。您可以平衡安全性和便利性,降低被盗或误用数据的风险,并确保所有用户都能轻松获取所需的数据。

该平台可以轻松指定哪些用户可以查看,创建,编辑或删除应用程序中的任何记录或字段。您可以控制对整个组织,特定对象,特定字段甚至单个记录的访问。通过结合不同级别的安全控制,您可以为成千上万的用户提供正确的数据访问级别,而无需为每个用户单独指定权限。

注意

虽然您可以完全使用用户界面配置安全和共享模型,但该模型在API级别上工作。这意味着即使通过API调用查询或更新数据,您指定的任何权限都适用。无论用户如何获得数据,数据的安全性都受到保护。

数据访问级别

您可以控制哪些用户可以访问整个组织中的哪些数据,特定对象,特定字段或单个记录。
Organization

对于整个组织,您可以维护授权用户的列表,设置密码策略,并将登录限制在特定的时间和地点。

Objects
访问对象级别的数据是最简单的事情来控制。通过设置特定类型对象的权限,可以防止一组用户创建,查看,编辑或删除该对象的任何记录。例如,您可以使用对象权限来确保面试者可以查看职位和职位申请,但不能编辑或删除职位。
Fields
即使用户有权访问该对象,也可以限制对某些字段的访问。例如,您可以使面试对象的工资字段对面试官不可见,但对招聘经理和招聘人员可见。
Records
您可以允许特定用户查看对象,但是可以限制它们允许查看的单个对象记录。例如,面试官可以查看和编辑自己的评论,但不能查看其他面试官的评论。您可以通过以下四种方式管理记录级访问。
  • Organization-wide defaults 组织范围的默认值指定用户对彼此的记录的访问的默认级别。您使用组织范围共享设置将数据锁定到最严格的级别,然后使用其他记录级别的安全和共享工具选择性地授予其他用户访问权限。
    角色层次结构允许层次结构中较高级别的用户访问层次结构中位于其下的用户拥有的所有记录。
  • Role hierarchies 角色层次结构不必完全匹配您的组织结构图。相反,层次结构中的每个角色应代表用户或用户组需要的数据访问级别。
  • Sharing rules 共享规则是特定组用户对组织范围内默认设置的自动例外,因此他们可以获取他们不拥有或通常无法看到的记录。共享规则(如角色层次结构)仅用于为其他用户提供对记录的访问权限。它们不能比组织范围的默认设置更严格。
  • Manual sharing 手动共享允许特定记录的所有者与其他用户共享。尽管手动共享不是像整个组织范围内的自动分享设置,角色层次结构或共享规则一样自动执行,但在某些情况下,如招聘人员休假时需要临时将工作应用程序的所有权分配给其他人,这种做法可能很有用。

提示

制作组织中各种类型用户的表格。在表中,指定每个对象的每种类型的用户以及对象内的字段和记录的数据访问级别。然后,您可以在设置安全模型时参考此表。

使用Salesforce控制数据访问A diagram of the sharing and security settings available for different types of users

审计系统使用

审计提供了诊断潜在安全问题或处理真实问题的重要信息。组织中的某个人应定期进行审核,以发现潜在的滥用行为。寻找意想不到的变化或使用模式。
Record Modification Fields
所有对象都包含用于存储创建记录的用户的名称以及上次修改记录的人员的字段。这提供了一些基本的审计信息。
Login History
您可以查看过去六个月的成功和失败登录尝试列表。有关更多信息,请参阅监控登录历史。
Field History Tracking
您可以打开审计来自动跟踪各个字段值的更改。尽管所有自定义对象都可以使用字段级审计,但只有一些标准对象才允许。有关更多信息,请参阅Field History Tracking。
Setup Audit Trail
安装程序审计跟踪在对组织配置进行修改时记录。有关更多信息,请参阅监视器设置更改。

Salesforce 系统管理员(验证规则)

学习目标

完成本单元后,您将能够:

  • 描述验证规则的两个用例。
  • 列出验证规则的元素。
  • 创建一个验证规则。

验证规则简介

验证规则验证用户在记录中输入的数据是否符合您指定的标准,然后才能保存。验证规则可以包含一个公式或表达式,用于评估一个或多个字段中的数据,并返回“True”或“False”值。验证规则还可以包含在用户输入基于指定的无效值时向用户显示的错误消息标准。使用这些规则有效地提高了质量数据。例如,您可以确保所有电话号码字段都包含指定的格式,或者应用于特定产品的折扣不会超过定义的百分比。

定义验证规则

您可以为对象,字段,活动成员或案例里程碑创建验证规则。在这些步骤中,我们将创建一个验证规则,当用户尝试使用长度不正确的帐号保存帐号时触发。

创建一个验证规则

  1. 从Setup,转到对象管理器,然后Account.
  2. 在左侧边栏中,点击 Validation Rules.
  3. 点击 New.
  4. 为您的验证规则输入以下属性:
    1. 规则名称: Account_Number_8_Characters
    2. 错误条件公式: 
      LEN( AccountNumber) != 8
  5. 错误消息:帐号必须是8个字符。
  6. 要检查公式中的错误,请单击“检查语法”。
  7. 点击 Save 完成。
以下是当用户在字段中输入不正确的电话号码格式时验证规则的错误消息的显示方式。

A filled out validation rule, including a related error message.

验证规则示例

以下是一些您可以自行尝试的验证规则示例:

帐号是数字

字段
说明: 验证帐号是否为数字,如果不是空白。
公式: 
	AND(
   NOT(ISBLANK(AccountNumber)),
   NOT(ISNUMBER(AccountNumber))
)
错误消息: Account Number is not numeric.
错误位置: Account Number

日期必须在当年

字段
说明: 验证自定义日期字段是否包含当前年份的日期。
公式: YEAR( My_Date__c ) <> YEAR ( TODAY() )
错误消息: 日期必须在当年。
错误位置: My Date

字范围验证

字段
说明: 验证两个自定义字段之间的范围Salary Min和Salary Max不大于$ 20,000。
公式: 
(Salary_Max__c - Salary_Min__c) > 20000
错误消息: 薪水范围必须在$ 20,000以内。调整薪资最大值或薪资最小值。
错误地点: Salary Max

网站扩展

字段
说明: 验证名为“网站”的自定义字段,以确保其最后四个字符位于明确的有效网站扩展集中。
公式: 
AND(
   RIGHT( Web_Site__c, 4) <> ".COM",
   RIGHT( Web_Site__c, 4) <> ".com",
   RIGHT( Web_Site__c, 4) <> ".ORG",
   RIGHT( Web_Site__c, 4) <> ".org",
   RIGHT( Web_Site__c, 4) <> ".NET",
   RIGHT( Web_Site__c, 4) <> ".net"
 )
错误消息: 网站必须具有.com,.org或.net的扩展名。
错误位置: Web Site

有效结算国家/地区

字段
说明: 验证帐户结算国家/地区是有效的ISO 3166双字母代码。
公式: 
OR(
LEN(BillingCountry) = 1,
NOT(
CONTAINS(
"AF:AX:AL:DZ:AS:AD:AO:AI:AQ:AG:AR:AM:" &
"AW:AU:AZ:BS:BH:BD:BB:BY:BE:BZ:BJ:BM:BT:BO:" &
"BA:BW:BV:BR:IO:BN:BG:BF:BI:KH:CM:CA:CV:KY:" &
"CF:TD:CL:CN:CX:CC:CO:KM:CG:CD:CK:CR:CI:HR:" &
"CU:CY:CZ:DK:DJ:DM:DO:EC:EG:SV:GQ:ER:EE:ET:FK:" &
"FO:FJ:FI:FR:GF:PF:TF:GA:GM:GE:DE:GH:GI:GR:GL:" &
"GD:GP:GU:GT:GG:GN:GW:GY:HT:HM:VA:HN:HK:HU:" &
"IS:IN:ID:IR:IQ:IE:IM:IL:IT:JM:JP:JE:JO:KZ:KE:KI:" &
"KP:KR:KW:KG:LA:LV:LB:LS:LR:LY:LI:LT:LU:MO:MK:" &
"MG:MW:MY:MV:ML:MT:MH:MQ:MR:MU:YT:MX:FM:MD:MC:" &
"MC:MN:ME:MS:MA:MZ:MM:MA:NR:NP:NL:AN:NC:NZ:NI:" &
"NE:NG:NU:NF:MP:NO:OM:PK:PW:PS:PA:PG:PY:PE:PH:" &
"PN:PL:PT:PR:QA:RE:RO:RU:RW:SH:KN:LC:PM:VC:WS:" &
"SM:ST:SA:SN:RS:SC:SL:SG:SK:SI:SB:SO:ZA:GS:ES:" &
"LK:SD:SR:SJ:SZ:SE:CH:SY:TW:TJ:TZ:TH:TL:TG:TK:" &
"TO:TT:TN:TR:TM:TC:TV:UG:UA:AE:GB:US:UM:UY:UZ:" &
"VU:VE:VN:VG:VI:WF:EH:YE:ZM:ZW",
BillingCountry)))
错误消息: 需要有效的双字母国家代码。
错误位置: Billing Country

Salesforce 系统管理员(汇总摘要字段)

学习目标

完成本单元后,您将能够:

  • 描述汇总摘要字段是什么。
  • 创建汇总摘要字段。
  • 将字段级安全性应用于汇总摘要字段。

总览总结字段简介

虽然公式字段使用单个记录中的字段计算值,但累积汇总字段会从一组相关记录(例如相关列表中的那些记录)中计算值。您可以创建总览汇总字段,根据详细记录中的记录值自动在主记录上显示值。这些详细记录必须通过主从关系直接与主人相关。

您可以使用汇总摘要字段执行不同类型的计算。您可以统计与主记录相关的明细记录的数量,或者计算明细记录中字段的总和,最小值或最大值。例如,您可能想要:

  • 自定义帐户字段,用于计算所有相关待定机会的总数。
  • 一个自定义订单字段,用于汇总包含您指定的描述的产品的单位价格。

定义汇总摘要字段

由于汇总摘要字段基于主从关系,所以在创建汇总摘要字段之前查看对象关系是非常有用的。

主从关系

主 – 细节关系将对象紧密地链接在一起,以便主记录控制细节和细尾记录的特定行为。

您在主 – 细节关系主侧的对象上定义汇总摘要字段。例如,您可以在Account对象上创建汇总摘要字段,以汇总相关的机会:

Example of fields rolling up to sum opportunities.

滚动来总结机会的字段的例子。

类型 描述
计数 合计相关记录的数量。
汇总您在“字段汇总”选项中选择的字段中的值。只有数字,货币和百分比字段可用。
MIN 显示所有直接相关记录的“字段到聚合”选项中所选字段的最小值。只有数字,货币,百分比,日期和日期/时间字段可用。
MAX 显示所有直接相关记录的“字段到聚合”选项中所选字段的最大值。只有数字,货币,百分比,日期和日期/时间字段可用。

创建摘要字段

  1. 从安装程序中,打开对象管理器并单击 Account.
  2. 在左侧边栏上,点击 Fields & Relationships.
  3. 点击 New.
  4. 选择“总览摘要”字段类型,然后单击 Next.
  5. 对于字段标签,输入机会总和,然后单击Next.
  6. 汇总对象是您要汇总的详细对象。选择机会。
  7. 选择SUM汇总类型,然后选择金额作为要汇总的字段。
  8. 点击 NextNext,和 Save.

总览总结字段的示例

以下是详细数据汇总到主记录的更多示例。

日期机会首先创建

帐户对象上创建了一个汇总字段。 “创建日期”在“商机”对象中进行汇总,以查找与某个帐户相关的创建商机的最早日期。

Example of rolling up the opportunity created date to an account.

所有与机会有关的产品总价格

在“商机”对象上创建了一个汇总字段。在机会产品对象中汇总总价格,以查找与机会相关的所有产品的总数。

Example of rolling up the product total for an opportunity.

机会的最低价格

在“商机”对象上创建了一个汇总字段。在“机会产品”对象中汇总“标价”以查找与机会相关的价格最低的产品。

Example of rolling up the minimum product price on an opportunity.

告诉我更多

恭喜您创建您的第一个汇总摘要字段!请记住,您可以在汇总摘要字段中计算的字段类型取决于计算类型。例如:

  • 当您选择SUM作为汇总类型时,可以使用数字,货币和百分比字段。
  • 当您选择MIN或MAX作为上卷类型时,可以使用数字,货币,百分比,日期和日期/时间字段。

通过https://help.salesforce.com了解更多关于汇总摘要字段的信息。