Posted on 
December 21, 2022

Salesforce Permissions in a Nutshell: Organization-Wide Defaults vs. Role Hierarchy

7 min

Salesforce’s Data Security Model is one of those things that people love about Salesforce - it is not that complex and provides ample flexibility for its users. In our last article from the  “Salesforce Permissions in a Nutshell”  series, we talked about Object and Field Level Security by comparing Profiles and Permission Sets. If you haven’t started on this series yet or want a refresher, please see Salesforce Permissions in a Nutshell: Profiles vs. Permission Sets

Okay, now that we have set up Object and Field Level Security, what’s next? How do you ensure your users can see the records they are supposed to? That is where Record-Level Security comes into the picture. But how do you even set this up? Well, you are in the right place, as we will discuss this in today’s article. So hang tight as we learn how to share records with your users across the organization.

There are several ways to control your users’ access to records.

  • These are:
  • Organization-Wide Sharing Defaults or OWD
  • Role Hierarchy
  • Manager Groups
  • Sharing Rules
  • Manual Sharing
  • User Sharing
  • Apex-managed Sharing
  • Restriction Rules
  • Scoping Rules
  • Team Access

Today, we will be focusing on Organization-Wide Defaults (OWD) and Role Hierarchy. However, before we delve any further, let us know what Record Sharing is.

What do you mean by “Record Sharing” in Salesforce?

Record Sharing is the act of granting access to an individual user or a group of users and what actions they can perform on those records or data sets. Sharing record access can be done through the User Interface (yes, declaratively!) and programmatically via Apex.

Organization-Wide Sharing Defaults

The base record-level security feature you need to set up is “Organization-Wide Sharing Defaults,” or, as we call it, OWD. Think of it as the foundation of a building or a house. 

You can access this by going to Setup, then on Quick Find, search for “Sharing Settings.”

How does OWD work? It defines access all users have for records of an object. Most objects have Private, Public Read Only, and Public Read/Write options. If an object has Public Read or Private, an admin can grant access to users by setting up a hierarchy or sharing rule. If an object has a master-detail relationship with another object, you can also see “Controlled By Parent” as an option. 

Please see the table below for more details on the different OWD access options combined with the object level accesses:

* Can be set either on Profiles or Permission Sets.

As you can see, you need the correct combination of accesses set in the OWD and object level to achieve the desired results. So the next time you come across an issue where your users cannot see a record or can see a record they are not supposed to, consider checking the object’s OWD or object-level access set in the profile or permission set.

  • You can set OWD for three types of users:
  • Internal - They are usually employees working within your company or consultants who may need broader access to your organization. They log in using login.salesforce.com or your company-specific domain, such as loremipsum.my.salesforce.com.
  • External - They are users who interact with your company as part of your business process but are not internal employees. The usual use cases of this are Self-Service, Help Centers, Customer Portals, broker and Dealer Portals, etc. For example, you have created a Support Portal for your end-users with the URL support.loremipsum.com. Users will be identified as external once they log in to your Experience Cloud Site.
  • Guest - They are users who access your Experience Cloud site as a public user or someone who has not logged in or has not been authenticated. If your Experience Cloud site has been made public by default or has pages set to Public, all users will be identified as Guest users until they log in.

Role Hierarchy

Role Hierarchy works with Sharing Settings to define users' access levels. Users can access records that users directly below them in the hierarchy have access to. Even though a Role Hierarchy resembles an organization chart, it does not have to match. A good role hierarchy should represent the level of record access that a user or group of users needs. It is also sometimes referred to as “parallel record sharing.”

How does Role Hierarchy work?

Consider the role hierarchy illustrated above using the table of outcomes below.

As shown in the examples above, only users directly above the hierarchy can access a user's data even though two users of different roles are in the same data access level, such as EMEA Regional Vice President and AMER Regional Vice President.

  • Common use cases
  • A group of users who needs access to the same type of records can be assigned to one role
  • A manager should always have access to his subordinates’ records regardless of what is set in OWD

How to view and create a Role

To view existing roles and to create one:

  1. Go to Setup -> Search “Roles” in Quick Find
  2. Click on the + (Expand) button to see the other roles below a role
  3. Click the “Add Role” link below the role you wish to add a role under
  4. Provide the Label, Role Name, and Role Name to display on Reports and hit the “Save” button

You can also add a Role programmatically via Apex. (We will discuss this in a future article, so hang tight!)

You can also change the view of the Role Hierarchy by selecting any of the available options found at the top-right of the “Creating the Role Hierarchy” Page.

How to assign a user to a role

There are two ways to assign a user a role via the UI. The third one is via Apex.

Adding a user via Role Detail Page

  1. Go to the Role to which you want to add a user
  2. Find the section “Users in <Role Name>”
  3. Click the “Assign Users to Role” button.

Adding a role via User Detail Page

  1. Go to the User you want to add a role
  2. Click on the “Edit” button
  3. Click on the “Role” picklist and select a Role
  4. Click “Save”

Do bear in mind that you can have multiple users assigned with the same role, but a user cannot have more than one role.

How can you share/view records using role?

  1. Organization-Wide Defaults
    “Parallel Record Sharing” happens when “Grant Access Using Hierarchies” is enabled for the object
  1. Sharing Rules
    You can use Roles to share records via Sharing Rules as well as shown below. We will go into Sharing Rules in more detail in the following article of the “Salesforce Permissions in a Nutshell” series.

In the following references of roles, you will also see “Roles and Subordinates.” What is the difference? If you only selected “Role,” then only users in that role will have access to the records you shared. If you selected “Role and Subordinates,” all users in the role you selected and users in the roles below it will have access to the records.

  1. Manual Sharing / Apex managed Sharing
    We will also discuss these two in detail in the following articles but as long as sharing is concerned, you can use Roles to share records.

Other usages of Roles

  1. List Views
    When creating list views, you can specify which role can only see the list view.
  1. Public Groups
    A public group is used to assign things or resources which are meant to be seen or used by everyone in the organization in just one click. It may contain individual users, roles, or roles and subordinates.
  1. Reports and Dashboards
    You can share report folders and dashboard folders using Roles and Roles and Subordinates

Easy as 1-2-3, isn’t it?

Record-Level sharing is a bit daunting, but with this article, we hope to explain the trickiest bits in a more straightforward, concise manner. Stay tuned to the following articles, where we delve into other record-level sharing and Salesforce permissions!

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Tagged:
No items found.
Posted on 
December 21, 2022

Permisos de Salesforce en pocas palabras: valores predeterminados de toda la organización frente a jerarquía de roles

7 min

El modelo de seguridad de datos de Salesforce es una de esas cosas que a la gente le encanta de Salesforce: no es tan complejo y proporciona una gran flexibilidad a sus usuarios. En nuestro último artículo de la serie "Permisos de Salesforce en pocas palabras", hablamos sobre la seguridad a nivel de objetos y campos al comparar perfiles y conjuntos de permisos. Si aún no ha comenzado con esta serie o desea una actualización, consulte Permisos de Salesforce en pocas palabras: perfiles frente a conjuntos de permisos .

Bien, ahora que hemos configurado la seguridad a nivel de objetos y campos, ¿qué sigue? ¿Cómo se asegura de que sus usuarios puedan ver los registros que se supone que deben ver? Ahí es donde entra en juego la seguridad de nivel de registro. Pero, ¿cómo configuras esto? Bueno, estás en el lugar correcto, ya que hablaremos de esto en el artículo de hoy. Así que espere mientras aprendemos cómo compartir registros con sus usuarios en toda la organización.

Hay varias formas de controlar el acceso de sus usuarios a los registros.

  • Estos son:
  • Valores predeterminados de uso compartido en toda la organización u OWD
  • Jerarquía de roles
  • Administrador de grupos
  • Reglas de uso compartido
  • Uso compartido manual
  • Uso compartido de usuarios
  • Uso compartido gestionado por Apex
  • Reglas de restricción
  • Reglas de alcance
  • Acceso de equipo

Hoy, nos centraremos en los valores predeterminados de toda la organización (OWD) y la jerarquía de funciones. Sin embargo, antes de profundizar más, háganos saber qué es Record Sharing.

¿Qué quiere decir con "Compartir registros" en Salesforce?

Compartir registros es el acto de otorgar acceso a un usuario individual o a un grupo de usuarios y qué acciones pueden realizar en esos registros o conjuntos de datos. El acceso a registros compartidos se puede hacer a través de la interfaz de usuario (sí, ¡de forma declarativa!) y mediante programación a través de Apex.

Valores predeterminados de uso compartido en toda la organización

La función básica de seguridad a nivel de registro que necesita configurar es "Valores predeterminados de uso compartido en toda la organización" o, como lo llamamos, OWD. Piense en ello como los cimientos de un edificio o una casa.

Puede acceder a esto yendo a Configuración, luego en Búsqueda rápida, busque "Configuración de uso compartido".

¿Cómo funciona OWD? Define el acceso que todos los usuarios tienen para los registros de un objeto. La mayoría de los objetos tienen opciones Privado, Público de solo lectura y Público de lectura/escritura. Si un objeto tiene lectura pública o privada, un administrador puede otorgar acceso a los usuarios configurando una jerarquía o una regla de uso compartido. Si un objeto tiene una relación maestro-detalle con otro objeto, también puede ver "Controlado por principal" como una opción.

Consulte la siguiente tabla para obtener más detalles sobre las diferentes opciones de acceso a OWD combinadas con los accesos a nivel de objeto:

* Se puede configurar en Perfiles o Conjuntos de permisos.

Como puede ver, necesita la combinación correcta de accesos establecidos en el OWD y el nivel de objeto para lograr los resultados deseados. Por lo tanto, la próxima vez que se encuentre con un problema en el que los usuarios no puedan ver un registro o puedan ver un registro que se supone que no deben ver, considere verificar el OWD del objeto o el conjunto de acceso a nivel de objeto en el perfil o conjunto de permisos.

  • Puede configurar OWD para tres tipos de usuarios:
  • Internos : por lo general, son empleados que trabajan dentro de su empresa o consultores que pueden necesitar un acceso más amplio a su organización. Inician sesión utilizando login.salesforce.com o el dominio específico de su empresa, como loremipsum.my.salesforce.com.
  • Externos : son usuarios que interactúan con su empresa como parte de su proceso comercial, pero no son empleados internos. Los casos de uso habituales de esto son el autoservicio, los centros de ayuda, los portales de clientes, los portales de intermediarios y distribuidores, etc. Por ejemplo, ha creado un portal de soporte para sus usuarios finales con la URL support.loremipsum.com. Los usuarios se identificarán como externos una vez que inicien sesión en su sitio de Experience Cloud.
  • Invitado : son usuarios que acceden a su sitio de Experience Cloud como un usuario público o alguien que no ha iniciado sesión o no se ha autenticado. Si su sitio de Experience Cloud se ha hecho público de forma predeterminada o tiene páginas configuradas como Públicas, todos los usuarios se identificarán como usuarios invitados hasta que inicien sesión.

Jerarquía de roles

La jerarquía de roles funciona con la configuración de uso compartido para definir los niveles de acceso de los usuarios. Los usuarios pueden acceder a los registros a los que tienen acceso los usuarios directamente debajo de ellos en la jerarquía. Aunque una jerarquía de roles se parece a un organigrama, no tiene por qué coincidir. Una buena jerarquía de roles debe representar el nivel de acceso a registros que necesita un usuario o grupo de usuarios. A veces también se lo denomina "intercambio de registros en paralelo".

¿Cómo funciona la jerarquía de funciones?

Considere la jerarquía de roles ilustrada arriba utilizando la tabla de resultados a continuación.

Como se muestra en los ejemplos anteriores, solo los usuarios directamente por encima de la jerarquía pueden acceder a los datos de un usuario aunque dos usuarios con funciones diferentes estén en el mismo nivel de acceso a los datos, como el vicepresidente regional de EMEA y el vicepresidente regional de AMER.

  • Casos de uso comunes
  • Un grupo de usuarios que necesitan acceso al mismo tipo de registros se puede asignar a un rol
  • Un gerente siempre debe tener acceso a los registros de sus subordinados, independientemente de lo que esté configurado en OWD

Cómo ver y crear un rol

Para ver los roles existentes y crear uno:

  1. Vaya a Configuración -> Buscar "Roles" en Búsqueda rápida
  2. Haga clic en el botón + (Expandir) para ver los otros roles debajo de un rol
  3. Haga clic en el enlace "Agregar función" debajo de la función en la que desea agregar una función
  4. Proporcione la etiqueta, el nombre de la función y el nombre de la función para mostrar en los informes y presione el botón "Guardar".

También puede agregar un rol mediante programación a través de Apex. (Discutiremos esto en un artículo futuro, ¡así que espera!)

También puede cambiar la vista de la jerarquía de funciones seleccionando cualquiera de las opciones disponibles que se encuentran en la parte superior derecha de la página "Creación de la jerarquía de funciones".

Cómo asignar un usuario a un rol

Hay dos formas de asignar un rol a un usuario a través de la interfaz de usuario. El tercero es a través de Apex.

Agregar un usuario a través de la página de detalles del rol

  1. Vaya al Rol al que desea agregar un usuario
  2. Busque la sección "Usuarios en <Nombre del rol>"
  3. Haga clic en el botón "Asignar usuarios a la función".

Agregar un rol a través de la página de detalles del usuario

  1. Vaya al usuario al que desea agregar un rol
  2. Haga clic en el botón "Editar"
  3. Haga clic en la lista de selección "Rol" y seleccione un Rol
  4. Clic en Guardar"

Tenga en cuenta que puede tener varios usuarios asignados con el mismo rol, pero un usuario no puede tener más de un rol.

¿Cómo puede compartir/ver registros usando el rol?

  1. Valores predeterminados de toda la organización El
    "uso compartido de registros paralelos" ocurre cuando "Otorgar acceso mediante jerarquías" está habilitado para el objeto
  1. Reglas
    de colaboración Puede utilizar roles para compartir registros a través de reglas de colaboración como se muestra a continuación. Veremos las Reglas de colaboración con más detalle en el siguiente artículo de la serie "Permisos de Salesforce en pocas palabras".

En las siguientes referencias de roles, también verá “Roles y subordinados”. ¿Cuál es la diferencia? Si solo seleccionó "Función", solo los usuarios con esa función tendrán acceso a los registros que compartió. Si seleccionó "Rol y subordinados", todos los usuarios en el rol que seleccionó y los usuarios en los roles a continuación tendrán acceso a los registros.

  1. Uso compartido manual / Uso compartido administrado por Apex
    También analizaremos estos dos en detalle en los siguientes artículos, pero en lo que respecta al uso compartido, puede usar Roles para compartir registros.

Otros usos de los roles

  1. Vistas de lista
    Al crear vistas de lista, puede especificar qué rol solo puede ver la vista de lista.
  1. Grupos
    públicos Un grupo público se usa para asignar cosas o recursos que deben ser vistos o utilizados por todos en la organización con un solo clic. Puede contener usuarios individuales, roles o roles y subordinados.
  1. Informes y tableros
    Puede compartir carpetas de informes y carpetas de tableros usando Roles y Roles y Subordinados

Fácil como 1-2-3, ¿no?

Compartir registros a nivel es un poco desalentador, pero con este artículo, esperamos explicar las partes más complicadas de una manera más directa y concisa. ¡Estén atentos a los siguientes artículos, donde profundizamos en otros permisos de Salesforce y uso compartido a nivel de registro!

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Tagged:
No items found.
Pamela Joyce Kiang
9x Salesforce-certified Senior Developer
view All Posts
Pamela Joyce Kiang
9x Salesforce-certified Senior Developer
view All Posts
Featured Posts
Salesforce
Maximizing Sales Efficiency: The Power of Salesforce CTI Integration with PhoneIQ
Sales Engagement
Comparing Salesloft and Salesforce High-Velocity Sales
Customer Support
Salesforce Call Recording And Call Monitoring – Best Practices
Salesforce
Dreamforce 2021 - Day 1 Highlights
IT
4 Best criteria for selecting a Lightning Dialer for Salesforce
Sales Engagement
4 Keys to successfully manage remote sales teams
Sales Engagement
Understanding Salesforce Dialers: Preview Dialing, Power Dialing and Predictive Dialing
IT
5 Essential work from home tools to run your business during COVID-19 social distancing
Tags
Salesforce Lightning
Advertising
App
AppExchange
CRM
CTI
Call Center
Dashboard
Development
Dialer
Gagets
Inspiration
Lightning Ready
Mac OS
Mobile
Motivation
Photography
Power Dialer
Sales
Salesforce
Salesforce CTI
Social
Tech
Travel
Web Design
admin
iPhone
phoneSystem
salesforce
Subscribe
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Stay Connected

Start Your Free Trial!

Get Started

You Might Also Like

Maximizing Sales Efficiency with Salesforce Power Dialer: A Game Changer for Teams
Nov 19, 2024
 by 
Kory Westerburg
Salesforce
How to Deploy Standard Field Picklist Values in Salesforce (2024 Update)
Nov 14, 2024
 by 
Kory Westerburg
Sales Engagement
Maximizing Sales Engagement with Salesforce: Unlocking the Power of Sales Cloud (Formerly High Velocity Sales)
Nov 12, 2024
 by 
Kory Westerburg

Get started in 5 minutes

Start your 7 day free trial or request a personalized demo with one of our specialists

Try freeRequest demo
Terms of Service - Privacy Policy
© 2024 PhoneIQ. All rights reserved.