Posted on 
July 13, 2022

Salesforce Permissions in a Nutshell: Profiles vs. Permission Sets

7 min

Have you ever asked yourself, “How did Salesforce become, and still is, the #1 Cloud-based Customer Relationship Management (CRM) platform in the world?" Imagine a cloud CRM platform trusted by several global organizations to store, analyze, and process their data securely. Of course, that company would undoubtedly have an excellent data security model to gain that much customer trust, right? Indeed, one of Salesforce's foundations of success lies in its emphasis on keeping its platform up-to-date with the latest cybersecurity standards to protect its customers from the ever-advancing techniques of data theft.

How is Salesforce’s Data Security Model built?

Salesforce’s Data Security Model consists of three logical tiers: Object, Field, and Record-Level Security. It allows flexibility in addressing real-world business use cases without compromising data security. Today,  we will mainly focus on object and field-level security, but don't worry; we will tackle record-level security in future articles.

Database 101

To prepare you moving forward, let's go over the three words you'll frequently encounter throughout this article: Object, Field, and Record. If you've ever used Microsoft Excel or learned Structured Query Language (SQL), you'll be familiar with rows, columns, and tables.

  • Guess what? Salesforce has equivalents for these words as well:
  • Object = “Table”
  • Field = “Column”
  • Record = “Row”

What is Object-Level Security?

Object-Level Security or object permissions provide data access control at the most superficial level in Salesforce. It lets you specify if the users can create, read, edit, or delete records in a particular object. 

  • You may also refer to "Create, Read, Edit, Delete" (CRED) access permissions as "CRUD" permissions:
  • Create
  • Read
  • Update
  • Delete

However, if you did not specify any action a user can do to an object, they will not be able to execute any actions on it even if you provided access to a field or shared a record of that object; we will get more into detail regarding field-level access later in this article and record sharing in the following article, so hang tight. The minimum permission you can give your users is “Read” access for them to view the records.

  • There are also two administrative permissions on top of CRUD or the basic accesses:
  • View All - Allows users to view all records regardless of sharing settings for the object
  • Modify All -  Grants users full administrative rights for the object. Includes having Read, Create, Edit, and Delete access and the ability to transfer and share all records for the object. Caution must be exercised when granting this access. 

How about Field-Level Security?

Let’s say you provided your users access to an object but cannot see the fields you created. This is because you might have missed granting them field-level security, also known as FLS. 

You can give two accesses:

1. Visible - This allows users to view this field's value and edit its value. Please note that users can only change the field’s value given that you have provided them “Edit” access on the object level.

2. Read-Only - This will enable users only to view the field's value but not edit it.

So, how can I give Object-Level and Field-Level Access?

Here is where the stars of the show come in: Profiles and Permission Sets.

Profile

A Profile defines the base access that can be provided for all Salesforce users. Think of “Profiles” as an entity or persona. For example, you can have a separate profile for Sales users and a different one for Support users. 

If you create a Salesforce user, you will be required to assign a profile. Also, a user can only have one profile at a time. But a profile can be assigned to multiple users.

Are there any profile types?

There are two types of profiles: Standard and Custom. A standard profile is a profile already provided by Salesforce, while a custom profile can be created by users based on specific requirements. Object, User, and System Permissions cannot be edited in Standard profiles, so that is where a “Custom” profile comes in.

How do you create a profile? 

Salesforce provides standard profiles like Contract Manager, Marketing User, Standard User, System Administrator, or Minimum Access. To create a new profile, you can clone a standard profile and set your custom permissions to that cloned profile. Profiles can be limited to specific features since a Profile is linked to a user license, so keep this in mind when choosing the standard profile you will be cloning.

As a sort of rule-of-thumb, Salesforce admins would usually clone the “Minimum Access” standard profile in creating custom profiles as it is close to being a blank slate while still having few permissions like Access Activities, Chatter Internal User, Lightning Console User, and View Help Link permissions; we will get into more detail regarding these permissions in future articles. This approach is better than reviewing and removing numerous accesses cloned from a standard profile like Standard User or System Administrator profile.

There are permissions you can set using Profiles. These permissions are but are not limited to:

· Object Permissions
· Field Permissions
· Record Type Settings

Record Type Settings specify which record types are available to be selected during record creation. You can also set a default record type that will be pre-selected when the user is presented with the record type selection. Please note that not specifying a record type setting for a profile does not prevent users from viewing a record that has the record type you did not allow for the profile. 

· Page Layouts Assignment

Specifies which page layout the user will see. If you have record types enabled for the object, you can set different page layouts per record type.

· Tab Settings

Tab Settings set the visibility of tabs.

There are three options:

1. Default On - The tab appears in the app’s navigation bar and will also be available in the App Launcher in Lightning Experience and the “All Tabs” page if in Salesforce Classic

2. Default Off - The tab does not appear in the app’s navigation bar but will be available in the App Launcher in Lightning Experience and the “All Tabs” page if in Salesforce Classic. Additionally, individual users can customize their display to make the tab visible in any app.

3. Tab Hidden - The tab is not available in the App Launcher or the All Tabs page, is not visible in any app navigation, and is excluded from API responses.

· App Settings

Specifies if the users can see the app from the App Launcher in Lightning Experience or the “All Tabs” page in Salesforce Classic. You can also set a default app which will be the app to be opened when the user logs in to Salesforce for the first time. If the user switches Apps during the session, logs out, and logs back in, the user is taken back to the last App the user was in.

· Session Settings

Sets how many hours a user can be idle before the current session gets logged out. Default is 2 hours. Used to override the org-wide session time-out setting found in Security -> Session Settings

· Password Policies

Admins can specify password expiry, minimum password length, password complexity requirement, maximum invalid login attempts, etc.

· Login Hours

Sets a time range when users assigned to the profile can only log in to the org. For example, if you have all of the Sales users assigned to the “Sales” profile and all have a work schedule of 8:00 AM - 5:00 PM EST, then you can set 8:00 AM - 5:00 PM as the login hours. Before 8:00 AM and after 5:00 PM, the users cannot log in to your org.

· Login IP Ranges

Specifies an Internet Protocol (IP) Range from which the user can log in. The ability to set the Login IP Ranges is beneficial if you only want your users to log in to Salesforce if they use the corporate internet or from a particular location.

· Apex Class Access
· Visualforce Page Access
· Administrative, System, and App Permissions

It contains different permissions that can be set related to reports, dashboards, API access, user management, application management, and more.

Permission Set

Permission Sets give additional permissions to individual users on top of their profiles. You can say that permission sets are add-ons to profiles. For example, let’s say you want to provide access to campaign records to a few users who are managers assigned to different profiles. Then you can assign each manager with a permission set without updating their profiles or even creating a new profile!

  • Here are a few points to consider when using permission sets:
  • You can remove and add permissions to a group of users, even if they are assigned to different profiles
  • A user can have multiple permission sets
  • Use Permission Sets when a group of users requires further permissions
  • If numerous people need the same permission, consider using a custom profile

How do I create a Permission Set?

Unlike Profiles, you do not need to clone an existing permission set to create one. You can either create a new permission set or clone one - it’s up to you. Start with navigating to Setup -> Permission Sets.

Create new Permission Set

a. Click “New” button when already in the “Permission Sets” list view

Clone an existing Permission Set

a. Click on “Clone” beside the Permission Set you want to clone from

How do I assign a Permission Set to a user?

There are two ways to assign a permission set to a user.

1. Go to the permission set itself
a. Search for “Permission Sets” in Setup and select the permission set you would like to assign to users. 
b. Click on the “Manage Assignment” button at the top of the permission set page. 

c. Click on the “Add Assignments” button to add users to the permission set and select users to assign the permission set to.

d. Tick the checkbox beside the user and click “Remove Assignments” if you want to unassign the user's permission set.

2. Go to the user record to which you want to assign the permission set. Under the user’s related list, you will find “Permission Set Assignments.” Click the “Edit Assignments” button and select Permission Sets from the Available Permission Set to the Enabled Permission Sets.

Is there any difference between Profile and Permission Set?

Besides the difference in usage, some settings will only be available in Profiles.

Please refer to the comparison below:

Please refer to the table below for sample scenarios using both profile and permission set:

Sounds easy, right?

As we have learned so far, we have different ways of implementing security in our Salesforce organizations. However, while Salesforce has provided various sharing and security capabilities, we must do our part as customers to ensure we implement security in our organizations correctly. 

We hope you learned a lot from this article and how to use profiles and permission sets correctly. Stay tuned to the following articles where we delve into other Salesforce permissions!

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Tagged:
No items found.
Posted on 
July 13, 2022

Permisos de Salesforce en pocas palabras: perfiles frente a conjuntos de permisos

7 min

¿Alguna vez se ha preguntado: "¿Cómo se convirtió Salesforce, y sigue siendo, en la plataforma de gestión de relaciones con los clientes (CRM) basada en la nube número 1 del mundo?" Imagine una plataforma de CRM en la nube en la que confían varias organizaciones globales para almacenar, analizar y procesar sus datos de forma segura. Por supuesto, esa empresa sin duda tendría un excelente modelo de seguridad de datos para ganar tanta confianza del cliente, ¿no? De hecho, una de las bases del éxito de Salesforce radica en su énfasis en mantener su plataforma actualizada con la los últimos estándares de ciberseguridad para proteger a sus clientes de las técnicas de robo de datos en constante avance.

¿Cómo se construye el modelo de seguridad de datos de Salesforce?

El modelo de seguridad de datos de Salesforce consta de tres niveles lógicos: objeto, campo y seguridad a nivel de registro. Permite flexibilidad para abordar casos de uso comercial del mundo real sin comprometer la seguridad de los datos. Hoy, nos centraremos principalmente en la seguridad a nivel de objetos y campos, pero no se preocupe; abordaremos la seguridad de nivel récord en artículos futuros.

Base de datos 101

Para prepararlo para avanzar, repasemos las tres palabras que encontrará con frecuencia a lo largo de este artículo: objeto, campo y registro. Si alguna vez usó Microsoft Excel o aprendió el lenguaje de consulta estructurado (SQL), estará familiarizado con las filas, las columnas y las tablas.

  • ¿Adivina qué? Salesforce también tiene equivalentes para estas palabras:
  • Objeto = "Mesa"
  • Campo = "Columna"
  • Registro = "Fila"

¿Qué es la seguridad a nivel de objeto?

La seguridad a nivel de objeto o los permisos de objeto brindan control de acceso a datos en el nivel más superficial en Salesforce. Le permite especificar si los usuarios pueden crear, leer, editar o eliminar registros en un objeto en particular.

  • También puede hacer referencia a los permisos de acceso "Crear, leer, editar, eliminar" (CRED) como permisos "CRUD":
  • C rear
  • leer _
  • Actualizar _
  • eliminar _

Sin embargo, si no especificó ninguna acción que un usuario pueda realizar en un objeto, no podrá ejecutar ninguna acción en él, incluso si proporcionó acceso a un campo o compartió un registro de ese objeto; entraremos en más detalles sobre el acceso a nivel de campo más adelante en este artículo y el uso compartido de registros en el siguiente artículo, así que espera. El permiso mínimo que puede otorgar a sus usuarios es el acceso de "Lectura" para que puedan ver los registros.

  • También hay dos permisos administrativos además de CRUD o los accesos básicos:
  • Ver todo : permite a los usuarios ver todos los registros independientemente de la configuración de uso compartido del objeto.
  • Modificar todo : otorga a los usuarios derechos administrativos completos para el objeto. Incluye tener acceso de lectura, creación, edición y eliminación y la capacidad de transferir y compartir todos los registros del objeto. Se debe tener precaución al otorgar este acceso.

¿Qué hay de la seguridad a nivel de campo?

Supongamos que proporcionó a sus usuarios acceso a un objeto pero no puede ver los campos que creó. Esto se debe a que es posible que no les haya otorgado seguridad a nivel de campo, también conocida como FLS.

Puedes dar dos accesos :

1. Visible: esto permite a los usuarios ver el valor de este campo y editar su valor. Tenga en cuenta que los usuarios solo pueden cambiar el valor del campo si les ha proporcionado acceso de "Editar" en el nivel de objeto.

2. Solo lectura: esto permitirá a los usuarios solo ver el valor del campo, pero no editarlo.

Entonces, ¿cómo puedo otorgar acceso a nivel de objeto y de campo?

Aquí es donde entran las estrellas del espectáculo: perfiles y conjuntos de permisos.

Perfil

Un perfil define el acceso base que se puede proporcionar a todos los usuarios de Salesforce. Piense en "Perfiles" como una entidad o persona. Por ejemplo, puede tener un perfil separado para los usuarios de Ventas y uno diferente para los usuarios de Soporte.

Si crea un usuario de Salesforce, se le pedirá que asigne un perfil. Además, un usuario solo puede tener un perfil a la vez. Pero un perfil se puede asignar a varios usuarios.

¿Hay algún tipo de perfil?

Hay dos tipos de perfiles: Estándar y Personalizado. Un perfil estándar es un perfil ya proporcionado por Salesforce, mientras que los usuarios pueden crear un perfil personalizado en función de requisitos específicos. Los permisos de objeto, usuario y sistema no se pueden editar en los perfiles estándar, por lo que es donde entra en juego un perfil "personalizado".

¿Cómo se crea un perfil?

Salesforce proporciona perfiles estándar como administrador de contratos, usuario de marketing, usuario estándar, administrador del sistema o acceso mínimo. Para crear un nuevo perfil, puede clonar un perfil estándar y configurar sus permisos personalizados para ese perfil clonado. Los perfiles se pueden limitar a funciones específicas, ya que un perfil está vinculado a una licencia de usuario, así que tenga esto en cuenta al elegir el perfil estándar que va a clonar.

Como una especie de regla general, los administradores de Salesforce generalmente clonarían el perfil estándar de "Acceso mínimo" al crear perfiles personalizados, ya que está cerca de ser una pizarra en blanco y aún tiene pocos permisos como Actividades de acceso, Usuario interno de Chatter, Consola Lightning. Permisos de usuario y Ver enlace de ayuda; entraremos en más detalles sobre estos permisos en futuros artículos. Este enfoque es mejor que revisar y eliminar numerosos accesos clonados de un perfil estándar como el perfil de usuario estándar o administrador del sistema.

Hay permisos que puede configurar usando Perfiles. Estos permisos son pero no se limitan a:

· Permisos de objetos
· Permisos de campo
· Configuración del tipo de registro

La configuración del tipo de registro especifica qué tipos de registro están disponibles para seleccionarse durante la creación de registros. También puede establecer un tipo de registro predeterminado que se preseleccionará cuando se le presente al usuario la selección del tipo de registro. Tenga en cuenta que no especificar una configuración de tipo de registro para un perfil no impide que los usuarios vean un registro que tiene el tipo de registro que usted no permitió para el perfil.

· Asignación de diseños de página

Especifica qué diseño de página verá el usuario. Si tiene tipos de registro habilitados para el objeto, puede establecer diferentes diseños de página por tipo de registro.

· Configuración de pestañas

Configuración de pestañas establece la visibilidad de las pestañas.

Hay tres opciones:

1. Predeterminado activado: la pestaña aparece en la barra de navegación de la aplicación y también estará disponible en el Iniciador de aplicación en Lightning Experience y en la página "Todas las pestañas" si está en Salesforce Classic

2. Desactivado por defecto: la pestaña no aparece en la barra de navegación de la aplicación, pero estará disponible en el Iniciador de aplicación en Lightning Experience y en la página "Todas las pestañas" si está en Salesforce Classic. Además, los usuarios individuales pueden personalizar su pantalla para que la pestaña sea visible en cualquier aplicación.

3. Pestaña oculta: la pestaña no está disponible en el Iniciador de aplicación ni en la página Todas las pestañas, no está visible en ninguna navegación de la aplicación y está excluida de las respuestas de la API.

· Ajustes de Aplicacion

Especifica si los usuarios pueden ver la aplicación desde el Iniciador de aplicación en Lightning Experience o la página "Todas las pestañas" en Salesforce Classic. También puede establecer una aplicación predeterminada que será la aplicación que se abrirá cuando el usuario inicie sesión en Salesforce por primera vez. Si el usuario cambia de aplicación durante la sesión, cierra sesión y vuelve a iniciar sesión, el usuario vuelve a la última aplicación en la que estuvo.

· Configuración de la sesión

Establece cuántas horas puede estar inactivo un usuario antes de que se cierre la sesión actual. El valor predeterminado es 2 horas. Se utiliza para anular la configuración de tiempo de espera de sesión de toda la organización que se encuentra en Seguridad -> Configuración de sesión

· Políticas de contraseña

Los administradores pueden especificar la caducidad de la contraseña, la longitud mínima de la contraseña, el requisito de complejidad de la contraseña, el número máximo de intentos de inicio de sesión no válidos, etc.

· Horas de inicio de sesión

Establece un rango de tiempo cuando los usuarios asignados al perfil solo pueden iniciar sesión en la organización. Por ejemplo, si tiene todos los usuarios de Ventas asignados al perfil "Ventas" y todos tienen un horario de trabajo de 8:00 a. m. a 5:00 p. m. EST, entonces puede configurar 8:00 a. m. las horas de inicio de sesión. Antes de las 8:00 a. m. y después de las 5:00 p. m., los usuarios no pueden iniciar sesión en su organización.

· Intervalos de IP de inicio de sesión

Especifica un rango de protocolo de Internet (IP) desde el cual el usuario puede iniciar sesión. La capacidad de configurar los rangos de IP de inicio de sesión es beneficiosa si solo desea que sus usuarios inicien sesión en Salesforce si usan Internet corporativo o desde una ubicación en particular.

· Acceso a la clase de Apex
· Acceso a la página de Visualforce
· Permisos administrativos, del sistema y de la aplicación

Contiene diferentes permisos que se pueden configurar relacionados con informes, paneles, acceso a API, administración de usuarios, administración de aplicaciones y más.

Conjunto de permisos

Los conjuntos de permisos otorgan permisos adicionales a usuarios individuales además de sus perfiles. Puede decir que los conjuntos de permisos son complementos de los perfiles. Por ejemplo, supongamos que desea brindar acceso a los registros de campaña a algunos usuarios que son administradores asignados a diferentes perfiles. Luego, puede asignar a cada gerente un conjunto de permisos sin actualizar sus perfiles o incluso crear un nuevo perfil.

  • Aquí hay algunos puntos a considerar al usar conjuntos de permisos:
  • Puede eliminar y agregar permisos a un grupo de usuarios, incluso si están asignados a diferentes perfiles
  • Un usuario puede tener múltiples conjuntos de permisos
  • Use conjuntos de permisos cuando un grupo de usuarios requiera más permisos
  • Si varias personas necesitan el mismo permiso, considere usar un perfil personalizado

¿Cómo creo un conjunto de permisos?

A diferencia de los perfiles, no necesita clonar un conjunto de permisos existente para crear uno. Puede crear un nuevo conjunto de permisos o clonar uno, depende de usted. Comience navegando a Configuración -> Conjuntos de permisos.

Crear nuevo conjunto de permisos

una. Haga clic en el botón "Nuevo" cuando ya esté en la vista de lista "Conjuntos de permisos"

Clonar un conjunto de permisos existente

una. Haga clic en "Clonar" junto al conjunto de permisos del que desea clonar

¿Cómo asigno un conjunto de permisos a un usuario?

Hay dos formas de asignar un conjunto de permisos a un usuario.

1. Vaya al propio conjunto de permisos
a. Busque "Conjuntos de permisos" en Configuración y seleccione el conjunto de permisos que le gustaría asignar a los usuarios.
b. Haga clic en el botón "Administrar asignación" en la parte superior de la página del conjunto de permisos.

C. Haga clic en el botón "Agregar asignaciones" para agregar usuarios al conjunto de permisos y seleccionar usuarios a los que asignar el conjunto de permisos.

d. Marque la casilla de verificación junto al usuario y haga clic en "Eliminar asignaciones" si desea desasignar el conjunto de permisos del usuario.

2. Vaya al registro de usuario al que desea asignar el conjunto de permisos. En la lista relacionada del usuario, encontrará "Asignaciones de conjuntos de permisos". Haga clic en el botón "Editar asignaciones" y seleccione Conjuntos de permisos desde el Conjunto de permisos disponibles hasta los Conjuntos de permisos habilitados.

¿Hay alguna diferencia entre el perfil y el conjunto de permisos?

Además de la diferencia de uso, algunas configuraciones solo estarán disponibles en Perfiles.

Por favor, consulte la comparación a continuación:

Consulte la siguiente tabla para ver ejemplos de escenarios que utilizan tanto el perfil como el conjunto de permisos:

Suena fácil, ¿verdad?

Como hemos aprendido hasta ahora, tenemos diferentes formas de implementar la seguridad en nuestras organizaciones de Salesforce. Sin embargo, aunque Salesforce ha proporcionado varias capacidades de seguridad y uso compartido, debemos hacer nuestra parte como clientes para garantizar que implementamos la seguridad en nuestras organizaciones correctamente.

Esperamos que haya aprendido mucho de este artículo y de cómo usar perfiles y conjuntos de permisos correctamente. ¡Estén atentos a los siguientes artículos donde profundizamos en otros permisos de Salesforce!

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Tagged:
No items found.
Pamela Joyce Kiang
9x Salesforce-certified Senior Developer
view All Posts
Pamela Joyce Kiang
9x Salesforce-certified Senior Developer
view All Posts
Featured Posts
Salesforce
Maximizing Sales Efficiency: The Power of Salesforce CTI Integration with PhoneIQ
Sales Engagement
Comparing Salesloft and Salesforce High-Velocity Sales
Customer Support
Salesforce Call Recording And Call Monitoring – Best Practices
Salesforce
Dreamforce 2021 - Day 1 Highlights
IT
4 Best criteria for selecting a Lightning Dialer for Salesforce
Sales Engagement
4 Keys to successfully manage remote sales teams
Sales Engagement
Understanding Salesforce Dialers: Preview Dialing, Power Dialing and Predictive Dialing
IT
5 Essential work from home tools to run your business during COVID-19 social distancing
Tags
Salesforce Lightning
Advertising
App
AppExchange
CRM
CTI
Call Center
Dashboard
Development
Dialer
Gagets
Inspiration
Lightning Ready
Mac OS
Mobile
Motivation
Photography
Power Dialer
Sales
Salesforce
Salesforce CTI
Social
Tech
Travel
Web Design
admin
iPhone
phoneSystem
salesforce
Subscribe
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Stay Connected

Start Your Free Trial!

Get Started

You Might Also Like

Maximizing Sales Efficiency with Salesforce Power Dialer: A Game Changer for Teams
Nov 19, 2024
 by 
Kory Westerburg
Salesforce
How to Deploy Standard Field Picklist Values in Salesforce (2024 Update)
Nov 14, 2024
 by 
Kory Westerburg
Sales Engagement
Maximizing Sales Engagement with Salesforce: Unlocking the Power of Sales Cloud (Formerly High Velocity Sales)
Nov 12, 2024
 by 
Kory Westerburg

Get started in 5 minutes

Start your 7 day free trial or request a personalized demo with one of our specialists

Try freeRequest demo
Terms of Service - Privacy Policy
© 2024 PhoneIQ. All rights reserved.