Salesforce学习之路-admin篇（三）role hierarchy & sharing

1. Role Hierarchy

在私有或者混合模型中，如果在organization-wide defaults设置某个对象为Private，那么对象的记录只有拥有者可以查看。但是，role hierarchy可以让该条记录拥有者的上司有权限访问该条记录。

前提：Case在Organization-wide Defaults中被设为Private.

如图片中所说，如果US Sales Rep为Case A的拥有者，则US Sales Director，VP of Global Sales以及CEO都拥有访问Case A的权限。

注意，这里的权限继承是单向的。例如：US Sales Director为Case B的拥有者，那么VP Sales Director和CEO拥有Case B的访问权限，而US Sales Rep没有。

2. Orgnazation-Wide Defaults

相当于全局范围内，sObject的访问权限设置，一般分为：Private, Public Read Only, Public Read/Write

• Private: 除了该条记录的拥有者，其他人无法访问（可通过其他的手段增加访问权限）。
• Public Read Only: 除了该条记录的拥有者，其他人只有查看权限，没有修改权限（可通过其他手段增加修改权限）。
• Public Read/Write: 所有的用户都可以访问该对象的所有记录。

3. Sharing Rules

除了设置全局范围内默认的权限外，还可针对某个Object，自定义设置Sharing Rules以满足业务需求。

首先，选择需要设置规则的对象，点击New。

由图可见，Rule Type有两种：

• Based on record owner：当记录拥有者为某个用户或某个角色等时，满足分享条件。
• Based on criteria：当达到设计的过滤准则时，满足分享条件

3.1 Based on record owner

当记录的拥有者的条件：Public groups == Account Share-BALTI 为真时，将该条记录分享给NGCC-CC Site Manager这个Role以及属于该Role下的所有用户。

注意：这里拥有者和被分享者有多种选择，可以是Group（用户组）, Role（某个用户或某类用户），Roles, Internal and Portal Subordinates（某个用户及该用户下属所有用户）等，这些都可以自定义创建。

3.2 Based on criteria

这里的Criteria便是规则，具体内容如下：

• Field，选择Lead Record Type字段。
• Operator，判断的条件，equal(==），not equal(!=), start with(字符串以什么开始), contains(字符串中包含该字符), does not contain(字符串不包含), less than(<), greater than(>), less or equal(<=), greater or equal(>=), includes(包括), excludes(不包括), within(在什么里）。注意，这里是全量操作，而实际情况下，不同字段属不同类型，只有部分操作可选择。例如：less than/greater than则适用于Number类型，start with适用于Text（可理解为String）类型。
• Value，判断的值，多个值之间用逗号隔开。

Filter Logic, 不同过滤条件之间的逻辑关系，上述图中，有三条过滤条件，其过滤逻辑为1 AND (2 OR 3)，即（第一个条件为真）并且（第二个条件或第三个条件为真）时，该条规则满足。

Share with, 当满足该条规则时，便将该条记录分享给NGCC-CC Site Manager这个Role以及属于该Role下的所有用户。

** Access, 被分享用户对于该条记录的权限设置，分为Read Only和Read/Write两种。

4. Teams

顾名思义，创建一个team，在其中添加多个用户，然后将记录分享给整个team成员。

注意：对于Salesfroce来讲，目前只有两个标准对象拥有team概念：Account, Case.

Step 1: Enable Account Team

Step 2: 选择在哪些Page layout中可以看到Team，并将其添加到用户的自定义相关列表中，点击save。

Step 3: 【Setup】-->【Object Manager】-->【Account】-->【Page Layouts】-->【***】(自定义page layout）

选择Related Lists，在右侧找到Account Team后，将其拖至下方，点击Save按钮--> Yes，如下图所示。

Step 4: 点击九宫格，在All Items下面选择Account，进入Account导航页面。

Step 5: Account Team列中添加Team成员，点击Add Team Members。当然，你也可以创建一个Team，然后在此处直接Add Default Team。

点击Save按钮，分享该条记录至RestrieveCode SP和wu kai用户。

PS：点击用户旁边的倒三角，可以对该用户进行编辑和删除操作。

5. Manual Sharing

手动分享，通过sharing按钮，手动分享该条记录至指定用户（群）。但是，该功能目前还没有合入Lighnting Experience版本，若想使用，可切换至Classic版本。

点击右上角头像，选择Switch to Salesforce Classic

切换至Classic版本，界面如下。

从Recent Items下找到Account Team Sample用户，点击Sharing，添加要分享的用户。

6. 权限控制

对于Salesforce来说，权限是不断累加的，多种规则权限间表现为并集关系，但对于Salesfroce来说，搜寻不同规则是有先后顺序的，具体表现如下图所示。

用户访问某记录依次查询：

1）Organization-Wide Default: Public Read/Write，读写权限；Public Read/Only，只读权限，若想修改，往下查看；Private, 无访问权限，往下查看。

2）Role Hierarchy: 用户为记录拥有者的领导，有权限访问（读写权限）。

3）Sharing Rules: 满足规则，并且属于被分享者之一，则有访问权限（读写权限可配置）。

4）Teams and Manual Sharing: 属于Team成员之一或者属于Sharing成员之一，则拥有访问权限（读写权限可配置）

上述四条规则依次查询，满足操作权限则退出，如不满足，继续往下，若皆不满足则无权限访问。

Okay，上述内容是我对于Data Security的一点理解，如有误之处，望大佬斧正。