Seguridad y acceso – 15%

septiembre 30, 2014
No hay comentarios

 

5. Explicar las distintas opciones de seguridad de la organización (Object es una categoría de información {position, candidato}, ficha es una sola instancia de un objeto {SW Engineer})
Perfil> OWD> Rol> Reglas> compartir colas de grupos> Criterios basados, manual de uso compartido
———– a una mayor exposición de datos ———– à
Normas de reparto, nunca pueden ser más estrictos que los ajustes OWD.
Compartiendo Diagrama de acceso:
1. cheques Salesforce si el perfil de usuario tiene permiso a nivel de objeto para tener acceso a ese objeto
2. cheques Salesforce si el perfil de usuario tiene los permisos administrativos (Ver todos los datos, modificar todos los datos)
3. Salesforce comprueba la titularidad del registro (de ancho por defecto de organización, acceso a nivel de papel, se comprobarán las reglas de compartición)

Controlar el acceso de un usuario a los datos de varias maneras:
1. para controlar el acceso a las aplicaciones y objetos, en los campos y los tipos de registros dentro de los objetos: Utilice perfiles y conjuntos de permisos. (Crear tipos de registro de un objeto personalizado para mostrar diferentes valores de lista de selección y diseños de página a diferentes usuarios en función de sus perfiles.)
2. Para controlar el acceso a los registros específicos: Utilice los ajustes y las normas de uso compartido.

No se puede delegar las tareas administrativas relacionadas con su organización para portales pareja o Portal del Cliente usuarios. Sin embargo, puede delegar algunas funciones administrativas de portal a los usuarios del portal.

1. Objeto de seguridad de nivel: (¿Qué objetos se puede ver un usuario) (Se encuentra en los perfiles de usuario y los conjuntos de permisos) para evitar que el usuario de ver, crear, editar o eliminar cualquier instancia de un tipo particular de objeto. Se nos permite ocultar toda pestañas y objetos de los usuarios particulares. Usuario ni siquiera sabría el objeto existe. (Ajustes de las fichas, los permisos estándar / objeto encargo) en la plataforma, que establecen el acceso a nivel de objeto con los permisos de objetos de perfiles de usuario y conjuntos de permisos
2. campo de seguridad de nivel: (¿Qué campos de esos objetos puede un usuario ver?) (En Perfiles de usuario y conjuntos de permisos) (Campo de acceso al nivel de permisos de campo) una variación de seguridad a nivel de objeto. El usuario está impedido de un campo en particular sin tener que ocultar todo el objeto, tal como «salario max» o «SS». Los diseños de página sólo controlan la visibilidad de campo en detalle y editar páginas, mientras que la seguridad a nivel de campo controla la visibilidad de los campos en cualquier parte de la aplicación (listas relacionadas, vistas de listas, informes y resultados de búsqueda) (en orden para estar absolutamente seguro de que un usuario no tiene acceso a un campo particular) (visible / sólo lectura casillas marcadas – sólo lectura | solo cuadro visible comprobado – editable | ninguna caja – oculto) En la plataforma, que controlan el acceso a los campos individuales con seguridad a nivel de campo. Controles de seguridad sobre el terreno si un usuario puede ver, editar y borrar el valor de un campo en particular en un objeto.
3. Seguridad de nivel  Record: (.?? Org incumplimientos de ancho (registros que deberían estar ocultos por defecto), la jerarquía de roles / modelo Sharing / compartir Manual (¿Qué debemos hacer excepciones))

Incumplimientos de toda la organización nos permiten especificar el nivel básico de acceso que un usuario tiene en su organización. Por ejemplo, podemos hacerlo de modo que cualquier usuario puede ver cualquier registro de un objeto en particular a la que sus permisos de objetos les dan el acceso, pero también lo que vamos a necesitar permisos adicionales para editar en realidad uno.
Jerarquías de funciones nos permiten asegurarnos de que un gerente siempre tendrá acceso a los mismos registros que sus subordinados.
Normas de reparto, nos permiten hacer excepciones automáticas a los valores predeterminados de toda la organización para determinados grupos de usuarios.
Compartir Manual permite a los propietarios de registros para dar permisos de lectura y edición para la gente que no pudieron tener acceso al registro de otra manera.

Perfiles: (obligatorio cuando se configura el usuario, el usuario debe estar asociado a un perfil)
Una colección de parámetros (lo que el usuario puede ver) y permisos (lo que el usuario puede hacer)
Un perfil contiene los permisos de usuario y la configuración de acceso que controlan lo que pueden hacer los usuarios dentro de su organización. Los perfiles se definen normalmente por función de trabajo de un usuario (por ejemplo, el administrador del sistema o el representante de ventas), pero que pueden tener perfiles para cualquier cosa que tenga sentido para su organización. Un perfil puede asignarse a muchos usuarios, pero un usuario se le puede asignar a un solo perfil a la vez, donde todos los miembros del grupo tienen los mismos permisos de carpeta y el acceso al mismo software. Perfil Nunca anular compartir modelo o jerarquía de funciones de organización. (Exp: Un perfil configurado para permitir un acceso de usuario para crear, editar, eliminar los cables, pero un usuario con perfil más arriba no pueden editar, borrar otros usuarios si conduce organizaciones líderes compartiendo modelo es de sólo lectura)
Perfiles de control:

  • ¿Qué usuarios aplicaciones estándar y personalizados pueden ver?
  • ¿Qué usuarios pueden ver las pestañas?
  • ¿Qué tipos de registro están disponibles para los usuarios?
  • ¿Cuáles son los diseños de página que ven los usuarios?
  • permisos o de objetos que permiten a los usuarios crear, leer, modificar y eliminar registros
  • ¿Cuáles son los campos en los objetos los usuarios pueden ver y editar
  • administrador de permisos que permiten a los usuarios gestionar el sistema y las aplicaciones dentro de ella
  • ¿Qué clases de Apex y los usuarios pueden acceder a páginas Visualforce
  • ¿Qué usuarios pueden acceder los clientes de escritorio
  • Las horas durante las cuales y direcciones IP desde las que los usuarios pueden conectarse (perfil de acceso hora, las direcciones IP Perfil)
  • ¿Cuáles son los usuarios de los proveedores de servicios pueden tener acceso (si Salesforce está habilitado como un proveedor de identidades)

Puede utilizar perfiles estándar, o crear, editar y eliminar perfiles personalizados. Para los perfiles estándar, sólo algunos ajustes pueden cambiarse. Nunca se puede editar los permisos de objetos en un perfil estándar. Por lo que debe clonar primero el perfil estándar para crear un perfil personalizado y luego asignar el usuario y luego usar los conjuntos de permisos para conceder permisos adicionales.
Cuando se crea un objeto personalizado, la mayoría de los perfiles no dan acceso al objeto (excepto aquellos con «modificar todos los datos» en Perfiles | permisos de objeto estándar y permisos de objetos personalizado)

Perfiles estándar (6): Tipos de usuario Marketing, administrador del contrato, sólo lectura (equipo directivo), Solution Manager, el usuario estándar, administración del sistema.

Conjuntos de permisos: (Administrativos y Generales) (permisos de objeto estándar, permisos de objetos personalizados) es una colección de configuración y los permisos que determinan lo que un usuario puede hacer. Si el cuadro de costumbres no se comprueba que es un perfil estándar y no podemos editar perfiles estándar conjunto de permisos. Pero podemos elegir el que deben aparecer las pestañas en la parte superior de la página del usuario / del perfil y también seleccionar qué aplicaciones para mostrar en Force.com. (Por defecto (se visualiza en la parte superior de la página del usuario), De fábrica off (oculto a la página de usuario, pero está disponible cuando todas las fichas se hace clic), Tab oculta (completamente oculto)
Ocultar una ficha no es suficiente para evitar que un usuario acceder a los registros de esa pestaña
Sólo puede asignar conjuntos de permisos que tienen las mismas licencias de usuario que el usuario o los permisos conjuntos sin licencia asociada. No se puede cambiar la licencia más tarde. Seleccione el tipo de usuarios que van a utilizar este conjunto de permisos:
¿Quién usará este conjunto de permisos? Si va a asignar este conjunto de permisos a varios usuarios con diferentes licencias, seleccione ‘–Ninguno–‘. Si sólo los usuarios con un tipo de licencia usarán este conjunto de permisos, seleccione la misma licencia que se asocia con ellos.
Acceso 1. Concesión para objeto o aplicación personalizada:
Ejemplo: Muchos usuarios de una organización están haciendo el mismo trabajo. Asigne a todos un perfil que les otorga el acceso para hacer su trabajo y luego asignar conjuntos de permisos de usuario si se asignan a un proyecto especial. Perfil PMISFBAC bordo, PMISFBAC perfil operaciones (conjunto de permisos DB, Voluntario opinión App conjunto de permisos, certificaciones aplicación conjunto de permisos) y quitar cuando no se necesita.
2. Temporal conjunto de permisos / largo plazo:
Ejemplo: Un usuario va a vacaciones. Crear un conjunto de permisos para conceder acceso a un objeto personalizado o aplicación a otro usuario. Después principal vuelve hombre quitarla.
Diferencia entre perfiles y conjuntos de permisos?

  • Los usuarios pueden tener sólo un perfil, pero pueden tener muchos conjuntos de permisos
  • Por lo tanto los perfiles se utilizan para grand los permisos mínimos y ajustes que cada tipo de usuario necesita. (Asignado antes de conjuntos de permisos)
  • A continuación, utilice conjuntos de permisos para conceder permisos adicionales sin cambiar los perfiles de nadie. (Además, los conjuntos de permisos puede ser temporal oa largo plazo)

Ejemplo: (Reclutamiento App)
Reclutador: perfil propio
Encargado que emplea: Los conjuntos de permisos
Empleados estándar: Comience con bajo perfil + conjuntos de permisos
Los entrevistadores: Cualquier empleado puede ser un entrevistador (subvención y revocar el acceso cuando sea necesario) para conjunto de permisos.
Aunque no es un permiso para crear, leer o editar en un objeto no significa necesariamente usuarios podrán leer el registro de todos los objetos debido a que:
1. permisos en un registro siempre evaluados de acuerdo a una combinación de objeto, ámbito y permisos de nivel récord
2. Al objeto frente a los conflictos de permisos a nivel de registro, la configuración más restrictiva gana. (Si un nivel récord es más restrictivo, aunque a nivel de objeto lo permita, siendo el nivel récord gana porque es más restrictiva)
6. Describir las características y capacidades del modelo de reparto
De Acceso a Archivos (Record de seguridad de nivel)
Cambiar el modelo de intercambio borra las acciones manuales tus usuarios han creado.
Propiedad: Registrar los propietarios pueden ver / editar, transferir, borrar registros. También pueden ver, pero no editar las cuentas de sus registros están asociados a.

Incumplimientos de ancho Org: El administrador puede definir el modelo de compartir default-para su organización mediante el establecimiento de valores por defecto para toda la organización. Incumplimientos de toda la organización especifican el nivel predeterminado de acceso a los registros. Nos permite especificar un nivel básico de acceso que cualquier usuario tiene en la org. Exp: Cualquier usuario puede ver cualquier registro de un objeto, sino que necesitará el permiso extra para editar un registro / objeto.
a. Privado: esta configuración para un objeto determinado permite a los usuarios acceder sólo los datos que poseen. Nadie será capaz de ver los registros de propiedad de terceros.
b. Pública Sólo lectura: Esta opción permite a los usuarios ver, pero no cambia, los registros en su organización, independientemente de quién posee esos elementos. Los elementos también se pueden añadir por cualquier persona en las listas relacionadas con este nivel de permiso. (Objetos Proporcionar tienen una relación Look up)
c. Público Lectura / Escritura: Esta configuración permite que todos los usuarios la posibilidad de ver y editar registros propiedad de otros. Pero la propiedad en sí no puede ser modificado excepto por el dueño.
d. Público Lectura / Escritura / Transferencia: Este ajuste sobre un objeto permite a todos los usuarios la capacidad de ver, editar, e incluso cambiar la propiedad de los registros de propiedad de otra

Usted no puede cambiar la configuración de uso compartido predeterminada de toda la organización para algunos objetos:

  • Soluciones son siempre públicas de lectura / escritura.
  • contratos o de servicio son siempre privada.
  • La posibilidad de ver o editar un documento, informe o cuadro de mandos se basa en el acceso de un usuario a la carpeta en la que se almacena.
  • Los usuarios sólo pueden ver las previsiones de otros usuarios que se colocan por debajo de ellos en la jerarquía de funciones, a menos que compartir pronóstico está habilitada. Para obtener más información, consulte Compartir manual de una previsión.
  • Cuando un objeto personalizado está en el lado de detalle de una relación maestro-detalle con un objeto estándar, su valor por defecto en toda la organización se establece en Controlado por los padres y no es editable.
  • Usted no puede cambiar la configuración predeterminada de toda la organización de privado a público de un objeto personalizado si el código Apex utiliza las entradas de compartición asociados con ese objeto. Por ejemplo, si el código Apex recupera los usuarios y grupos que han compartiendo el acceso a un objeto personalizado Invoice__c (representado como Invoice__share en el código), no se puede cambiar la configuración de uso compartido de toda la organización del objeto de privado a público.

1) Jerarquía Roles: Abre el acceso (vertical) Crear jerarquía de funciones para dar acceso a los gestores de los propietarios de la cuenta (gerentes heredan los privilegios de usuario por debajo de ellos) (Permite asegurarse de que un gerente siempre tendrá acceso a los mismos registros como sus subordinados) los usuarios que necesitan acceso a los registros mismos se pueden agrupar} reglas de compartición.
Excepciones al uso compartido basado en la jerarquía de roles

  • Los usuarios siempre pueden ver y editar todos los datos que poseen o compartidos con los usuarios por debajo de ellos en la jerarquía de funciones. Excepciones a esto incluyen:
  • Una opción (Grant Access mediante jerarquías) en su defecto de toda la organización le permite ignorar las jerarquías para determinar el acceso a los datos. Grant utilizando jerarquías no se pueden desactivar para objetos estándar.
  • contactos que no están vinculados a una cuenta son siempre privadas. Sólo el propietario del contacto y los administradores pueden verla. Reglas de intercambio de Contacto no se aplican a los contactos privados.
  • Notas y anexos marcados como privados mediante la casilla de verificación Privado son accesibles sólo para la persona que los administradores y unido.
  • Los eventos marcados como privados mediante la casilla de verificación Privado sólo son accesibles por el dueño evento. Otros usuarios no pueden ver los detalles del evento durante la visualización de calendario del propietario del evento. Sin embargo, los usuarios con la «Ver todos los datos» o «Modificar todos los datos» permiso puede ver los detalles del evento privado en informes y registros, o al ver calendarios de otros usuarios.
  • Los usuarios anteriores dueño de un récord en la jerarquía de funciones sólo se pueden ver o editar los registros del propietario del registro si tienen el «Leer» o «Editar» permiso de objeto para el tipo de registro

2) normas Compartiendo: (basado en propietario del registro o criterios) abren el acceso (horizontal / lateral), utilizado por el administrador que es una manera de conceder automáticamente a los usuarios el acceso a los objetos cuando jerarquía OWD o Papel no lo permite. (Permite hacer excepciones automáticas a amplios incumplimientos organización para un determinado grupo de usuarios) (normas de reparto, funciona mejor si se utiliza en un grupo previsto de usuarios {Roles} Exp:. Reclutadores todos pertenecen a cualquiera de las funciones del gestor de la contratación o reclutador, que comparten reglas funciona mejor … pero para los entrevistadores, se le asignará un nuevo conjunto de entrevistador para cada trabajo de director de recursos humanos será el uso de un conjunto diferente de los entrevistados en función de la posición que están contratando para el equipo de los entrevistados es difícil de predecir) (Administrar usuarios | Grupos públicos ) {utilizar grupos públicos cuando se define una regla de reparto de más de 1 persona o grupo o rol}
normas de reparto, o le permiten otorgar selectivamente acceso a los datos a los conjuntos definidos de usuarios.

  • Puede utilizar reglas de compartición de conceder un mayor acceso a los datos. No se puede restringir el acceso por debajo de sus niveles de morosidad de toda la organización.
  • reglas o uso compartido se aplican a todos los registros nuevos y existentes que cumplen con la definición del conjunto de datos de origen.
  • normas de reparto, se aplican tanto a los usuarios activos e inactivos.
  • Cuando se cambian los niveles de acceso para una regla de reparto, todos los registros existentes se actualizan automáticamente para reflejar los nuevos niveles de acceso.
  • Cuando se elimina una regla de reparto, se elimina automáticamente el acceso intercambio creado por esa regla.
  • Al transferir registros de un usuario a otro, las reglas de compartición son reevaluados para añadir o eliminar el acceso a los documentos transferidos, según sea necesario.
  • Cuando se modifica el que los usuarios se encuentran en un grupo, el papel, o territorio, las reglas de compartición son reevaluados para añadir o eliminar el acceso cuando sea necesario.
  • normas de reparto, otorgan automáticamente un acceso adicional a los registros relacionados. Por ejemplo, las normas de intercambio de oportunidades dan papel o los miembros del grupo para acceder a la cuenta asociada con la oportunidad compartida si es que aún no la tienen. Del mismo modo, contacto y reglas de compartición de casos proporcionan los miembros de la función o de grupo con acceso a la cuenta asociada también.
  • Si varias reglas de intercambio dan diferentes niveles de acceso de un usuario a un registro, el usuario obtiene el nivel de acceso más permisivo.
  • Los usuarios de la jerarquía de roles se conceden automáticamente el mismo acceso que los usuarios por debajo de ellos en la jerarquía tienen de una regla de reparto, siempre que el objeto es un objeto estándar o se selecciona la opción de Grant de acceso mediante jerarquías.
  • Independientemente de las normas de reparto, los usuarios pueden, por lo menos, ver las cuentas en sus territorios. Además, los usuarios pueden tener acceso para ver y editar los contactos, oportunidades y casos asociados con las cuentas de sus territorios.
  • Hacer cambios a las reglas de intercambio puede requerir cambiar un gran número de registros a la vez. Para procesar estos cambios de manera eficiente, que usted solicite que deben estar pendientes y puede recibir una notificación por correo electrónico cuando el proceso haya finalizado.
  • Puede crear reglas para compartir registros entre la mayoría de los tipos de usuarios del Portal de clientes y usuarios de Salesforce. Del mismo modo, puede crear reglas de compartición entre los usuarios del Portal del cliente de diferentes cuentas, siempre y cuando tengan la licencia de usuario del Administrador de Portal del Cliente. Sin embargo, no se puede incluir a los usuarios de portal de alto volumen en las reglas de intercambio porque no tienen papeles y no pueden estar en los grupos públicos.
  • Usted puede convertir fácilmente las reglas de intercambio que incluyen Roles, Portal Subordinados internos e incluir roles y subordinados internos no por la utilización del Portal asistente de acceso de usuario en convertir. Además, puede utilizar este asistente para convertir cualquier informe, cuadro de mandos, y carpetas de documentos de acceso público a las carpetas que son accesibles por todos los usuarios excepto para los usuarios del portal.
  • reglas de compartición de plomo no conceden automáticamente el acceso a la información después de conducir clientes potenciales se convierten en registros de cuenta, contacto, y de oportunidad.
  • En una relación de objeto maestro detalle, no se puede crear una regla de reparto para un objeto de información, que se hereda.

Compartiendo reglas basadas en propietario Record o en base a criterios de:
Reglas de compartición basados ??en criterios determinan quien compartir registros con base a los valores de campo en los registros. Por ejemplo, digamos que usted utiliza un objeto personalizado para las solicitudes de empleo, con un campo de lista personalizada denominada «Departamento». Usted puede crear una regla de reparto basado en criterios que comparte todas las solicitudes de empleo en el que el campo Departamento está ajustado en «IT» con todos los administradores de TI en su organización.
Aunque las reglas de intercambio basadas en criterios se basan en los valores en los registros y no los propietarios de discos, un rol o jerarquía territorio todavía permite a los usuarios más altos en la jerarquía para acceder a los registros.
Puede crear reglas de compartición basada en criterios para las cuentas, oportunidades, casos, contactos, clientes potenciales, campañas y objetos personalizados. Puede crear hasta 50 reglas de compartición basada en criterios por objeto.

3) Participación de manual: abrir el acceso (flexible), para los propietarios o usuarios con acceso completo a dar a los usuarios acceso de lectura / escritura a otro usuario o grupo que no pudo tener acceso al registro de otra manera.
4) el acceso implícito (cuentas y registros secundarios asociados)
5) Equipos (Cuenta, Caso y Opportunity)

En entornos en los que el modelo de reparto de un objeto se ha establecido en privado o público de sólo lectura, un administrador puede otorgar a los usuarios acceso adicional a los registros mediante el establecimiento de una jerarquía de funciones y definir reglas de compartición. Jerarquías de roles y reglas de intercambio sólo se pueden usar para conceder acceso adicional-que no pueden ser usados ??para restringir el acceso a los registros más allá de lo especificado originalmente con el modelo de reparto a través de los valores predeterminados de toda la organización.

Roles: (. Elemento principal en reglas de compartición, los usuarios pueden agruparse en papeles en función de su necesidad de acceder a los datos Cada papel en la jerarquía debe representar un nivel de acceso a datos requerida por los usuarios)
Dependiendo de la configuración de uso compartido, los roles pueden controlar el nivel de visibilidad que tienen los usuarios en los datos de su organización. Si el otorgamiento de acceso Usando opción Jerarquías está deshabilitado para un objeto personalizado, sólo el propietario del registro y los usuarios otorgan el acceso de los valores por defecto de toda la organización reciben acceso a los registros del objeto. Usted puede crear un máximo de 500 funciones para su organización.
Cada usuario debe ser asignado a un papel, o sus datos no se mostrará en los informes de oportunidad, pronóstico roll-ups, y otras pantallas basadas en roles. Si su organización utiliza la gestión del territorio, las previsiones se basan en la jerarquía territorio en lugar de la jerarquía de funciones.

Role Name: El nombre exclusivo utilizado por la API y paquetes gestionados. El nombre debe comenzar con una letra y utilizar sólo caracteres alfanuméricos y guiones bajos. El nombre no puede terminar con un guión bajo o dos guiones bajos consecutivos.
Grupos Compartir: Estos grupos se crean y se mantienen automáticamente. El grupo de roles contiene todos los usuarios de este rol, además de todos los usuarios en las funciones por encima de este papel. El grupo de clases, y los subordinados contiene todos los usuarios en este rol más todos los usuarios en las funciones anteriores y por debajo de esta función en la jerarquía. El grupo de clases, y los subordinados Internos (disponible si portales de clientes o portales asociados están habilitados para su organización) contiene todos los usuarios en este rol más todos los usuarios en las funciones anteriores y por debajo de este papel, con exclusión de Portal de clientes y socios usuarios del portal.
Usuarios que acceden a los datos debido a su posición en las jerarquías hacen basándose en un ajuste en sus valores por defecto en toda la organización (Grant Access mediante jerarquías)

Roles controlan Registros: Roles principalmente controlar los permisos de acceso de nivel de registro de un usuario a través de reglas de jerarquía y función de uso compartido. Roles es la forma más sencilla de definir los permisos de acceso de nivel de registro.
Perfiles y Conjuntos de permisos controlan los permisos de objeto y el terreno de acceso de un usuario: un usuario no puede definirse sin ser asignado a un perfil particular, ya que el perfil especifica el acceso más básico para los usuarios. Cada papel en la jerarquía sólo debe representar un nivel de acceso a datos que un usuario o grupo de necesidades de los usuarios.
???
7. En una situación dada, se aplican los controles de seguridad apropiados
1. ¿Quién es el usuario más restringido de este objeto?
(Empleado estándar)
2. ¿Hubo alguna vez va a haber una instancia de este objeto que este usuario no debe permitirse que ver?
(Sí – modelo de Compartir es privada)
(No) 3. ¿Hay cada vez va a ser una instancia de este objeto que este usuario no se debe permitir que editar?
(Sí – modelo de Compartir es público de sólo lectura) (n – modelo de Compartir es pública lectura / escritura)
8. Describir los diferentes controles perfiles
Perfiles estándar:
Sistema Admin: Tiene acceso a toda la funcionalidad que no requiere una licencia adicional. Por ejemplo, los administradores no pueden gestionar campañas a menos que tengan una licencia de comercialización de usuario.
Usuario de la plataforma estándar: Puede utilizar aplicaciones personalizadas y las aplicaciones de Appexchange + pueden usar la funcionalidad principal plataforma como cuentas, contactos, informes, cuadros de mando y fichas personalizadas
Gerente Solución: Puede revisar y publicar soluciones. También tiene acceso a la misma funcionalidad que el usuario estándar
Usuario de Marketing: Puede administrar campañas, clientes potenciales de importación, crear membretes, crear plantillas de correo electrónico HTML, gestionar documentos públicos, y actualizar la historia campaña a través de los asistentes de importación. También tiene acceso a la misma funcionalidad que el usuario estándar.
Socio de usuario: Sólo se puede acceder a través de un portal de socios.
Usuario del portal del cliente / gerente: Sólo se puede acceder a través de un Portal del cliente. Puede ver y editar los datos que directamente propios o datos pertenecientes o compartidos con los usuarios por debajo de ellos en la jerarquía de roles Portal del cliente; y ellos pueden ver y editar los casos en que aparezcan relacionados en el campo Nombre de contacto.
Administrador del contrato: se puede crear, editar, activar, y aprobar los contratos. Este perfil puede también eliminar los contratos, siempre y cuando no se activan. Puede editar las previsiones de cuotas y de anulación personales.
Sólo lectura: (equipo directivo) se puede ver la configuración de la organización, gestión e informes de exportación, y ver, pero no editar, otros registros.
Chatter usuario / moderador: Sólo se puede acceder para Chatter. Se puede acceder a todos los estándares de Chatter personas, perfiles, grupos y archivos.
Usuario Site.com: Sólo se puede iniciar sesión en la aplicación Site.com. Cada Sólo Site.com usuario también necesita una licencia de dispositivo Editorial Site.com para crear y publicar sitios, o una licencia de dispositivo Site.com Contribuyente para editar el contenido del sitio

9. Dado un escenario, determinar el uso apropiado de un perfil personalizado
Un perfil es un conjunto de permisos y otros ajustes asociados con un usuario o grupo de usuarios. Su organización cuenta con un número de perfiles estándar ya definido. Si crea un objeto personalizado, los permisos para acceder a ese objeto («Leer», «Crear», «Editar» y «Eliminar») se desactivan para la mayoría de los perfiles. Esta configuración de seguridad garantiza que el acceso a los objetos personalizados y sus datos sólo se concede explícitamente a los usuarios. Usted puede cambiar estos permisos en los perfiles personalizados, pero no perfiles estándar.

Visión general de los permisos de usuario y de acceso:
Permisos de usuario y la configuración de acceso especifican qué pueden hacer los usuarios dentro de una organización. Por ejemplo, los permisos determinan la capacidad de un usuario para editar un registro de objeto, ver el menú de configuración, vaciar la papelera de reciclaje de la organización, o restablecer la contraseña de un usuario. Configuración de acceso determinan otras funciones, como el acceso a las clases de Apex, la visibilidad de aplicaciones y las horas en que los usuarios pueden iniciar sesión.
Permisos y configuración de acceso se especifican en los perfiles de usuario y conjuntos de permisos. Cada usuario está asignado sólo un perfil, pero también puede tener varios conjuntos de permisos. Los conjuntos de permisos son la mejor manera de aplicar el acceso al sistema a usuarios sin afectar el resto de los usuarios que tienen el mismo perfil. (exp: permiso 1 + 2 + permiso permiso 3 (hasta 1000) se agrupan en un conjunto de permisos para crear un perfil como el permiso sin crear perfiles completos.
Al determinar el acceso a sus usuarios, es una buena idea utilizar los perfiles para asignar los permisos mínimos y configuración de acceso a grupos específicos de usuarios, a continuación, utilizar conjuntos de permisos para conceder permisos adicionales.
Debido a que usted puede asignar muchos conjuntos de permisos a usuarios y conjuntos de permisos son reutilizables, puede distribuir el acceso entre las agrupaciones más lógicos de los usuarios, independientemente de su función principal. Por ejemplo, puede crear un conjunto de permisos que permite el acceso de lectura a un objeto personalizado y asignarlo a un gran grupo de usuarios, y crear otro conjunto de permisos que permite el acceso de edición para el objeto y asignarlo a sólo unos pocos usuarios. Puede asignar estos conjuntos de permisos a diversos tipos de usuarios, independientemente de sus perfiles.
La siguiente tabla muestra los tipos de permisos y la configuración de acceso que se especifican en los perfiles y conjuntos de permisos
Delegar la administración de datos: (anulación de la seguridad y compartir configuraciones y quién tiene las facultades y cómo se concedió poderes) Creación de un perfil con «Administrar usuarios» permiso no se recomienda debido a los riesgos de seguridad {puede caducar todas las contraseñas, editar Entrar horas, editar / eliminar perfiles, etc} por lo que utilizar la administración delegada. Privilegios de administrador Limited como crear usuarios / editar, restablecer contraseñas, asignar usuarios a perfiles específicos, iniciar sesión como un usuario que permite el acceso de inicio de sesión)
Permisos administrativos globales: «Ver todos los datos», «Modificar todos los datos» (incluida la transferencia de masa / actualizar registros y Undelete lo que otros Borrar) «Personalizar aplicación» -Personalizar casi cualquier cosa en Salesforce, desde diseños de página para el modelo de datos
«Administrar usuarios» -Añadir y eliminar usuarios, restablecer contraseñas, conceder permisos, y más
(Permisos globales se aplican a los registros de todos los objetos de permisos de organización, si global es demasiado permisivos a continuación, utilizar los permisos de objetos) hay dos maneras de delegar el acceso administrativo limitado a los datos (intercambio anulando)
1. permisos de nivel de objetos (ver todo, modificar todos) los permisos de objeto se aplican a los registros de un objeto específico. O crear un conjunto de permisos con «modificar todos» y asignar a los roles.
2. grupos administración delegada: es un grupo de usuarios que no sean administradores con privilegios de administrador limitadas. Controles de seguridad | Administración delegada
a. Los administradores delegados: Usuarios
b. Administración de usuarios (roles): nos permite tipos de usuarios de este grupo pueden administrar
c. Perfiles asignables: nos permite especificar los perfiles de este grupo se puede asignar a los usuarios que gestionan.
d. Administración de objeto personalizado: especifica objetos personalizados administradores delegados pueden administrar.
Perfiles y conjuntos de permisos – Objetos y campos de permisos de acceso de nivel de
Roles – permisos de acceso a nivel de registro a través de jerarquía de roles y reglas de compartición
Compartiendo reglas y jerarquías de roles nunca puede ser más estricta que nuestros configuración predeterminada del org.

Un grupo público es una colección de usuarios individuales, otros grupos, los roles individuales y / o roles con sus subordinados que todos tienen una función en común. El uso de un grupo público al definir una regla de reparto hace que la regla más fácil de crear y, más importante, más fácil de entender más tarde, sobre todo si se trata de una de las muchas reglas de compartición que usted está tratando de mantener en una organización grande. Tendrá que crear un grupo público si alguna vez desea definir una regla de reparto que abarca más de uno o dos grupos o roles, o cualquier persona.
Controles perfil de acceso a los objetos y registros utilizando papeles
Una cuenta puede tener muchas oportunidades, muchas oportunidades pueden pertenecer a una sola cuenta.

http://salesforce-certification-notes.blogspot.com.es/2013/01/security-and-access-15.html