Reglas de restricción vs reglas de alcance vs reglas de colaboración
Las reglas de colaboración abren el acceso, las de restricción lo reducen y las de alcance solo fijan la vista predeterminada. Diferencias y usos.
La mayor parte del modelo de colaboración de Salesforce solo sabe abrir el acceso. Las reglas de restricción y las reglas de alcance son las herramientas más recientes que cambian eso, pero hacen cosas muy distintas y resulta fácil confundirlas. Aquí tienes cómo se relacionan las tres.
El mapa en una línea
- Reglas de colaboración: abren el acceso. Conceden registros a usuarios que de otro modo no los verían.
- Reglas de restricción: reducen el acceso. Filtran los registros que un usuario tendría permitido ver de otro modo.
- Reglas de alcance: enfocan la vista. Cambian qué registros se muestran de forma predeterminada, sin cambiar el acceso.
Dos de ellas afectan a la seguridad; una no. Esa es la distinción que conviene tener clara.
Reglas de colaboración: abrir el acceso
Las reglas de colaboración se sitúan sobre el valor predeterminado de la organización y conceden acceso adicional por propiedad o por criterios. Solo pueden ampliar el acceso, nunca reducirlo. Si necesitas repasar cómo se comparan con la jerarquía, consulta reglas de colaboración vs jerarquía de funciones.
Este es el comportamiento aditivo y de “gana el más permisivo” que está en el núcleo del modelo de acceso a registros.
Reglas de restricción: reducir el acceso
Las reglas de restricción son la excepción a “la colaboración de Salesforce solo abre el acceso”. Una regla de restricción define qué registros tiene permitido ver un usuario y se aplica sobre todo lo que concedió el modelo de colaboración, filtrando de hecho el resultado.
Si el valor predeterminado de la organización, la jerarquía de funciones y las reglas de colaboración mostraran en conjunto 10 000 registros a un usuario, una regla de restricción puede reducir esa cifra al subconjunto que cumple sus criterios.
Ejemplo. Los agentes de soporte tienen un acceso amplio a los casos mediante una regla de colaboración, pero los contratistas entre ellos solo deberían ver los casos no confidenciales. Una regla de restricción sobre Case (Confidential = false para el conjunto de permisos de contratista) elimina los confidenciales de lo que pueden ver, aunque la colaboración técnicamente se los hubiera concedido.
Esta es la herramienta a la que recurrir cuando la pregunta es “¿cómo retiro el acceso?”.
Reglas de alcance: enfoque, no seguridad
Las reglas de alcance controlan qué registros aparecen de forma predeterminada en las vistas de lista, las búsquedas y los informes, en función de condiciones como el propietario, la función o la región. Lo fundamental:
Las reglas de alcance no limitan el acceso. Un usuario puede cambiar el alcance a “todos los registros a los que puedo acceder” y ver todo lo que la colaboración le concede.
Son una función de productividad: muestran primero a un comercial ocupado su propia región, sin forzarlo. Si hay que impedir que un usuario vea ciertos registros, las reglas de alcance son la herramienta equivocada: usa reglas de restricción.
Comparación lado a lado
| Reglas de colaboración | Reglas de restricción | Reglas de alcance | |
|---|---|---|---|
| Efecto sobre el acceso | Lo abren | Lo reducen | Ninguno |
| ¿Control de seguridad? | Sí | Sí | No (solo enfoque) |
| ¿Puede anularlas el usuario? | No | No | Sí (cambiar alcance) |
| Dirección | Añadir acceso | Quitar acceso | Filtrar vista predeterminada |
| Límite habitual | Muchas | ~2 activas/objeto | ~2 activas/objeto |
Combinándolas
Un objeto realista podría usar las tres: un OWD Privado, reglas de colaboración para dar a los equipos el acceso que necesitan, una regla de restricción para apartar un subconjunto sensible de los contratistas y una regla de alcance para que cada usuario aterrice de forma predeterminada en su propia región. Cada una hace un trabajo; juntas modelan tanto qué pueden ver los usuarios como qué ven primero.
La trampa: el acceso efectivo es la suma
Superponer herramientas que abren, reducen y enfocan hace que “¿qué puede ver realmente este usuario?” resulte genuinamente difícil de responder por simple inspección: lo que concede la colaboración menos lo que filtran las restricciones, ignorando el alcance. Ese es exactamente el cálculo que AgentForceAccess hace por ti: pregunta a qué puede acceder de verdad un usuario y tendrá en cuenta tanto la colaboración que lo concede como las reglas de restricción que lo recortan, en lenguaje claro.
Preguntas frecuentes
¿Cuál es la diferencia en una línea?
Las reglas de colaboración conceden un acceso que el usuario no tenía, las de restricción retiran un acceso que el usuario sí tenía y las de alcance solo prefiltran las vistas de lista y las búsquedas sin afectar al acceso en absoluto.
¿Puede una regla de restricción anular una regla de colaboración o la jerarquía de funciones?
Sí. Las reglas de restricción se aplican sobre el modelo de colaboración y filtran los registros que un usuario puede ver, incluso aquellos que el valor predeterminado de la organización, la jerarquía de funciones o las reglas de colaboración expondrían de otro modo. Son la forma de reducir realmente el acceso en Salesforce.
¿Las reglas de alcance ocultan registros por seguridad?
No. Las reglas de alcance solo cambian el conjunto predeterminado de registros que se muestran en las vistas de lista, las búsquedas y los informes. El usuario puede cambiar el alcance a "todos los registros a los que puedo acceder", así que tienen que ver con el enfoque y la productividad, no con la seguridad. Usa reglas de restricción cuando el acceso deba limitarse de verdad.
¿Existen límites para estas reglas?
Sí. Las reglas de restricción y las de alcance suelen tener un tope de hasta 2 reglas activas por objeto y están disponibles para objetos personalizados más una selección de objetos estándar como Account, Case, Contact, Event, Lead, Opportunity y Task. Consulta los límites actuales de tu edición.
Míralo en tu propia organización
AgentForceAccess explica, en lenguaje claro, por qué cualquier usuario puede ver cualquier registro o archivo, recorriendo todos los mecanismos de colaboración de Salesforce.
Solicitar acceso anticipado