AgentForceAccess
🇪🇸 Español
Solicitar acceso anticipado
Resolución de problemasAcceso a registrosAdministración de Salesforce

Un usuario ve un registro que no debería: cómo saber por qué

Un método paso a paso para diagnosticar por qué un usuario de Salesforce ve un registro que no debería: OWD, jerarquía de roles, reglas y comparticiones.

AgentForceAccess 4 min de lectura
Numerosos haces de luz convergentes desde la silueta de un usuario hacia un único registro, con una lupa

¿Por qué puede esta persona ver ese registro? es la pregunta de acceso más habitual en Salesforce, y la más difícil de responder a simple vista, porque la plataforma nunca decide la visibilidad en un único sitio. Concede la unión de varios mecanismos. Esta guía te ofrece un orden repetible para encontrar el que abrió el acceso.

Primero, el modelo mental

La colaboración en Salesforce es aditiva y gana lo más permisivo. No buscas una regla que permita el acceso y otra que lo bloquee. Buscas cualquier concesión individual, porque con una basta. (Para conocer todas las capas, consulta quién puede ver un registro en Salesforce.)

Si aunque sea un solo mecanismo concede el acceso, el usuario lo tiene. Tu tarea es encontrar cuál.

Paso 1 — Lee el botón Compartir

En el registro, haz clic en Compartir (disponible para objetos cuyo valor predeterminado de toda la organización no sea totalmente público). La lista muestra los usuarios con acceso y una columna Motivo: Propietario, Jerarquía de roles, Regla de colaboración, Compartición manual, Equipo, etc. En la mayoría de los casos esto identifica al culpable de inmediato.

Si el usuario ni siquiera aparece ahí pero aun así ve el registro, sospecha de una omisión a nivel de perfil: ve al Paso 2.

Paso 2 — Descarta las omisiones a nivel de permiso

Estas ignoran por completo el modelo de colaboración:

  • Ver todos los datos / Modificar todos los datos (permisos de sistema, p. ej. en el perfil Administrador del sistema).
  • Ver todo / Modificar todo a nivel de objeto sobre ese objeto concreto.

Si el usuario tiene cualquiera de estos a través de un perfil o de un conjunto de permisos, los cambios de colaboración no ocultarán el registro. Debes quitar el permiso. Revisa su perfil y todos los conjuntos de permisos asignados.

Paso 3 — Recorre las capas de colaboración, de arriba abajo

Si realmente se trata de una concesión de colaboración, identifica qué capa la origina:

El valor predeterminado de toda la organización es demasiado abierto

Si el OWD del objeto es Pública solo lectura o Pública lectura/escritura, todo el mundo con acceso al objeto ve todos los registros. La solución es estructural: endurece el valor predeterminado de toda la organización y vuelve a conceder el acceso de forma deliberada.

La jerarquía de roles propaga el acceso hacia arriba

Si el usuario está por encima del propietario del registro en la jerarquía de roles y “Conceder acceso mediante jerarquías” está activado, hereda el acceso del propietario de forma automática. Esta es la sorpresa más habitual.

Una regla de colaboración demasiado amplia

Una regla basada en criterios como Region = EMEA → compartir con el rol X puede incluir a muchas más personas de lo previsto, sobre todo tras cambios de datos o de roles. Revisa las reglas dirigidas al rol del usuario, a grupos públicos o a su territorio.

Una compartición manual o implícita

  • Compartición manual: alguien usó el botón Compartir del registro.
  • Compartición implícita: el acceso a una Cuenta principal concede acceso de lectura limitado a sus Casos y Contactos secundarios. La gente olvida esta constantemente, y siempre es de solo lectura.
  • Colaboración gestionada por Apex: código personalizado creó la compartición; el botón Compartir la muestra, pero el origen está en el código.

Equipos y territorios

La pertenencia a un equipo de Cuenta/Oportunidad/Caso, o un territorio coincidente bajo Gestión de territorios empresariales, conceden acceso de forma independiente.

Paso 4 — Confirma que no es un retraso del recálculo

Si el acceso parece inconsistente, puede que estés viendo cómo termina el recálculo de la colaboración tras un cambio reciente de propiedad, de rol o de regla. Deja que termine antes de declarar un error.

Una lista de comprobación para el diagnóstico

  1. Botón Compartir → lee el Motivo de ese usuario.
  2. Perfil + conjuntos de permisos → ¿algún Ver todo / Modificar todo?
  3. ¿El OWD es demasiado abierto para este objeto?
  4. ¿El usuario está por encima del propietario en la jerarquía de roles?
  5. ¿Alguna regla de colaboración (especialmente basada en criterios) lo incluye?
  6. ¿Una compartición manual, implícita o de Apex?
  7. ¿Miembro de un equipo o territorio coincidente?
  8. Cambio reciente → espera al recálculo.

El primer “sí” es tu respuesta, y puede haber más de una vía concediendo el mismo acceso. Para el problema contrario —un usuario que no puede ver un registro que sí debería— consulta la lista de comprobación para diagnosticar el acceso ausente.

Hacerlo en segundos en lugar de en toda una tarde

Recorrer ocho capas por cada par usuario-registro, entre perfiles, conjuntos de permisos y seis mecanismos de colaboración, es justamente el trabajo manual y tedioso que oculta la exposición real. AgentForceAccess lo hace por ti: pregunta en lenguaje natural por qué un usuario puede ver un registro y rastrea cada capa citando la concesión exacta, para que vayas directo a la solución.

Preguntas frecuentes

¿Cuál es la primera comprobación más rápida?

Abre el registro, haz clic en el botón Compartir y lee la columna "Motivo" para ese usuario. Indica el mecanismo que concede el acceso (Propietario, Jerarquía de roles, Regla de colaboración, Manual, etc.) para la mayoría de los objetos estándar. Confirma también que el usuario no tenga simplemente "Ver todos los datos" o "Ver todo" a nivel de objeto.

El botón Compartir dice "Jerarquía de roles": ¿y ahora qué?

Alguien por debajo del usuario en la jerarquía de roles es propietario del registro (o lo tiene compartido con él) y la opción "Conceder acceso mediante jerarquías" está activada para el objeto. Para quitar ese acceso tendrías que cambiar la jerarquía, la propiedad o desactivar el acceso por jerarquía para objetos personalizados, y ninguna de estas decisiones es trivial.

¿Podría ser la causa un permiso de perfil y no la colaboración?

Sí. "Ver todos los datos"/"Modificar todos los datos" y "Ver todo"/"Modificar todo" a nivel de objeto omiten por completo el modelo de colaboración. Si el usuario tiene cualquiera de ellos, ningún cambio de colaboración ocultará el registro: debes quitar el permiso.

¿Por qué el acceso aparece y desaparece de forma intermitente?

Recálculo de la colaboración. Tras cambios de propiedad, movimientos de roles o ediciones de reglas, Salesforce reprocesa las comparticiones de forma asíncrona. Durante ese intervalo el acceso puede parecer inconsistente. Deja que el recálculo termine antes de concluir que hay un error de configuración.

Míralo en tu propia organización

AgentForceAccess explica, en lenguaje claro, por qué cualquier usuario puede ver cualquier registro o archivo, recorriendo todos los mecanismos de colaboración de Salesforce.

Solicitar acceso anticipado