Un usuario no ve un registro que debería ver: cómo solucionarlo
Por qué un usuario de Salesforce no ve un registro que debería: una lista de comprobación de permisos de objeto, seguridad a nivel de campo y reglas.
La imagen especular de «por qué este usuario ve ese registro» es igual de habitual: alguien debería poder ver un registro y no puede. La buena noticia es que el acceso en Salesforce pasa por una secuencia fija de comprobaciones, así que puedes aislar el fallo de forma metódica en lugar de adivinar.
Las dos comprobaciones que todo acceso a un registro debe superar
Salesforce concede acceso solo si ambas se superan:
- Nivel de objeto: ¿tiene el usuario CRUD sobre el objeto y seguridad a nivel de campo en los campos relevantes? (Desde los perfiles y los conjuntos de permisos.)
- Nivel de registro: ¿el modelo de uso compartido concede este registro concreto?
Un fallo en cualquiera de ellas oculta el registro. Así que la primera tarea es averiguar qué comprobación está fallando, y el síntoma te lo dice.
Interpreta primero el síntoma
| Síntoma | Comprobación que falla | Ir a |
|---|---|---|
| No encuentra el objeto/pestaña en absoluto | Permiso de objeto o visibilidad de aplicación/pestaña | Paso 1 |
| Ve el objeto, pero no un registro | Uso compartido a nivel de registro (o regla de restricción) | Paso 3 |
| Abre el registro, pero los campos están en blanco | Seguridad a nivel de campo | Paso 2 |
| Lo veía ayer, hoy no | Un cambio reciente / recálculo | Paso 4 |
Paso 1: Permisos de objeto y visibilidad
Si el usuario no puede llegar al objeto ni a su pestaña:
- Confirma el permiso de lectura (Read) sobre el objeto en su perfil o en un conjunto de permisos.
- Confirma que la aplicación y la pestaña son visibles para él.
Sin acceso al objeto no hay registros, independientemente del uso compartido. Corrige esto primero. (Si el fallo se produce al guardar un registro y no al verlo, la causa suele ser un registro relacionado al que el usuario no puede llegar; consulta insufficient access rights on cross-reference id.)
Paso 2: Seguridad a nivel de campo
Si el registro se abre pero hay campos concretos vacíos, el acceso a nivel de registro está bien: la seguridad a nivel de campo está ocultando los campos. Concede la seguridad a nivel de campo (FLS) para esos campos en el perfil del usuario o en un conjunto de permisos. (Es un ajuste de perfil o conjunto de permisos, no de uso compartido; consulta perfiles vs. conjuntos de permisos vs. uso compartido.)
Paso 3: Uso compartido a nivel de registro
Si el usuario tiene acceso al objeto pero no puede llegar a un registro, recorre el modelo de uso compartido:
- Valor predeterminado de toda la organización: si es Private, el usuario solo ve los registros de los que es propietario, los que pertenecen a alguien por debajo de él en la jerarquía de funciones, o los que concede una regla, un equipo o un uso compartido manual. Si no se aplica ninguno, esa es tu respuesta: añade una regla de uso compartido, una pertenencia a un equipo o un uso compartido manual.
- Jerarquía de funciones: ¿el usuario está realmente por encima del propietario? Si no, no hay propagación hacia arriba.
- Una regla de restricción lo está filtrando: las reglas de restricción reducen el acceso sobre el uso compartido. El usuario puede tener acceso a través del uso compartido pero quedar excluido por los criterios de una regla de restricción. Revisa las reglas de restricción del objeto para el conjunto de permisos del usuario.
Paso 4: Cambios recientes y recálculo
Si el acceso ha desaparecido:
- Busca cambios en la propiedad, la jerarquía de funciones, las reglas de uso compartido, una regla de restricción o las asignaciones de conjuntos de permisos del usuario: cualquiera puede retirar el acceso.
- Confirma que un recálculo del uso compartido haya terminado. Tras cambios de propiedad, rol o reglas, Salesforce reprocesa los recursos compartidos de forma asíncrona y el acceso puede retrasarse durante esa ventana.
Una lista de comprobación para el diagnóstico
- ¿Puede llegar al objeto/pestaña? → permiso de objeto + visibilidad de aplicación/pestaña.
- ¿Se muestran los campos? → seguridad a nivel de campo.
- ¿Está el OWD en Private sin un recurso compartido aplicable? → añade uso compartido.
- ¿Está por encima del propietario en la jerarquía? → si hace falta.
- ¿Una regla de restricción lo excluye? → ajusta los criterios.
- ¿Hay un cambio reciente o un recálculo en curso? → espera / revierte.
La primera comprobación que falla es tu solución. Y ten en cuenta el problema inverso —demasiado acceso— en un usuario ve un registro que no debería.
Ve directo a la capa que falla
La parte lenta es probar cada capa por turnos, a menudo iniciando sesión como el usuario. AgentForceAccess lo condensa: pregunta por qué un usuario no puede ver un registro y te indica qué comprobación lo bloquea —permiso de objeto, seguridad a nivel de campo, un recurso compartido que falta o una regla de restricción— para que corrijas la capa correcta a la primera.
Preguntas frecuentes
El usuario ve el objeto pero no un registro concreto. ¿Por qué?
Es un problema de nivel de registro. Con un valor predeterminado de toda la organización Private, un usuario solo ve los registros de los que es propietario, los que pertenecen a alguien por debajo de él en la jerarquía de funciones, o los que le concede una regla de uso compartido, un equipo o un uso compartido manual. Si no se aplica ninguno, el registro permanece oculto. Una regla de restricción también puede estar filtrándolo.
El usuario puede abrir el registro pero los campos clave aparecen en blanco. ¿Por qué?
Eso es seguridad a nivel de campo, no uso compartido de registros. El usuario tiene acceso al registro, pero su perfil o sus conjuntos de permisos ocultan esos campos. Concede la seguridad a nivel de campo para los campos en el conjunto de permisos correspondiente.
El usuario no ve el objeto ni la pestaña en absoluto. ¿Qué falla?
Probablemente le falte el permiso de lectura (Read) sobre el objeto, o la aplicación o pestaña esté oculta para su perfil. Los permisos de objeto y la visibilidad de pestañas y aplicaciones provienen de los perfiles y los conjuntos de permisos; corrige eso antes de mirar el modelo de uso compartido.
El acceso funcionaba ayer y ha dejado de funcionar. ¿Qué ha cambiado?
Busca un cambio reciente en la propiedad, la jerarquía de funciones, las reglas de uso compartido, una regla de restricción o los conjuntos de permisos del usuario: cualquiera de ellos puede retirar el acceso. Confirma también que un recálculo del uso compartido haya terminado, ya que el acceso puede retrasarse durante el reprocesamiento.
Míralo en tu propia organización
AgentForceAccess explica, en lenguaje claro, por qué cualquier usuario puede ver cualquier registro o archivo, recorriendo todos los mecanismos de colaboración de Salesforce.
Solicitar acceso anticipado