AgentForceAccess
🇪🇸 Español
Solicitar acceso anticipado
Acceso a registrosModelo de colaboraciónAdministración de Salesforce

¿Quién puede ver un registro en Salesforce? Cómo se decide el acceso

Guía práctica sobre cómo Salesforce decide quién ve un registro: valores predeterminados de la organización, jerarquía de funciones, reglas de colaboración y más.

AgentForceAccess 4 min de lectura
Pila abstracta de capas translúcidas y luminosas que representan las reglas de colaboración de Salesforce

Si administras una organización de Salesforce durante el tiempo suficiente, tarde o temprano alguien te preguntará: “¿Cómo es que esta persona puede ver ese registro?” La respuesta sincera es que Salesforce nunca decide la visibilidad de un registro en un solo lugar. Superpone varios mecanismos unos sobre otros y concede la unión de todos ellos.

Esta guía recorre cada capa en el orden en que Salesforce la evalúa, para que puedas razonar sobre cualquier pregunta del tipo “quién puede ver qué” partiendo de los principios básicos.

La única regla que lo explica todo

La colaboración en Salesforce es aditiva y gana la opción más permisiva. Parte de la base que establecen los valores predeterminados de la organización y, a partir de ahí, cualquier otro mecanismo solo puede añadir acceso por encima. Nada en el modelo de colaboración estándar quita acceso.

Así que, cuando estés rastreando por qué un usuario puede ver un registro, nunca buscas la regla que lo permite y una regla que lo bloquea. Buscas una única concesión cualquiera, porque con una basta.

Si aunque sea un solo mecanismo concede acceso, el usuario tiene acceso. Y punto.

Capa 1 — Los permisos de objeto deciden si, no cuáles

Antes incluso de plantearse la colaboración, el usuario necesita acceso a nivel de objeto a través de su perfil o conjuntos de permisos:

Si un usuario no tiene permiso de Lectura sobre Oportunidades, ninguna regla de colaboración del mundo le mostrará una oportunidad. Los permisos de objeto son la puerta; el modelo de colaboración es lo que ocurre después de cruzarla.

Capa 2 — Los valores predeterminados de la organización fijan el mínimo

Los valores predeterminados de la organización (OWD) definen la base más restrictiva para cada objeto:

  • Privado: solo el propietario del registro (y quienes están por encima de él en la jerarquía de funciones) puede verlo.
  • Solo lectura pública: todos pueden verlo, solo el propietario puede modificarlo.
  • Lectura/escritura pública: todos pueden verlo y modificarlo.

Todo lo que viene a continuación existe para ampliar el acceso por encima de este mínimo para personas concretas.

Capa 3 — La jerarquía de funciones traslada el acceso hacia arriba

Si está activada la opción Conceder acceso mediante jerarquías para el objeto, cualquiera que esté por encima del propietario del registro en la jerarquía de funciones hereda el acceso del propietario. Por eso un responsable de ventas ve los acuerdos de sus comerciales sin ninguna regla explícita, y es el motivo más habitual de un acceso inesperado.

Capa 4 — Las reglas de colaboración abren el acceso en horizontal

Las reglas de colaboración extienden el acceso a lo ancho de la jerarquía, hacia los iguales y otras ramas:

  • Basadas en la propiedad: comparten los registros propiedad de un grupo de usuarios con otro grupo.
  • Basadas en criterios: comparten los registros que coinciden con determinados valores de campo (p. ej. Region = EMEA) con un grupo, una función o un territorio.

Ambas conceden acceso a un grupo de usuarios de golpe, lo que convierte una regla basada en criterios demasiado amplia en una causa frecuente de que “demasiada” gente pueda ver algo.

Capa 5 — Colaboraciones manuales e implícitas

  • Colaboración manual: el botón Compartir de un registro, que concede a un usuario o grupo concreto acceso a ese registro en particular.
  • Colaboración implícita: comportamiento integrado, como que el acceso a una cuenta principal implique un acceso limitado a sus casos y contactos secundarios.
  • Colaboración gestionada por Apex: colaboraciones programáticas creadas por código personalizado, a menudo las más difíciles de detectar.

Capa 6 — Equipos y territorios

  • Los equipos de cuenta, oportunidad y caso conceden acceso a ese registro a los miembros del equipo indicados.
  • La gestión de territorios empresariales concede acceso en función de los territorios a los que pertenecen un usuario y un registro.

Juntándolo todo: cómo rastrear cualquier acceso

Para responder “por qué puede este usuario ver este registro”, revisa cada capa hasta dar con una concesión:

  1. ¿Tiene el usuario Lectura de objeto (o Ver todo) a través del perfil/conjunto de permisos?
  2. ¿El OWD ya es público para este objeto?
  3. ¿Está por encima del propietario en la jerarquía de funciones?
  4. ¿Alguna regla de colaboración lo incluye?
  5. ¿Existe una colaboración manual, implícita o de Apex?
  6. ¿Forma parte de un equipo o de un territorio coincidente?

El primer “sí” es tu respuesta, y recuerda que puede haber más de uno. Para ver la versión paso a paso de este rastreo, consulta un usuario puede ver un registro que no debería; el mismo modelo rige quién puede ver un archivo, ya que los archivos heredan el acceso del registro.

Este es exactamente el trabajo que automatiza AgentForceAccess: pregunta en lenguaje natural por qué un usuario puede ver un registro y rastrea todas las capas anteriores, citando la concesión exacta que lo permite.

Preguntas frecuentes

¿Un administrador del sistema se salta el modelo de colaboración?

Sí. Los permisos "Ver todo" y "Modificar todo" —concedidos por defecto al perfil de administrador del sistema— eluden por completo los valores predeterminados de la organización, las reglas de colaboración y la jerarquía de funciones. "Ver todo" / "Modificar todo" a nivel de objeto hacen lo mismo para un único objeto.

Si dos reglas de colaboración se aplican al mismo registro, ¿cuál prevalece?

La más permisiva. El acceso en Salesforce es aditivo: concede la unión de todas las reglas aplicables. El acceso nunca puede reducirse añadiendo otra regla, solo ampliarse.

¿Por qué puede un responsable ver registros que nunca se le asignaron explícitamente?

La jerarquía de funciones concede a los responsables acceso a los registros propiedad de (o compartidos con) los usuarios situados por debajo de ellos en la jerarquía, siempre que esté activada la opción "Conceder acceso mediante jerarquías" para ese objeto.

¿Los permisos de objeto y la configuración de colaboración hacen lo mismo?

No. Los permisos de objeto (en perfiles y conjuntos de permisos) deciden si un usuario puede acceder a un objeto y qué puede hacer con él. El modelo de colaboración decide qué registros concretos de ese objeto puede ver.

Míralo en tu propia organización

AgentForceAccess explica, en lenguaje claro, por qué cualquier usuario puede ver cualquier registro o archivo, recorriendo todos los mecanismos de colaboración de Salesforce.

Solicitar acceso anticipado