File e utenti guest / Experience Cloud: i rischi di esposizione
Come i file diventano visibili agli utenti guest ed Experience Cloud in Salesforce: il campo Visibility, la condivisione e le misconfigurazioni che espongono i dati.
L’accesso ai file è già abbastanza complicato internamente. Aggiungi gli utenti Experience Cloud (community) e guest e la questione si fa più acuta in entrambe le direzioni: i file che vuoi mostrare agli utenti esterni a volte non compaiono, e quelli che non vuoi mostrare a volte finiscono esposti al pubblico. Entrambi i casi si riconducono allo stesso piccolo insieme di impostazioni. Ecco come configurarle correttamente.
Gli utenti esterni usano lo stesso modello, con un gate in più
Gli utenti community e guest vedono i file attraverso lo stesso modello ContentDocumentLink di tutti gli altri. Ma c’è un gate aggiuntivo che gli utenti interni incontrano raramente: il campo Visibility del link.
| Visibility | Chi include |
|---|---|
AllUsers | Utenti interni ed esterni/community |
InternalUsers | Solo utenti interni |
SharedUsers | Solo utenti con cui è stata fatta una condivisione esplicita |
Perché un utente Experience Cloud veda un file allegato a un record, devono essere vere entrambe le condizioni: può accedere al record e il campo Visibility del link del file include gli utenti esterni (in genere
AllUsers).
È per questo che “l’utente della community vede il record ma non il suo file” è un ticket così comune: l’accesso al record è corretto, ma Visibility è InternalUsers.
Modalità di errore 1: file che dovrebbero comparire e non lo fanno
La versione innocua. Un utente della community può aprire un case ma i suoi allegati mancano. La soluzione è quasi sempre il campo Visibility sul ContentDocumentLink del file, e assicurarsi che i file caricati all’interno della community ereditino la visibilità corretta. Controlla il link, non la condivisione del record.
Modalità di errore 2: file che non dovrebbero comparire e invece compaiono
La versione pericolosa, e il motivo per cui questo tema conta per la sicurezza.
Gli utenti guest non sono autenticati. Sono visitatori anonimi del tuo sito pubblico. Quindi tutto ciò che la configurazione di un utente guest espone è di fatto disponibile a tutta internet:
- Un link pubblico (senza login, per definizione) su un file sensibile.
- File allegati a record che il profilo dell’utente guest può raggiungere, con visibilità
AllUsers. - Sharing set / sharing rule troppo ampi che concedono all’audience guest o esterna più record del previsto, e di conseguenza più file.
Un accesso guest troppo permissivo è tra i problemi di esposizione dati di Salesforce segnalati più di frequente. I file viaggiano insieme a qualunque record tu abbia esposto per errore.
I due gate da sottoporre ad audit, insieme
Poiché l’accesso esterno ai file dipende da accesso al record E Visibility del file, devi controllare entrambi come una coppia:
- Quali record possono raggiungere gli utenti guest ed esterni? (Modello di condivisione della community, sharing set, sharing rule.)
- Qual è la Visibility dei file allegati a quei record?
- Esistono link pubblici su file sensibili?
Lo stato finale desiderato: esattamente i file che intendevi pubblicare sono raggiungibili dall’audience esterna, e nient’altro. Arrivarci è la stessa domanda di fondo del resto del modello di accesso ai record, solo con l’audience più rischiosa possibile.
Sapere cosa il pubblico può davvero raggiungere
La combinazione — accesso esterno al record moltiplicato per la Visibility del file più eventuali link pubblici — è esattamente ciò che rende l’esposizione degli utenti guest facile da valutare male e difficile da verificare a mano. AgentForceAccess la valuta come valuta l’accesso interno: chiedi cosa può vedere un utente guest o community, e traccia i record che raggiunge e i file che quei record espongono, così “qualcosa sta finendo in pubblico?” diventa una domanda a cui puoi davvero rispondere.
Domande frequenti
Perché il mio utente della community non riesce a vedere un file su un record a cui può accedere?
Il più delle volte il campo Visibility del ContentDocumentLink è impostato su InternalUsers, che esclude gli utenti esterni anche quando l'accesso al record è corretto. Per esporre il file agli utenti della community serve generalmente Visibility = AllUsers. Il solo accesso al record non basta se Visibility esclude quell'audience.
Qual è il rischio legato agli utenti guest e ai file?
Gli utenti guest sono visitatori non autenticati. Qualsiasi file esposto dalla loro configurazione di condivisione o da un link pubblico è di fatto disponibile sull'intera rete internet. Un accesso guest troppo ampio, o un link pubblico dimenticato, è uno dei rilievi di esposizione dati più comuni in Salesforce.
Che rapporto c'è tra la visibilità dei file e la condivisione dei record in una community?
Sono due gate separati. L'utente deve avere accesso al record (tramite il modello di condivisione della community, sharing set o sharing rule) E il campo Visibility del link del file deve includere gli utenti esterni. Entrambi devono allinearsi, ed è per questo che l'accesso ai file nelle community è un tema frequente sia di supporto sia di sicurezza.
Cosa dovrei verificare prima di esporre file in una community?
Verifica quali record possono raggiungere gli utenti guest ed esterni, poi controlla il campo Visibility dei file allegati a quei record. Sottoponi ad audit ogni link pubblico. L'obiettivo è che esattamente i file previsti, e nessun altro, siano raggiungibili dall'audience esterna.
Provalo sulla tua org
AgentForceAccess spiega, in linguaggio chiaro, perché un utente può vedere un record o un file — attraverso ogni meccanismo di condivisione di Salesforce.
Richiedi accesso anticipato