Sharing rules vs gerarchia dei ruoli in Salesforce: le differenze
La gerarchia dei ruoli concede accesso in automatico verso l'alto; le sharing rules lo estendono lateralmente per criteri o titolarità. Quando usarle.
La gerarchia dei ruoli e le sharing rules sono i due meccanismi a cui gli admin ricorrono più spesso, e i due che vengono confusi più di frequente. Entrambi ampliano l’accesso ai record, ma in direzioni diverse e per ragioni diverse. Cogliere bene la distinzione fa la differenza tra un modello di condivisione pulito e un groviglio di regole sovrapposte.
La differenza in una riga
- Gerarchia dei ruoli: concede accesso in modo automatico e verticale: chiunque si trovi sopra il titolare del record nell’organigramma eredita l’accesso del titolare.
- Sharing rules: concedono accesso in modo deliberato e orizzontale: a pari grado, ad altri team o a gruppi che la gerarchia non collegherebbe mai, in base alla titolarità o ai valori dei campi.
Entrambe poggiano sull’org-wide default e possono solo aprire l’accesso, mai restringerlo. (Vedi la stratificazione completa in chi può vedere un record.)
Gerarchia dei ruoli: l’accesso risale verso l’alto
Quando per un oggetto è abilitato Grant Access Using Hierarchies, i manager ereditano automaticamente l’accesso ai record posseduti dagli utenti sotto di loro, o condivisi con essi. Nessuna regola, nessuna configurazione record per record.
Esempio. Un org-wide default Private sulle Opportunity. Un commerciale possiede una trattativa. Il suo manager, e il VP del manager, possono vederla automaticamente perché si trovano sopra il commerciale nella gerarchia. È la gerarchia dei ruoli che fa il suo lavoro.
È perfetta per la visibilità manager-vede-team, ed è anche la fonte più comune delle sorprese del tipo “perché riescono a vederlo?”, perché nessuno l’ha configurata record per record.
Sharing rules: l’accesso si apre lateralmente
Le sharing rules estendono l’accesso attraverso la gerarchia, verso utenti che l’organigramma tiene separati. Due varianti:
- Basate sulla titolarità (ownership-based): condividono i record posseduti da un gruppo (ruolo, public group, territorio) con un altro gruppo.
- Basate su criteri (criteria-based): condividono i record che corrispondono a valori dei campi (es.
Region = EMEA) con un gruppo, un ruolo o un territorio.
Esempio. Le vendite EMEA e APAC sono rami separati della gerarchia, quindi nessuna delle due vede le trattative dell’altra. Una regola criteria-based — Region = EMEA → condividi in Read con il gruppo APAC Leadership — apre esattamente quell’accesso tra rami diversi senza toccare la gerarchia.
Quando usare l’una o l’altra
| Esigenza | Da usare |
|---|---|
| I manager vedono i record del proprio team | Gerarchia dei ruoli |
| L’accesso segue automaticamente le linee gerarchiche | Gerarchia dei ruoli |
| Due team di pari grado devono vedere i reciproci record | Sharing rule (ownership-based) |
| Condividere record che corrispondono a criteri sui campi (regione, tipo, fase) | Sharing rule (criteria-based) |
| Condividere con un public group o un territorio | Sharing rule |
| Accesso una tantum a un singolo record | Condivisione manuale (nessuna delle due) |
Si sommano, e qui sta l’insidia
Poiché l’accesso è additivo e vince il più permissivo, la gerarchia dei ruoli e le sharing rules si combinano. Un utente può ottenere l’accesso a un singolo record attraverso la gerarchia e attraverso due sharing rules contemporaneamente. Nessuna di queste prevale sulle altre; ne basta una qualsiasi.
È anche per questo che la condivisione troppo ampia si insinua di nascosto: ogni regola, presa da sola, sembra ragionevole, ma è l’unione tra gerarchia + regole + condivisioni manuali a determinare ciò che un utente vede davvero, e nessuno tiene in testa quel quadro completo.
Nessuna delle due restringe, per progettazione
Se hai bisogno di ridurre l’accesso, le sharing rules e la gerarchia dei ruoli non possono aiutarti. Restringi l’org-wide default, oppure usa le restriction rules. Aggiungere un’altra sharing rule potrà solo aprire ulteriore accesso.
Vedere l’effetto combinato
La parte difficile non è nessuno dei due meccanismi, ma la loro somma. Per sapere perché un utente vede un record devi valutare insieme la gerarchia e ogni sharing rule applicabile e le condivisioni manuali.
AgentForceAccess calcola quell’unione al posto tuo: chiedi perché un utente può vedere un record e ti dice se dipende dalla gerarchia dei ruoli, da una sharing rule specifica o da entrambe, in linguaggio chiaro e citando il meccanismo.
Domande frequenti
Qual è la differenza fondamentale in una frase?
La gerarchia dei ruoli apre l'accesso verso l'alto e in automatico lungo le linee gerarchiche, mentre le sharing rules lo aprono lateralmente e di proposito, verso utenti che una gerarchia non collegherebbe mai.
Se entrambe potessero concedere accesso allo stesso record, quale prevale?
Non ha importanza: l'accesso in Salesforce è additivo e vince sempre il più permissivo. Se la gerarchia dei ruoli oppure una sharing rule concede l'accesso, l'utente ce l'ha. Non serve mai che siano entrambe "d'accordo".
Una sharing rule può togliere accesso?
No. Le sharing rules e la gerarchia dei ruoli possono solo estendere l'accesso oltre l'org-wide default. Per ridurre l'accesso si modifica l'org-wide default, oppure si usano le restriction rules, non le sharing rules.
Servono comunque le sharing rules se la mia gerarchia dei ruoli è ben costruita?
Di solito sì. Una gerarchia esprime solo l'accesso verticale, da manager verso i collaboratori. Nel momento in cui due team di pari grado, o un ruolo in un altro ramo, devono vedere i reciproci record, solo una sharing rule può esprimerlo.
Provalo sulla tua org
AgentForceAccess spiega, in linguaggio chiaro, perché un utente può vedere un record o un file — attraverso ogni meccanismo di condivisione di Salesforce.
Richiedi accesso anticipato