Pliki a użytkownicy gościnni / Experience Cloud: ryzyko wycieku
Jak pliki stają się widoczne dla użytkowników gościnnych i Experience Cloud w Salesforce — pole Visibility i błędy konfiguracji prowadzące do wycieku danych.
Dostęp do plików jest trudny już w obrębie organizacji. Dodaj użytkowników Experience Cloud (społeczności) i gościnnych, a problem zaostrza się w obu kierunkach: pliki, które chcesz pokazać użytkownikom zewnętrznym, czasem się nie pojawiają, a pliki, których nie chcesz ujawniać, czasem wyciekają na zewnątrz. Oba przypadki sprowadzają się do tego samego niewielkiego zestawu ustawień. Oto jak skonfigurować je poprawnie.
Użytkownicy zewnętrzni korzystają z tego samego modelu — z jedną dodatkową bramką
Użytkownicy społeczności i gościnni widzą pliki przez ten sam model ContentDocumentLink co wszyscy inni. Istnieje jednak dodatkowa bramka, na którą użytkownicy wewnętrzni rzadko trafiają: pole Visibility łącza.
| Visibility | Kogo obejmuje |
|---|---|
AllUsers | Użytkowników wewnętrznych i zewnętrznych/społeczności |
InternalUsers | Tylko użytkowników wewnętrznych |
SharedUsers | Tylko użytkowników, którym jawnie udostępniono |
Aby użytkownik Experience Cloud zobaczył plik dołączony do rekordu, muszą być spełnione jednocześnie dwa warunki: ma on dostęp do rekordu oraz pole Visibility łącza pliku obejmuje użytkowników zewnętrznych (zwykle
AllUsers).
Właśnie dlatego „użytkownik społeczności widzi rekord, ale nie jego plik” to tak częste zgłoszenie — dostęp do rekordu jest poprawny, ale Visibility ma wartość InternalUsers.
Tryb awarii 1: pliki, które powinny być widoczne, nie są
Wersja niegroźna. Użytkownik społeczności może otworzyć sprawę, ale brakuje jej załączników. Rozwiązaniem jest niemal zawsze pole Visibility na łączu ContentDocumentLink pliku oraz zadbanie, by pliki przesyłane w społeczności dziedziczyły właściwą widoczność. Sprawdź łącze, a nie udostępnianie rekordu.
Tryb awarii 2: pliki, które nie powinny być widoczne, są
Wersja niebezpieczna — i powód, dla którego ten temat ma znaczenie dla bezpieczeństwa.
Użytkownicy gościnni są nieuwierzytelnieni. To anonimowi odwiedzający Twoją publiczną witrynę. Dlatego wszystko, co ujawni konfiguracja użytkownika gościnnego, jest faktycznie dostępne dla całego internetu:
- Publiczny link (z założenia bez logowania) do wrażliwego pliku.
- Pliki dołączone do rekordów, do których dociera profil użytkownika gościnnego, z widocznością
AllUsers. - Zbyt szerokie sharing sets / sharing rules przyznające odbiorcom gościnnym lub zewnętrznym więcej rekordów, niż zamierzono — a co za tym idzie więcej plików.
Zbyt liberalny dostęp gościnny należy do najczęściej zgłaszanych problemów z wyciekiem danych w Salesforce. Pliki „jadą na barana” wraz z dowolnymi rekordami, które przypadkowo ujawniłeś.
Dwie bramki do audytu — razem
Ponieważ zewnętrzny dostęp do plików zależy od dostępu do rekordu ORAZ Visibility pliku, oba trzeba sprawdzać jako parę:
- Do których rekordów docierają użytkownicy gościnni i zewnętrzni? (Model udostępniania społeczności, sharing sets, sharing rules.)
- Jakie jest Visibility plików dołączonych do tych rekordów?
- Czy są jakieś publiczne linki do wrażliwych plików?
Zamierzony stan docelowy: dokładnie te pliki, które chciałeś opublikować, są osiągalne dla odbiorców zewnętrznych — i nic poza nimi. Dotarcie do tego stanu to to samo podstawowe pytanie co w przypadku reszty modelu dostępu do rekordów, tyle że dla najbardziej ryzykownych z możliwych odbiorców.
Wiedza o tym, do czego naprawdę dociera publiczność
To połączenie — zewnętrzny dostęp do rekordów razy Visibility pliku plus wszelkie publiczne linki — właśnie sprawia, że ekspozycję użytkowników gościnnych łatwo źle ocenić i trudno zweryfikować ręcznie. AgentForceAccess ocenia ją tak samo jak dostęp wewnętrzny: pyta, co może zobaczyć użytkownik gościnny lub społeczności, i śledzi rekordy, do których docierają, oraz pliki, które te rekordy ujawniają, dzięki czemu „czy coś wycieka do publicznego internetu” staje się pytaniem, na które naprawdę da się odpowiedzieć.
Najczęściej zadawane pytania
Dlaczego mój użytkownik społeczności nie widzi pliku na rekordzie, do którego ma dostęp?
Najczęściej pole Visibility łącza ContentDocumentLink jest ustawione na InternalUsers, co wyklucza użytkowników zewnętrznych nawet wtedy, gdy dostęp do rekordu jest poprawny. Aby udostępnić plik użytkownikom społeczności, zwykle potrzebne jest Visibility = AllUsers. Sam dostęp do rekordu nie wystarczy, jeśli Visibility wyklucza danego odbiorcę.
Na czym polega ryzyko związane z użytkownikami gościnnymi i plikami?
Użytkownicy gościnni to nieuwierzytelnieni odwiedzający. Każdy plik ujawniony przez ich konfigurację udostępniania lub przez publiczny link jest faktycznie dostępny w publicznym internecie. Zbyt szeroki dostęp gościnny — lub zapomniany publiczny link — to jedno z najczęstszych wykryć wycieku danych w Salesforce.
Jak widoczność pliku ma się do udostępniania rekordów w społeczności?
To dwie oddzielne bramki. Użytkownik potrzebuje dostępu do rekordu (poprzez model udostępniania społeczności, sharing sets lub sharing rules) ORAZ pole Visibility łącza pliku musi obejmować użytkowników zewnętrznych. Oba warunki muszą się pokrywać — dlatego dostęp do plików w społeczności to częsty temat wsparcia i bezpieczeństwa.
Co powinienem sprawdzić przed udostępnieniem plików w społeczności?
Potwierdź, do których rekordów docierają użytkownicy gościnni i zewnętrzni, a następnie potwierdź pole Visibility na plikach dołączonych do tych rekordów. Zaudytuj wszelkie publiczne linki. Celem jest to, aby dokładnie zamierzone pliki — i żadne inne — były osiągalne dla odbiorców zewnętrznych.
Zobacz to na swojej organizacji
AgentForceAccess wyjaśnia prostym językiem, dlaczego dowolny użytkownik widzi dowolny rekord lub plik — w każdym mechanizmie współdzielenia Salesforce.
Poproś o wczesny dostęp