Restriction rules vs scoping rules vs sharing rules
Sharing rules otwierają dostęp, restriction rules go zawężają, a scoping rules ustawiają domyślny widok. Czym się różnią i kiedy używać każdej z nich.
Większość modelu udostępniania w Salesforce potrafi jedynie otwierać dostęp. Restriction rules i scoping rules to nowsze narzędzia, które to zmieniają — ale robią bardzo różne rzeczy i łatwo je pomylić. Oto jak mają się do siebie wszystkie trzy.
Mapa w jednym zdaniu
- Sharing rules — otwierają dostęp. Udostępniają rekordy użytkownikom, którzy w innym przypadku by ich nie zobaczyli.
- Restriction rules — zawężają dostęp. Odfiltrowują rekordy, które użytkownik mógłby w innym przypadku zobaczyć.
- Scoping rules — ukierunkowują widok. Zmieniają to, które rekordy są pokazywane domyślnie, bez zmiany dostępu.
Dwa z tych narzędzi wpływają na bezpieczeństwo, jedno nie. To rozróżnienie trzeba mieć jasno w głowie.
Sharing rules: otwierają dostęp
Sharing rules działają na wierzchu domyślnych ustawień organizacji i przyznają dodatkowy dostęp na podstawie własności lub kryteriów. Mogą tylko poszerzać dostęp — nigdy go nie zawężają. Jeśli potrzebujesz przypomnienia, jak wypadają w porównaniu z hierarchią, zobacz sharing rules a hierarchia ról.
To addytywne zachowanie typu „wygrywa najbardziej liberalny dostęp”, leżące u podstaw modelu dostępu do rekordów.
Restriction rules: zawężają dostęp
Restriction rules są wyjątkiem od zasady „udostępnianie w Salesforce tylko otwiera dostęp”. Restriction rule definiuje, które rekordy użytkownik ma prawo zobaczyć, i jest stosowana na wierzchu wszystkiego, co przyznał model udostępniania — w praktyce filtrując wynik.
Jeśli domyślne ustawienia organizacji, hierarchia ról i sharing rules razem pokazałyby użytkownikowi 10 000 rekordów, restriction rule może zawęzić to do podzbioru, który spełnia jej kryteria.
Przykład. Agenci wsparcia mają szeroki dostęp do obiektu Case dzięki sharing rule, ale kontraktorzy wśród nich powinni widzieć tylko sprawy niepoufne. Restriction rule na obiekcie Case — Confidential = false dla zbioru uprawnień kontraktorów — usuwa poufne sprawy z tego, co mogą zobaczyć, mimo że udostępnianie technicznie im je przyznało.
To narzędzie, po które warto sięgnąć, gdy pytaniem jest „jak odebrać dostęp”.
Scoping rules: skupienie, nie bezpieczeństwo
Scoping rules kontrolują, które rekordy pojawiają się domyślnie w widokach list, wyszukiwaniach i raportach — na podstawie warunków takich jak właściciel, rola czy region. Co kluczowe:
Scoping rules nie ograniczają dostępu. Użytkownik może przełączyć zakres na „wszystkie rekordy, do których mam dostęp” i zobaczyć wszystko, co przyznaje mu udostępnianie.
To funkcja produktywności: pokaż zapracowanemu handlowcowi najpierw jego własny region, nie wymuszając tego. Jeśli użytkownik musi być powstrzymany przed zobaczeniem rekordów, scoping rules to złe narzędzie — użyj restriction rules.
Zestawienie
| Sharing rules | Restriction rules | Scoping rules | |
|---|---|---|---|
| Wpływ na dostęp | Otwierają | Zawężają | Brak |
| Kontrola bezpieczeństwa? | Tak | Tak | Nie (tylko skupienie) |
| Czy użytkownik może nadpisać? | Nie | Nie | Tak (przełączenie zakresu) |
| Kierunek | Dodaje dostęp | Odbiera dostęp | Filtruje widok domyślny |
| Typowy limit | Wiele | ~2 aktywne/obiekt | ~2 aktywne/obiekt |
Łączenie ich razem
Realistyczny obiekt może wykorzystywać wszystkie trzy: Private jako OWD, sharing rules, by dać zespołom potrzebny dostęp, restriction rule, by wyłączyć wrażliwy podzbiór dla kontraktorów, oraz scoping rule, by każdy użytkownik domyślnie trafiał na swój region. Każde robi jedną rzecz; razem kształtują zarówno to, co użytkownicy mogą zobaczyć, jak i to, co widzą najpierw.
Haczyk: efektywny dostęp to suma
Nakładanie na siebie narzędzi otwierających, zawężających i ukierunkowujących sprawia, że pytanie „co ten użytkownik faktycznie może zobaczyć?” staje się naprawdę trudne do rozstrzygnięcia na oko — udostępnienia minus filtry restriction rules, z pominięciem scopingu. To dokładnie ta kalkulacja, którą AgentForceAccess wykonuje za Ciebie: zapytaj, do czego użytkownik naprawdę ma dostęp, a narzędzie uwzględni zarówno udostępnianie, które go przyznaje, jak i restriction rules, które go ograniczają — w prostym języku.
Najczęściej zadawane pytania
Jaka jest różnica w jednym zdaniu?
Sharing rules przyznają dostęp, którego użytkownik nie miał, restriction rules odbierają dostęp, który użytkownik miał, a scoping rules jedynie wstępnie filtrują widoki list i wyszukiwania, w ogóle nie wpływając na dostęp.
Czy restriction rule może nadpisać sharing rule albo hierarchię ról?
Tak. Restriction rules działają na wierzchu modelu udostępniania i filtrują rekordy, które użytkownik może zobaczyć — nawet te, które domyślne ustawienia organizacji, hierarchia ról lub sharing rules w innym przypadku by ujawniły. To właśnie one pozwalają realnie ograniczyć dostęp w Salesforce.
Czy scoping rules ukrywają rekordy w celach bezpieczeństwa?
Nie. Scoping rules zmieniają jedynie domyślny zestaw rekordów pokazywanych w widokach list, wyszukiwaniach i raportach. Użytkownik może przełączyć zakres na „wszystkie rekordy, do których mam dostęp”, więc chodzi o skupienie i produktywność, a nie bezpieczeństwo. Gdy dostęp musi być faktycznie ograniczony, użyj restriction rules.
Czy te reguły mają limity?
Tak. Restriction rules i scoping rules są zwykle ograniczone do maksymalnie 2 aktywnych reguł na obiekt i dostępne dla obiektów niestandardowych oraz wybranych obiektów standardowych, takich jak Account, Case, Contact, Event, Lead, Opportunity i Task. Sprawdź aktualne limity dla swojej edycji.
Zobacz to na swojej organizacji
AgentForceAccess wyjaśnia prostym językiem, dlaczego dowolny użytkownik widzi dowolny rekord lub plik — w każdym mechanizmie współdzielenia Salesforce.
Poproś o wczesny dostęp