"View All / Modify All" w Salesforce — obejście na oku
View All i Modify All po cichu omijają model udostępniania Salesforce. Co robią, skąd się biorą, kogo sprawdzić i czemu liczą się dla agentów AI.
Większość modelu udostępniania w Salesforce polega na starannym przyznawaniu dostępu do rekordów. View All i Modify All wyrzucają to przez okno — pozwalają użytkownikowi widzieć lub zmieniać wszystko, całkowicie ignorując udostępnianie. Są niezbędne dla administratorów i niebezpieczne, gdy się rozprzestrzeniają. Oto, co robią i jak trzymać je w ryzach.
Co tak naprawdę robią
Te uprawnienia omijają model udostępniania — org-wide defaults, hierarchię ról, reguły udostępniania, całość:
- View All — widzisz każdy rekord obiektu.
- Modify All — widzisz, edytujesz, usuwasz i przekazujesz każdy rekord obiektu.
Użytkownik z View All na obiekcie Cases widzi każdą sprawę w organizacji, nawet przy prywatnym org-wide default i bez żadnej reguły udostępniania w zasięgu wzroku. Udostępnianie po prostu go dla tego obiektu nie dotyczy.
Gdy te uprawnienia są obecne, reszta modelu udostępniania jest bez znaczenia — stoją one ponad nim.
Dwa zakresy: obiekt kontra cała organizacja
| Uprawnienie | Zakres | Efekt |
|---|---|---|
| View All (obiekt) | Jeden obiekt | Widzisz wszystkie rekordy tego obiektu |
| Modify All (obiekt) | Jeden obiekt | Pełna kontrola nad wszystkimi rekordami tego obiektu |
| View All Data | Cała organizacja | Widzisz (niemal) wszystkie rekordy, wszystkie obiekty |
| Modify All Data | Cała organizacja | Pełna kontrola nad (niemal) wszystkimi rekordami, wszystkimi obiektami |
Wersje na poziomie obiektu są ograniczone w zakresie i czasem uzasadnione. Ogólnosystemowe View All Data / Modify All Data to ciężka artyleria — potężne i te, których należy pilnować najściślej.
Skąd się biorą
- Profil System Administrator — domyślnie dostarczany z View All Data i Modify All Data.
- Niestandardowe profile i zestawy uprawnień — często przyznawane, by rozwiązać jednorazowy przypadek (“niech wsparcie po prostu zobaczy wszystkie sprawy”), a potem zapominane.
Ponieważ uprawnienia użytkownika to suma jego profilu i każdego przypisanego zestawu uprawnień, mogą one ukrywać się w dowolnym spośród kilku zestawów uprawnień — i właśnie to sprawia, że łatwo je przeoczyć. Są ściśle powiązane z profilami i zestawami uprawnień.
Dlaczego to pierwsza rzecz do sprawdzenia, gdy dostęp wygląda nieprawidłowo
Gdy użytkownik widzi rekord, którego nie powinien, przycisk Sharing może nie pokazywać niczego — bo dostęp wcale nie pochodzi z udostępniania. View All / Modify All dają dostęp bez pojawiania się jako udostępnienie. Dlatego zanim zaczniesz grzebać w regułach udostępniania, najpierw wyklucz te uprawnienia.
Dlaczego liczą się podwójnie dla agentów AI
Agent AI dziedziczy uprawnienia użytkownika, w kontekście którego działa. Jeśli ta tożsamość niesie View All Data, agent może na żądanie odczytać każdy rekord w organizacji — omijając każdą skonfigurowaną przez Ciebie regułę udostępniania. Potwierdzenie, że tożsamość agenta jest wolna od tych uprawnień, to kluczowy krok w audycie dostępu przed wdrożeniem.
Trzymanie ich pod kontrolą
- Zinwentaryzuj każdy profil i zestaw uprawnień pod kątem View All/Modify All na poziomie obiektu oraz ogólnosystemowych View All Data/Modify All Data.
- Wypisz użytkowników, którzy mają każde z nich, bezpośrednio lub przez zestawy uprawnień.
- Stosuj zasadę najmniejszych uprawnień — zastępuj hurtowe View All zawężonymi regułami udostępniania wszędzie tam, gdzie dostęp naprawdę nie musi obejmować całej organizacji.
- Sprawdzaj ponownie po zmianach — nowy zestaw uprawnień może po cichu ponownie wprowadzić obejście.
Automatyczne ujawnianie obejścia
Trudność polega na tym, że te uprawnienia nie pojawiają się tam, gdzie szukasz udostępniania — to osobny przełącznik, w dowolnym z wielu zestawów uprawnień, który po cichu nadpisuje całą resztę. AgentForceAccess uwzględnia je automatycznie: gdy wyjaśnia, dlaczego użytkownik (lub użytkownik agenta) widzi rekord, informacja “ma View All Data — udostępnianie go nie dotyczy” jest pokazywana równie wyraźnie jak każda reguła udostępniania, więc obejście przestaje być tym, co przeoczysz.
Najczęściej zadawane pytania
Co dokładnie robią View All i Modify All?
Dają dostęp do każdego rekordu obiektu, ignorując model udostępniania. View All oznacza widzenie każdego rekordu; Modify All oznacza widzenie, edycję, usuwanie i przekazywanie każdego rekordu. Wersje na poziomie obiektu dotyczą jednego obiektu; ogólnosystemowe "View All Data" i "Modify All Data" obejmują (niemal) wszystkie obiekty naraz.
Kto ma te uprawnienia domyślnie?
Profil System Administrator zawiera View All Data i Modify All Data. Poza tym pojawiają się w niestandardowych profilach i zestawach uprawnień — często dodawane, by rozwiązać jednorazową potrzebę dostępu, i nigdy nieusuwane. Audytuj każdy profil i zestaw uprawnień, nie tylko administratorów.
Dlaczego są niebezpieczne dla agentów AI?
Agent dziedziczy uprawnienia użytkownika, w kontekście którego działa. Jeśli ten użytkownik ma View All Data, agent może na żądanie odczytać każdy rekord w organizacji, omijając całe udostępnianie, które starannie skonfigurowałeś. Przed wdrożeniem agenta upewnij się, że jego tożsamość nie niesie tych uprawnień.
Jak znaleźć, kto ma View All / Modify All?
Sprawdź każdy profil i zestaw uprawnień pod kątem View All/Modify All na poziomie obiektu oraz ogólnosystemowych View All Data/Modify All Data, a następnie wypisz przypisanych do nich użytkowników. Ręcznie jest to żmudne, bo uprawnienie może pochodzić z dowolnego spośród kilku zestawów uprawnień, które ma użytkownik.
Zobacz to na swojej organizacji
AgentForceAccess wyjaśnia prostym językiem, dlaczego dowolny użytkownik widzi dowolny rekord lub plik — w każdym mechanizmie współdzielenia Salesforce.
Poproś o wczesny dostęp