"View All / Modify All" no Salesforce — o bypass a vigiar
View All e Modify All ignoram em silêncio o modelo de partilha do Salesforce. O que fazem, de onde vêm, quem verificar e porque importam para agentes de IA.
A maior parte do modelo de partilha do Salesforce trata de conceder acesso a registos de forma cuidadosa. View All e Modify All deitam isso tudo pela janela fora — permitem que um utilizador veja ou altere tudo, ignorando totalmente a partilha. São essenciais para os administradores e perigosas quando se espalham. Eis o que fazem e como mantê-las sob controlo.
O que fazem na prática
Estas permissões contornam o modelo de partilha — org-wide defaults, hierarquia de funções, regras de partilha, tudo:
- View All — ver todos os registos de um objeto.
- Modify All — ver, editar, eliminar e transferir todos os registos de um objeto.
Um utilizador com View All em Cases vê todos os casos da organização, mesmo com um org-wide default Private e sem nenhuma regra de partilha à vista. Para esse objeto, a partilha simplesmente não se aplica a ele.
Quando estas estão presentes, o resto do modelo de partilha é irrelevante — elas situam-se acima dele.
Dois âmbitos: objeto vs. sistema
| Permissão | Âmbito | Efeito |
|---|---|---|
| View All (objeto) | Um objeto | Ver todos os registos desse objeto |
| Modify All (objeto) | Um objeto | Controlo total de todos os registos desse objeto |
| View All Data | Toda a organização | Ver (quase) todos os registos, de todos os objetos |
| Modify All Data | Toda a organização | Controlo total de (quase) todos os registos, de todos os objetos |
As versões ao nível do objeto são delimitadas e, por vezes, legítimas. As versões ao nível do sistema, View All Data / Modify All Data, são a artilharia pesada — poderosas e as que mais convém vigiar de perto.
De onde vêm
- Perfil System Administrator — vem com View All Data e Modify All Data por predefinição.
- Perfis personalizados e permission sets — frequentemente concedidas para resolver algo pontual (“é só deixar o suporte ver todos os casos”) e depois esquecidas.
Como as permissões de um utilizador são a união do seu perfil e de todos os permission sets atribuídos, estas podem esconder-se em qualquer um de vários permission sets — e é isso que torna fácil perder-lhes o rasto. Estão intimamente ligadas aos perfis e permission sets.
Porque são a primeira coisa a verificar quando o acesso parece errado
Quando um utilizador consegue ver um registo que não devia, o botão Sharing pode não mostrar nada — porque o acesso não vem de forma alguma da partilha. View All / Modify All concedem acesso sem aparecer como uma partilha. Por isso, antes de vasculhar as regras de partilha, exclua estas hipóteses.
Porque importam a dobrar para os agentes de IA
Um agente de IA herda as permissões do seu utilizador de execução. Se essa identidade tiver View All Data, o agente pode ler todos os registos da organização quando lhe for pedido — contornando todas as regras de partilha que configurou. Confirmar que a identidade do agente não tem estas permissões é um passo central na auditoria de acessos antes da implementação.
Mantê-las sob controlo
- Inventarie todos os perfis e permission sets quanto ao View All/Modify All ao nível do objeto e ao View All Data/Modify All Data ao nível do sistema.
- Liste os utilizadores que têm cada uma, diretamente ou através de permission sets.
- Aplique o menor privilégio — substitua o View All generalizado por regras de partilha delimitadas sempre que o acesso não precise realmente de abranger toda a organização.
- Verifique novamente após alterações — um novo permission set pode reintroduzir um bypass em silêncio.
Expor o bypass automaticamente
A parte difícil é que estas permissões não aparecem onde se procura a partilha — são um interruptor à parte, em qualquer um de muitos permission sets, que sobrepõe-se silenciosamente a tudo o resto. O AgentForceAccess tem-nas em conta automaticamente: quando explica porque é que um utilizador (ou o utilizador de um agente) consegue ver um registo, “tem View All Data — a partilha não se aplica” é mostrado de forma tão clara como qualquer regra de partilha, para que o bypass deixe de ser aquilo que lhe escapa.
Perguntas frequentes
O que fazem exatamente o View All e o Modify All?
Concedem acesso a todos os registos de um objeto, ignorando o modelo de partilha. View All significa ver todos os registos; Modify All significa ver, editar, eliminar e transferir todos os registos. As versões ao nível do objeto aplicam-se a um objeto; as versões ao nível do sistema, "View All Data" e "Modify All Data", aplicam-se a (quase) todos os objetos de uma só vez.
Quem tem estas permissões por predefinição?
O perfil System Administrator inclui View All Data e Modify All Data. Além disso, aparecem em perfis personalizados e permission sets — muitas vezes adicionadas para resolver uma necessidade pontual de acesso e nunca removidas. Audite todos os perfis e permission sets, não apenas os administradores.
Porque são perigosas para os agentes de IA?
Um agente herda as permissões do seu utilizador de execução. Se esse utilizador tiver View All Data, o agente pode ler todos os registos da organização quando lhe for pedido, contornando toda a partilha que configurou cuidadosamente. Antes de implementar um agente, confirme que a sua identidade não tem estas permissões.
Como descubro quem tem View All / Modify All?
Verifique cada perfil e permission set quanto ao View All/Modify All ao nível do objeto e ao View All Data/Modify All Data ao nível do sistema e, depois, liste os respetivos utilizadores atribuídos. Manualmente é fastidioso, porque a permissão pode vir de qualquer um dos vários permission sets que um utilizador possui.
Veja na sua própria org
O AgentForceAccess explica, em linguagem clara, porque é que qualquer utilizador vê qualquer registo ou ficheiro — em todos os mecanismos de partilha do Salesforce.
Pedir acesso antecipado