AgentForceAccess
🇸🇪 Svenska
Begär förhandsåtkomst
PoståtkomstDelningsmodellSalesforce-administratör

Vem kan se en post i Salesforce? Så avgörs åtkomsten egentligen

En praktisk guide till hur Salesforce avgör vem som kan se en post — org-wide defaults, rollhierarki, delningsregler, manuella delningar, team och territorier.

AgentForceAccess 3 min läsning
Abstrakt stapel av lysande genomskinliga lager som representerar Salesforce delningsregler

Om du administrerar en Salesforce-org tillräckligt länge kommer någon förr eller senare att fråga: “Hur kan den här personen se den där posten?” Det ärliga svaret är att Salesforce aldrig avgör postsynlighet på ett enda ställe. Det lägger flera mekanismer ovanpå varandra och beviljar unionen av dem alla.

Den här guiden går igenom varje lager i den ordning Salesforce utvärderar det, så att du kan resonera kring vilken “vem kan se vad”-fråga som helst utifrån grunderna.

Den enda regel som förklarar allt

Delning i Salesforce är additiv och mest-tillåtande-vinner. Utgå från baslinjen som org-wide defaults sätter, och därefter kan alla andra mekanismer bara lägga till åtkomst ovanpå. Inget i standarddelningsmodellen tar bort åtkomst.

Så när du spårar varför en användare kan se en post letar du aldrig efter regeln som tillåter det och en regel som blockerar det. Du letar efter en enda beviljning — för en räcker.

Om ens en enda mekanism beviljar åtkomst så har användaren åtkomst. Punkt slut.

Lager 1 — Objektbehörigheter avgör om, inte vilka

Innan delning ens kommer på tal behöver användaren åtkomst på objektnivå via sin profil eller sina permission sets:

Om en användare inte har Read-behörighet på Opportunities kommer ingen delningsregel i världen att visa dem en opportunity. Objektbehörigheter är grinden; delningsmodellen är vad som händer efter att du passerat genom den.

Lager 2 — Org-wide defaults sätter golvet

Org-wide defaults (OWD) definierar den mest restriktiva baslinjen för varje objekt:

  • Private — bara postens ägare (och personer ovanför dem i rollhierarkin) kan se den.
  • Public Read Only — alla kan visa, bara ägaren kan redigera.
  • Public Read/Write — alla kan visa och redigera.

Allt som följer existerar för att vidga åtkomsten över detta golv för specifika personer.

Lager 3 — Rollhierarkin rullar åtkomst uppåt

Om Grant Access Using Hierarchies är aktiverat för objektet ärver alla ovanför postens ägare i rollhierarkin ägarens åtkomst. Det är därför en säljchef ser sina säljares affärer utan någon uttrycklig regel — och det är den enskilt vanligaste orsaken till oväntad åtkomst.

Lager 4 — Delningsregler öppnar åtkomst i sidled

Delningsregler utökar åtkomst tvärs över hierarkin, till kollegor och andra grenar:

  • Ägarbaserade — dela poster som ägs av en grupp användare med en annan grupp.
  • Kriteriebaserade — dela poster som matchar fältvärden (t.ex. Region = EMEA) med en grupp, roll eller territorium.

Båda beviljar åtkomst till en grupp användare på en gång, vilket gör en alltför bred kriteriebaserad regel till en vanlig boven när “för många” personer kan se något.

Lager 5 — Manuella och implicita delningar

  • Manuell delning — knappen Share på en post, som ger en specifik användare eller grupp åtkomst till just den posten.
  • Implicit delninginbyggt beteende, såsom att åtkomst till ett överordnat account innebär begränsad åtkomst till dess underordnade cases och contacts.
  • Apex managed sharing — programmatiska delningar skapade av anpassad kod, ofta de svåraste att upptäcka.

Lager 6 — Team och territorier

  • Account-, Opportunity- och Case-team ger de listade teammedlemmarna åtkomst till den posten.
  • Enterprise Territory Management ger åtkomst baserat på de territorier en användare och en post tillhör.

Sätt ihop det: så spårar du vilken åtkomst som helst

För att svara på “varför kan den här användaren se den här posten”, kontrollera varje lager tills du hittar en beviljning:

  1. Har användaren objektets Read (eller View All) via profil/permission set?
  2. Är OWD redan public för detta objekt?
  3. Är de ovanför ägaren i rollhierarkin?
  4. Inkluderar någon delningsregel dem?
  5. Finns det en manuell, implicit eller Apex-delning?
  6. Är de med i ett team, eller i ett matchande territorium?

Det första “ja” är ditt svar — och kom ihåg att det kan finnas mer än ett. För steg-för-steg-versionen av denna spårning, se en användare kan se en post de inte borde; samma modell styr vem som kan se en fil, eftersom filer ärver poståtkomst.

Det är precis det arbete som AgentForceAccess automatiserar: fråga på vanlig svenska varför en användare kan se en post, så spårar verktyget varje lager ovan och anger den exakta beviljning som tillåter det.

Vanliga frågor

Kringgår en System Administrator delningsmodellen?

Ja. Behörigheterna "View All Data" och "Modify All Data" — som ges till profilen System Administrator som standard — kringgår org-wide defaults, delningsregler och rollhierarki helt och hållet. "View All" / "Modify All" på objektnivå gör detsamma för ett enskilt objekt.

Om två delningsregler gäller samma post, vilken vinner?

Den mest tillåtande. Åtkomst i Salesforce är additiv: den beviljar unionen av alla tillämpliga regler. Åtkomst kan aldrig minskas genom att lägga till ytterligare en regel — bara vidgas.

Varför kan en chef se poster som de aldrig uttryckligen fått?

Rollhierarkin ger chefer åtkomst till poster som ägs av (eller delas med) användare under dem i hierarkin, så länge "Grant Access Using Hierarchies" är aktiverat för det objektet.

Gör objektbehörigheter och delningsinställningar samma sak?

Nej. Objektbehörigheter (på profiler och permission sets) avgör om en användare överhuvudtaget kan komma åt ett objekt och vad de kan göra med det. Delningsmodellen avgör vilka specifika poster av det objektet de kan se.

Se det i din egen organisation

AgentForceAccess förklarar, på vanlig svenska, varför vilken användare som helst kan se vilken post eller fil som helst — över varje delningsmekanism i Salesforce.

Begär förhandsåtkomst