[Eduction] Salesforce Security

 

-- INDEX --

 

 

1. Salesforce의 보안	2. 레코드 수준의 액세스 정의	3. 프로필(개체 수준) & 필드 수준의 액세스 정의	4. 각 공유설정별 고려사항	5. 권한 설정 별 시나리오
데이터와  응용 프로그램을  보호하기 위함	OWD Role Sharing Rule Manual Sharing	Profile 필드 수준 액세스	OWD Role Sharing Rule Manual Sharing	owd와  프로필 권한 설정 시나리오

 

 

 

---

 

 

 

1. Salesforce의 보안

 

1-1 : 데이터와 응용 프로그램을 보호하기 위함

• 데이터 ( 고객의 민감 정보, 개인정보 ) 
• 응용프로그램 ( app exchange에서 설치한 어플, Salesforce 자체 어플 같은 애들 )

 

---

 

1-2 : 사용자마다 인증을 통한 로그인이 가능 (MFA)

• 세일즈포스에는 시큐리티가 존재한다 
• 세일즈포스 어센티케이션 (authentication(입증)) 로그인 인증 방식(MFA) 이루어진다.
• 23년 2월 14일 부로 강제 활성화 됨( 네이버 로그인과 같은 방식으로 디바이스를 통한 인증 방식 )
• 인터넷 접속을 통한 이메일도 해킹가능 - 디바이스는 잃어버리지 않으면 안전하다. 

 

 

 

---

 

 

 

2. 레코드 수준의 액세스 정의 

 

2-1 : OWD (Organization Wide Default ) - ( Setup | 공유 설정 )

• org에 들어오는 개체/필드 안에 레코드가 있다. 이 레코드 안에 있는 액세스 수준을 정의하는 것이다.
•  '소유자 (Owner)'를 기반으로 레코드에 액세스를 정의한다.
• 조직(Organization) 전체의 개체 레코드 엑세스 수준을 정의
• 내/외부 및 게스트 사용자에 대해 서로 상이한 엑세스 수준을 설정 가능
  • 내부 ( 기업직원 ) - 외부 ( 파트너사 ) - 게스트 사용자 ( 그 외 상관없는 곳 )
• 설정으로는 Private, Read Only, Public Read/Edit 기본 수준을 정할 수 있음
  • Private - 소유자로서 지정된 사람만 레코드를 볼 수 있다.
  • Read Only - 소유자 + @ 볼 수 있다. ( 대신 @는 읽기만 가능) --> 소유자의 상위 계층은 읽기/수정 가능
  • Public Read/Edit - sales force의 모든 user가 읽고 수정하고 가능 ---> 최종 수정자를 자동으로 찍어 준다.
• +@  공유 설정에서 계정이 private이라면 - 주문/연락처/Asset 은 상위에 제어됨으로 결정됨 ( 스키마 빌더 구조 생각 )

 

---

 

2-2 : Role ( 역할 ) - ( Setup | Role )

• '계층 구조'를 통한 액세스 수준을 설정
• Role(역할)을 통해서는 수직적인 관계에 대한 엑세스 수준을 정의
• 계층 구조에서 상위 사용자는 하위 사용자의 모든 데이터 액세스가 가능 ( 불가능하세 설정도 가능 )
• OWD의 Private 또는 Read Only 설정일 경우 Role 통해 확장 가능
• +@ 역할을 지정해 놓음으로써 편한 것은 - 내부 하위 역할 공유와 같은 핸들링 가능하다. 
  
  1. 역할 공유 선택 시 - 해당 역할 대상자에게만 공유됨
  2. 역할 및 내부하위역할 공유 선택 시 - 해당 역할 대상자와 그 역할의 하위에도 다 같이 공유됨. ( 내부 하위 역할 없으면 해당 역할 대상에게만 공유됨 )
  3. 역할이 지정되어있지 않는 회사도 공개그룹으로도 공유가능하다 ( 팀원과 역할 달라고 다 가능 )

 

---

 

2-3 : Sharing Rule (공유 규칙) - ( Setup | 공유 설정 )

• 수평적인 관계에 대한 액세스 수준을 추가로 제공
• 소유자 기반 or 필드 값 기반 설정이 가능
  • 소유자 기반 ( 소유자가 가지고 있는 모든 레코드 공유 )
  • 필드 값 기반 ( 소유자가 가지고 있는 레코드 중 공유할 것 선택 가능 ) 
• +@ 영업 1팀 사원과 영업 2팀 사원이 협업해야 하는 상황에서 수직적인 role로 해결 불가능하고 owd의 모두 읽기/수정으로 해놓으면 둘 뿐만이 아니라 모든 Salesforce 사용자가 읽고/수정 가능하다. 즉, 수평적 관계에서 액세스 수준의 설정이 필요한 경우에 사용

 

---

 

2-4 : Manual Sharing (수동공유)

• 수평적인 관계에 대한 엑세스 수준을 추가로 제공
• 기간, 조건이 동반하는 공유 규칙
• 수동공유를 통해서는 특정 레코드에 액세스가 가능
• 레코드의 소유자만 수동공유가 가능
• 앞의 다른 규칙들을 통해서 공유하는 것을 권장한다.
  • 기업의 정책/규칙을 지켜야 한다.
  • 정말 불가피한 상황에서 메뉴얼 쉐어링 사용한다고 생각하면 된다.

 

 

 

---

 

 

 

3. 프로필(개체 수준) & 필드 수준의 액세스 정의

 

 

3-1 : Profile ( Setup - Profile )

• Salesforce 사용자가 개체 및 데이터에 액세스 방법 설정
• Salesforce 사용자가 응용 프로그램 내에서 수행할 수 있는 작업 정의
• Create  Edit  Delete  Read | Read All  modify All
• 프로필을 이용하여 설정할 수 있는 것들은 무수히 많다
• 여기서 개체수준보안 / 필드수준 보안 설정 가능하다.

 

---

 

3-2 :  필드 수준의 액세스 정의

• 사용자에게 특정 필드를 보거나 편집할 수 있는 액세스를 제한
• 읽기 전용과 같이 필드 값을 볼 수 있거나 해당 필드가 보이지 않도록 설정 가능
• ex) 계정 필드 안에 Name, Phone, Addr 같은 필드에 대해 액세스를 설정할 수 있다.

 

 

 

---

 

 

 

4. 각 공유설정별 고려사항

 

4-1 : OWD

• 가장 제한 적인 범위의 수준으로 액세스
• 소유자를 기반으로 조직 전체의 얼만큼 공유할 것인지 고려 

---

4-2 : Role

• 조직도의 유무
• 조직도의 구성 파악
• 수직적 구조에 적절한지

---

4-3 : Sharing Rule

• Role로 해결할 수 있는지 여부
• 관련자만 공유해야하는 지 or 관련자 하위 역할자들에게도 공유해야 하는 지

---

4-4 : Manual Sharing

• 앞의 다른 규칙들로 해결할 수 있는지 여부
• 특정 기간과 조건이 명확하고, 대상자가 명확한지

---

4-5 : Profile

• 개체 수준에서의 액세스 방법 고려
• 응용 프로그램 내에서 수행할 수 있는 작업의 범위 고려

 

 

 

---

 

 

 

5. 권한 설정 별 시나리오

 

owd권한 프로필 권한\	비공개	공용 읽기/쓰기	활성화 칸 체크
읽기	내 기회만 읽기 가능 다른 사람의 기회는 안보임 내 기회 읽기만 가능	모든 기회 읽기 가능 모든 기회 읽기만 가능 만들기 불가능	읽기
만들기	내 기회만 읽기가능 기회 생성 가능 다른 사람의 기회는 안보임 내 기회 읽기/만들기 가능	기회 생성 가능 모든 기회 읽기 가능 모든 기회 읽기/만들기 가능	읽기, 만들기
편집	내 기회만 읽기 가능 내 기회만 수정 가능 다른 사람의 기회는 안보임 내 기회 읽기/수정 가능	모든 기회 읽기 가능 모든 기회 수정 가능 만들기 불가능	읽기, 편집
삭제	내 기회만 읽기 가능 내 기회만 수정 가능 내 기회만 삭제 가능 만들기는 불가능	모든 기회 읽기 가능 모든 기회 수정 가능 모든 기회 삭제 가능 만들기 불가능	읽기, 편집, 삭제
모두 보기	모든 기회 읽기 가능 읽기만 가능	모든 기회 읽기 가능 읽기만 가능	읽기, 모두 보기
모두 수정	모든 기회 읽기 가능 모든 기회 수정 가능 모든 기회 삭제 가능 생성은 불가능	모든 기회 읽기 가능 모든 기회 수정 가능 모든 기회 삭제 가능 생성은 불가능	읽기, 편집, 삭제 모두 보기, 모두 수정
권한 제외	기회 개체 안보임	기회 개체 안보임	-