Zum Hauptinhalt springen

Berechtigungen & Zugriffskontrolle

Die Verwaltung von Berechtigungen und Zugriffskontrolle in flair stellt sicher, dass Benutzer die entsprechende Zugriffsebene auf Funktionen und Daten haben. Dieser Leitfaden behandelt Permission Sets, Permission Set Groups, Visibility Scopes und die Fehlerbehebung bei Zugriffsproblemen.

Übersicht über Permission Sets

Wir bieten eine Reihe von vorgefertigten Permission Sets für die flair HR- und Recruiting-Apps in Salesforce an. Diese beziehen sich auf verschiedene Rollen innerhalb Ihrer HR- und Recruiting-Teams.

Jedes Permission Set gewährt die Berechtigung, bestimmte Objekte in Salesforce anzuzeigen (View) oder zu ändern (Modify).

Die vollständige Liste der Permission Sets und aller enthaltenen Objekte finden Sie auf dieser Seite.

Permission Set Groups

In Salesforce können Sie mehrere Permission Sets kombinieren, um eine Permission Set Group zu erstellen. Dieser Ansatz kann Ihnen Zeit beim Zuweisen und Verwalten von Berechtigungen sparen.

Warum wir zu Permission Set Groups wechseln

Bei flair wechseln wir zu Permission Set Groups als unsere primäre Methode zur Verwaltung von Benutzerberechtigungen. Dieser Ansatz bietet mehrere Vorteile gegenüber einzelnen Permission Sets.

Vorteile von Permission Set Groups

  1. Vereinfachte Verwaltung: Anstatt einem Benutzer mehrere einzelne Permission Sets zuzuweisen, können Sie die gesamte Gruppe zuweisen, was den Prozess der Berechtigungsverwaltung erheblich vereinfacht.

  2. Modularer Ansatz: Mit Permission Set Groups können wir ein (oder mehrere) Permission Sets erstellen, die sich auf eine Funktion beziehen, und sie zu Permission Set Groups hinzufügen (für Personas, die diese Funktion nutzen werden). Dieser modulare Ansatz ist viel besser als das Aktualisieren einiger riesiger Permission Sets und verbessert die Wartbarkeit und Skalierbarkeit.

  3. Größere Flexibilität: Richtig gestaltete Permission Set Groups bieten größere Flexibilität. Sie können beispielsweise ein Basis-Permission Set haben, das Berechtigungen enthält, die jeder Benutzer haben sollte. Wenn Sie später eine andere gemeinsame Berechtigung hinzufügen müssen, aktualisieren Sie nur dieses eine Permission Set (da es in allen relevanten Permission Set Groups enthalten ist).

Unser Ansatz

Wir empfehlen den Ansatz, bei dem für jede Persona (typische Gruppe von Benutzern) eine Permission Set Group entworfen wird. Natürlich ist es möglich, Benutzern mehr PSGs zuzuweisen, was für kleinere Kunden nützlich sein kann, die nur wenige HR-Mitarbeiter haben.

Der Übergangsprozess

Der Übergang von Permission Sets zu Permission Set Groups ist so konzipiert, dass er zu 100% abwärtskompatibel ist – bestehende Permission Sets werden nicht geändert. Sie sollten PSGs Benutzern zuweisen, und neue Funktionen werden nur zu neuen Permission Sets (und PSGs) hinzugefügt. Bestehende Permission Sets werden nicht aktualisiert.

Einschränkungen

  • ⚠️ Um ein Paket mit Permission Set Groups zu installieren oder zu deinstallieren, muss ein Abonnent Permission Set Groups aktiviert haben.
  • ✅ Permission Set Groups, die aus Managed Packages installiert wurden, zählen nicht zur maximalen Anzahl der erstellten Gruppen. Das Limit für die Anzahl der erstellten und installierten Permission Set Groups variiert je nach Edition.
  • ⚠️ Bestimmte Salesforce-Editionen erlauben es Ihnen nicht, Permission Set Groups zu erstellen oder anzupassen. In diesen Fällen können Permission Set Groups aus Managed Packages installiert und verwendet werden.
  • ✅ Eine aus einem Managed Package installierte Permission Set Group hat den Namespace des Pakets, um Namenskollisionen mit einer lokalen Gruppe gleichen Namens zu vermeiden.
  • ✅ Um eine Permission Set Group aus einem installierten Managed Package zu löschen, deinstallieren Sie zuerst das Paket.
  • ✅ Sie können lokale Permission Sets in Permission Set Groups hinzufügen und löschen, die aus einem Managed Package installiert wurden.

Wann sollte man eine Permission Set Group verwenden?

Während flair eine breite Palette an vorgefertigten Permission Sets anbietet, benötigen einige Benutzer und Rollen möglicherweise Zugriff auf mehrere Permission Sets. In diesem Fall ist der beste Ansatz, eine Permission Set Group zu erstellen. Benutzer erhalten dann alle Berechtigungen aus den in der Gruppe enthaltenen Permission Sets.

Wenn Ihre HR-Manager beispielsweise auch die Lohnabrechnung (Payroll) bearbeiten, könnten Sie ein Permission Set erstellen, das Flair Manager und Flair Payroll Manager kombiniert.

Der Vorteil dieses Ansatzes ist, dass alle Aktualisierungen, die wir an den Permission Sets in einer Gruppe vornehmen, automatisch angewendet werden.

⚠️ Wir raten davon ab, ein bestehendes Permission Set zu duplizieren und zu ändern. Dies kann dazu führen, dass Ihr neu erstelltes Permission Set veraltet, da wir Updates auf unsere Permission Sets anwenden.

Weitere Informationen zu Permission Set Groups finden Sie in der Salesforce-Hilfe oder im Video unten.

Erstellen einer Permission Set Group in flair

Um eine Permission Set Group zu erstellen, klicken Sie auf das Zahnradsymbol ⚙, um zum Salesforce Setup zu gelangen.

  1. Geben Sie permission set groups in die Schnellsuche-Leiste (Quick Find) links ein. Klicken Sie dann auf New Permission Set Group.

  1. Geben Sie Ihrer Permission Set Group ein Label und schreiben Sie eine Beschreibung. Klicken Sie dann auf Save.

  1. Klicken Sie in Ihrer neuen Permission Set Group auf Permission Sets in Group. Klicken Sie dann auf Add Permission Set.

  1. Markieren Sie die Permission Sets, die Sie in Ihre Gruppe aufnehmen möchten, und klicken Sie dann auf Add.

  1. Sie sehen nun einen Bildschirm mit einer Übersicht der Permission Sets in Ihrer neuen Gruppe. Um diese Permission Set Group einem Benutzer zuzuweisen, gehen Sie zurück zur Seite Permission Set Groups, wählen Sie Ihre neue Gruppe aus und klicken Sie auf Manage Assignments.

  1. Klicken Sie auf Add Assignment und wählen Sie den Benutzer aus, dem Sie das Permission Set zuweisen möchten. Klicken Sie dann auf Next. Wählen Sie, ob die Zuweisung ein Ablaufdatum haben soll, und klicken Sie dann auf Assign.

Einschränken von Berechtigungen in einer Permission Set Group

Permission Set Groups ermöglichen es Ihnen nicht nur, einem Benutzer zusätzliche Berechtigungen zuzuweisen, sondern auch einige Berechtigungen innerhalb eines bestehenden Permission Sets zu deaktivieren. Wenn Sie beispielsweise möchten, dass Ihre HR-Manager Lohnabrechnungsdetails sehen, aber nicht löschen können. Dazu können Sie ein Muting Permission Set erstellen und es einer Permission Set Group hinzufügen, um bestimmte Berechtigungen einzuschränken.

Wenn Sie eine Berechtigung in einer Permission Set Group stummschalten (muten), gilt dies nur für diese spezifische Gruppe. Es wirkt sich nicht auf Berechtigungen in den einzelnen Sets aus.

  1. Öffnen Sie Ihr Permission Set und klicken Sie auf Muting Permission Sets in Group.

  1. Klicken Sie auf New, um ein neues Muting Permission Set zu erstellen. Geben Sie ihm ein Label und klicken Sie auf Save.

  1. Öffnen Sie Ihr neues Muting Permission Set und klicken Sie auf Object Settings.

  1. Wählen Sie das Objekt aus, für das Sie Berechtigungen einschränken möchten, aus der linken Spalte.

  1. Sie sehen nun eine Übersicht über Tab Settings, Object Permissions und Field Permissions. In unserem Beispiel sehen Sie, dass der Flair Payroll Manager volle Berechtigungen für das Objekt Payroll Runs gewährt, einschließlich der Berechtigung Delete. Um diese Berechtigung stummzuschalten, klicken Sie auf Edit.

  1. Aktivieren Sie das Kästchen Muted neben den Objekt- oder Feldberechtigungen, die Sie einschränken möchten, und klicken Sie dann auf Save.

Nachdem Sie diesen Schritten gefolgt sind, können Sie überprüfen, ob das Stummschalten funktioniert hat, indem Sie die Object Settings für Ihre Permission Set Group öffnen. Die Einschränkungen, die Sie dem Muting Permission Set hinzugefügt haben, überschreiben die ursprünglichen Berechtigungen, was bedeutet, dass Sie den Zugriff innerhalb einer Permission Set Group erfolgreich eingeschränkt haben, ohne die Berechtigungen eines bestehenden Permission Sets zu ändern.

Objektberechtigungen in Permission Sets finden

Sie können eine Zusammenfassung der in einem Permission Set enthaltenen Objektberechtigungen anzeigen, um zu verstehen, welchen Zugriff ein Benutzer haben wird.

So erhalten Sie eine Zusammenfassung der Objektberechtigungen in einem Permission Set

  1. Klicken Sie auf Setup
Click on Setup
  1. Klicken Sie auf Setup
Click on Setup
  1. Geben Sie „Permission“ ein
Type Permission
  1. Klicken Sie auf Permission Sets
Click on Permission Sets
  1. Klicken Sie auf einen Permission Set-Namen (z. B. Flair Engagement Manager)
Click on Permission Set Name
  1. Klicken Sie auf View Summary
Click on View Summary
  1. Klicken Sie auf Object Permissions
Click on Object Permissions

Sie sehen nun eine Zusammenfassung aller Objektberechtigungen, die im Permission Set enthalten sind. Diese Ansicht zeigt, auf welche Objekte Benutzer mit diesem Permission Set zugreifen können und welche Zugriffsebene sie haben (Read, Create, Edit, Delete, View All, Modify All).

Dies ist nützlich für:

  • Verständnis dessen, welchen Zugriff ein Permission Set gewährt
  • Fehlerbehebung bei Berechtigungsproblemen
  • Planung von Permission Set-Zuweisungen
  • Dokumentation von Sicherheitskonfigurationen

Visibility Scopes

Visibility Scopes bieten Ihnen eine Möglichkeit, die Sichtbarkeit von Datensätzen für Salesforce-Benutzer einzuschränken. Wenn Sie beispielsweise sicherstellen möchten, dass ein Benutzer nur Mitarbeiter derselben Abteilung, desselben Standorts oder derselben Unternehmenseinheit sieht, würden Sie einen Visibility Scope verwenden.

Bevor Sie einen Visibility Scope erstellen, sollten Sie sicherstellen, dass Sie Benutzern die entsprechenden Permission Sets für ihre Rollen zugewiesen haben.

🚧 Bitte beachten Sie, dass die Logik des Visibility Scope nicht funktioniert, wenn Sie einem Benutzer ein Permission Set mit View All/Modify All-Berechtigungen zugewiesen haben. Dazu gehören die Permission Sets Flair Manager, Flair Payroll Manager und Flair Recruiter. Außerdem können Benutzer mit dem System Administrator-Profil alle Datensätze sehen, selbst wenn Sie einen Visibility Scope anwenden.

Einrichten und Zuweisen eines Visibility Scopes

Um einen Visibility Scope einzurichten, müssen mehrere Schritte befolgt werden.

1. Verbinden Sie den Salesforce-Benutzer mit seinem Mitarbeiterdatensatz

  • Suchen Sie dazu den entsprechenden Mitarbeiterdatensatz in der flair-App über die Seite Personal & Dokumente (Staff & Docs) oder Mitarbeiter (Employees).
  • Wählen Sie den entsprechenden Salesforce-Benutzer im Feld Salesforce User und klicken Sie auf Save.

2. Erstellen Sie eine Entity für eine bestimmte Gruppe von Mitarbeitern

  • Zum Beispiel könnte eine Entity eine Abteilung Ihres Unternehmens sein.

  • Öffnen Sie den App Launcher, indem Sie auf das Neun-Punkte-Symbol 𓃑 oben links auf dem Bildschirm klicken, und suchen Sie nach Entities.

  • Klicken Sie auf die Schaltfläche New und geben Sie Ihrer Entity einen Namen. Klicken Sie dann auf Save.

  • Sie können dann Mitarbeiter dieser neuen Entity zuweisen, indem Sie ihren Mitarbeiterdatensatz öffnen und die Entity im Feld Entity des Abschnitts Contract auswählen.

  • Auf die gleiche Weise können Sie bei Bedarf auch bestimmte Stellen und Kandidaten einer Entity zuweisen.

3. Erstellen Sie einen Visibility Scope und wählen Sie aus, welche Objekte geteilt werden sollen

  • Um einen Visibility Scope zu erstellen, öffnen Sie den App Launcher und suchen Sie nach visibility scope. Wählen Sie die Seite namens Employee Visibility Scopes. Klicken Sie auf die Schaltfläche New.

  • Geben Sie Ihrem Visibility Scope einen Namen und wählen Sie einen Mitarbeiter oder eine Gruppe von Mitarbeitern aus, denen Sie ihn zuweisen möchten.
  • Im Abschnitt Scopes können Sie die Entity auswählen, auf die Ihr Visibility Scope angewendet wird. Das Aktivieren des Kontrollkästchens „Can See Own Entity“ ermöglicht es Ihnen, einen Visibility Scope für einen Benutzer in einer anderen Entity zu erstellen, während er seine eigene Entity weiterhin sehen kann.
  • Zum Beispiel möchten Sie einem Manager vielleicht einen Visibility Scope für Ihren Firmenhauptsitz zuweisen, ihm aber gleichzeitig erlauben, Datensätze in Bezug auf den Standort, an dem er arbeitet, anzuzeigen und zu ändern.

  • Im Abschnitt Access können Sie auswählen, welche Objekte in Ihren Visibility Scope aufgenommen werden. Für jedes Objekt können Sie zwischen Read/Write-Zugriff (Fähigkeit, das Objekt anzuzeigen und zu ändern) oder Read Only-Zugriff wechseln. Um die Sichtbarkeit vollständig einzuschränken, deaktivieren Sie das Kontrollkästchen links neben dem Objekt.

  • Wenn Sie fertig sind, klicken Sie auf Save. Jetzt führt Apex einen Batch-Job aus, um die Sharing-Datensätze zu erstellen.
  • Um Ihren Visibility Scope zu bearbeiten, klicken Sie auf seinen Namen. Sie sehen alle Details des Visibility Scopes sowie den Verarbeitungsstatus der Sharing Rules.

Inventory Permission Set

Um einem Mitarbeiter nur Zugriff auf das Inventar zu gewähren, sollten Sie ein dediziertes Inventory Management Permission Set erstellen, das folgende Objekte enthält:

  • Inventory
  • Inventory Attachments
  • Inventory Items
  • Inventory Templates
  • Inventory Template Associations

Erstellen des Inventory Manager Permission Sets in Salesforce

Schritte

  1. Klicken Sie auf Setup
Click on Setup
  1. Klicken Sie auf Setup
Click on Setup
  1. Verwenden Sie die Schnellsuche im linken Bereich und suchen Sie nach ‚permission‘
Search for permission
  1. Klicken Sie auf Permission Sets
Click on Permission Sets
  1. Klicken Sie auf New
Click on New
  1. Geben Sie „Inventory Manager“ ein
Type Inventory Manager
  1. Klicken Sie auf API Name, um dieses Feld automatisch auszufüllen
Click on API Name
  1. Klicken Sie auf Save
Click on Save

Berechtigungen zum Permission Set hinzufügen

  1. Klicken Sie auf Object Settings
Click on Object Settings
  1. Geben Sie Inventory ein und klicken Sie auf Inventory
Type Inventory
  1. Klicken Sie auf Edit
Click on Edit
  1. Aktivieren Sie Visible in den Tab Settings
Check Visible on Tab Settings
  1. Klicken Sie auf Save

Wiederholen Sie diesen Vorgang für jedes inventarbezogene Objekt (Inventory Attachments, Inventory Items, Inventory Templates und Inventory Template Associations). Für jedes Objekt müssen Sie:

  • Object Permissions festlegen (Read, Create, Edit, Delete, View All, Modify All)
  • Field Permissions nach Bedarf konfigurieren
  • Für Inventory Items den Tab verfügbar machen und bei Bedarf Record Type Assignments konfigurieren

Das Permission Set Benutzern zuweisen

  1. Klicken Sie auf Manage Assignments
Click on Manage Assignments
  1. Klicken Sie auf Add Assignment
Click on Add Assignment
  1. Wählen Sie Benutzer zum Zuweisen aus
Select Users to Assign

  1. Klicken Sie auf Next

  2. Klicken Sie auf Assign

  3. Klicken Sie auf Done

Sie haben erfolgreich das Inventory Manager Permission Set erstellt und es Benutzern zugewiesen. Benutzer mit diesem Permission Set haben nur Zugriff auf inventarbezogene Objekte und Funktionen.

Aktivieren der Developer Console mithilfe von Permission Sets

Das Aktivieren und Gewähren der Berechtigung für die Developer Console in Salesforce bietet Benutzern ein leistungsstarkes Tool zum Debuggen, Testen und Entwickeln von benutzerdefiniertem Code oder Anwendungen.

  1. Besuchen Sie zuerst das Salesforce Setup-Portal

  1. Besuchen Sie als Nächstes die Seite Permission Sets im Abschnitt Users und erstellen Sie ein neues Permission Set. Klicken Sie im Permission Sets-Dashboard auf New. Geben Sie ihm ein Label, einen API Name und eine Description. Klicken Sie dann auf Save.

  1. Klicken Sie innerhalb des neu erstellten Permission Sets auf den Reiter System Permission unter der Überschrift System. Hier können Sie Arten von Berechtigungen bearbeiten, die über mehrere Anwendungen hinweg gelten.

  1. Setzen Sie ein Häkchen und aktivieren Sie die Berechtigung für Author Apex und View All Data. Klicken Sie dann auf Save.

  1. Der nächste Schritt besteht darin, Ihre neuen Berechtigungen einem bestimmten Benutzer auf der Seite Users im Salesforce Setup-Portal zuzuweisen

  1. Klicken Sie auf den Profilnamen eines Benutzers, dem Sie Berechtigungen geben müssen, und wählen Sie dann Edit Assignments
  2. Fügen Sie Ihr neu erstelltes Permission Set über den Abschnitt Available Permission Sets hinzu. In diesem Beispiel fügen wir das von uns erstellte Permission Set For Dev Console hinzu.
  3. Der Benutzer hat nun Zugriff auf die Developer Console

Fehlerbehebung bei Sichtbarkeitsproblemen von Mitarbeiterdokumenten

Wenn ein Kunde keine Mitarbeiterdokumente im Backend sehen kann oder den Employee Visibility Scope nicht im App Launcher finden kann, handelt es sich höchstwahrscheinlich um ein Berechtigungsproblem.

Schritte zur Fehlerbehebung

Gehen Sie zu Setup und suchen Sie nach dem Benutzer, prüfen Sie dann:

  1. Prüfen Sie, ob dem Benutzer eine flair-Lizenz zugewiesen ist
  2. Prüfen Sie das Profil des Benutzers und verifizieren Sie, wie die Standardberechtigungen des Benutzers in der Org definiert sind

Permission Sets-Referenz

Alle Permission Sets und zugehörigen Objekte finden Sie in der flair Permission Sets Dokumentation.

Häufige Probleme

  • Fehlende Lizenz: Benutzer benötigen eine flair-Lizenz, um auf flair-Funktionen zuzugreifen
  • Unzureichende Berechtigungen: Das Profil oder die Permission Sets des Benutzers enthalten möglicherweise keinen Zugriff auf Employee Documents oder Visibility Scopes
  • Objektberechtigungen: Überprüfen Sie, ob der Benutzer Lesezugriff auf das Objekt Employee Documents hat
  • Zugriff auf Visibility Scope: Stellen Sie sicher, dass der Benutzer die Berechtigung hat, Employee Visibility Scopes anzuzeigen und zu verwalten

Wenn Probleme nach Überprüfung dieser Einstellungen weiterhin bestehen, überprüfen Sie, ob das Objekt Employee Visibility Scope in Ihrer Salesforce-Org aktiviert und zugänglich ist.