本文主要介绍了 Salesforce 对于系统中数据的访问控制是如何设计的,然后也了解了下 Alfresco 和 Oracle VPD 的数据权限机制。希望对一些业务系统的数据权限的访问控制设计能有所参考和启发。
Salesforce 1. 产品功能salesforce是基于 SaaS 的客户关系管理系统(CRM),该系统提供的功能覆盖了众多不同的业务领域,例如:客户资料存储,销售业务管理,协同办公等。在此基础上,Salesforce又提供了一个开发平台以帮助其客户根据自身的需求对核心系统进行定制和扩展。
2. 数据权限配置在salesforce平台,可以控制哪些用户可以访问哪些 Organization, Objects, Fields, Records 的数据,通过结合不同级别的安全控制,来为成千上万的应用提供恰到好处的数据访问级别。
例如下面是在salesforce平台上的一个招聘系统,开发者配置的数据权限:
如上图中:
Objects-Level Security:对象级别的数据权限,类似DB中的表。例如:面试官只能查看候选人和招聘职位信息,而不能查看offer信息。
Field-Level Security:列数据权限,类似DB表的列字段。例如:面试官可以查看候选人的姓名、住址,而不能查看电话号码、薪资等敏感信息。
Record-Level Security:行数据权限,类似DB表中的行记录。例如:面试官只能查看自己所在部门下的候选人信息,而不能查看其它部门下的候选人信息。
下面详细描述 salesforce 中数据的4种安全级别控制:
1)Organization 的数据访问控制只有通过认证的员工才能登录到系统,是最广泛的数据保护级别。常用的设定有用户管理、密码登录、登录IP限制等。
2)Objects 的数据访问控制Object可以看做表。Object 是由 Records 组成,通过 profile 和 permission sets 来设置 objects 的数据访问权限。一个用户会有一个 profile 和许多 permission sets。
profile(简档):是 salesforce 为每个用户指定的标准配置文件,在创建用户时候指定(不同用户可使用同一profile)。通过一组规则集合,规定了用户对这个系统各方面的权限。分为 settings 和 permissions 两部分:
settings:决定用户可以访问哪些 objects
permissions:对 objects 上的 records 能执行哪些操作:增删改查
permission sets(权限集):分配给用户额外的权限和访问规则,也由 settings 和 permissions 组成。permission sets 的权限范围和 profile 是类似的。
一个用户只能有一个 profile,但可以有多个 permission sets。一般使用 profile 分配给用户最低的权限集合,然后使用 permission sets 补充配置的其他权限。两个联合使用,提供了访问 objects 的灵活性。
下图是 profile 中对象的权限设定:
Field可看做表中的列。有时,用户可以访问 Objects,但不能访问/修改 Object 的 Fields,例如:身份证信息、薪资信息等。Fields 列权限可通过 profile、permission sets 来控制
Record可看做表中的行记录。用户访问 Objects 时只能访问子集中的一部分 Records。而控制 Records 的数据访问范围有四个方法:
① Org-wide defaults:组织范围内的默认基础设置。共享设置是数据安全级别的最底层,如果用户在 profiles 或其他地方对某些对象有其他权限设定,则此处的权限设定会被忽略。
可以对系统中每个对象进行访问权限设置,例如下图:
有以下四种策略:
Private:只有 record 的拥有者(owner),以及上级能查看、编辑
Public Read Only:所有用户可查看 records,但只有拥有者和上级能编辑
Public Read/Write:所有用户可以查看、编辑 records
Controlled by Parent:一个用户可查看、编辑、删除一个 record,那就可对该 record 下面的 record 做同样操作。
② Role hierarchies:salesforce 的角色是层级结构,类似于一个树,拥有上级角色可以同时拥有这个角色树节点下级的所有角色的 Record 权限。
③ Sharing rules:将符合规则的一些行数据,赋予符合规则的一些用户。一条共享规则包括:
基本属性:标签、名字、描述等
规则类型:可以设定基于记录所有人,还是基于某些条件
被共享的用户:可以设定此共享规则对哪些用户生效。此处的用户分为三种:公用小组、角色、角色及下属
被共享用户的访问权限:被共享的用户对于此数据有哪些权限
例如下图: