Alertas de seguridad del usuario invitado

Resultado de imagen para open door

Salesforce lleva algunos meses invitándonos a alinearnos a las actualizaciones de seguridad del usuario invitado para sitios públicos (sites, portales y comunidades).

Una vez se activen las nuevas reglas, los sitios publicos deberan seguir las siguientes politicas:

  • El módelo de seguridad para usuarios invitados será Privado
  • Los usuarios invitados solo podran tener máximo permiso de Leer y Crear en cualquier objeto
  • Las nuevas reglas de colaboración para usuarios invitados serán los únicos mecanismos para dar acceso a registros y el permiso será máximo de Lectura.
  • El usuario invitado no podrá ser el propietario de ningun registro
  • El usuario invitado no tendrá permisos de Actualizar ni Borrar en ningún objeto
  • El usuario invitado ya no podrá tener el permiso “Ver todos los Usuarios
  • El usuario invitado ya no podrá tener el permiso “Ver todos los datos” ni “Modificar todos los datos

¿Cuándo entrarán en vigencia los cambios?

Para Marzo de 2020 ya se deben haber tenido en cuenta todas las indicaciones y haber tomado acción. En este mes empezaran a vencerse las fechas máximas y posterior al release Spring’20, las nuevas características no se podrán deshabilitar.

Hasta tanto se podrá mantener desactivado el permiso Proteger acceso de registro de usuario invitado, disponible en Configuración de colaboración

¿Como prepararse?

  • Seguir los pasos que se indican en las Alertas de Seguridad

Más información en el siguiente link Guest User Access Report – Managed

¿Qué son las reglas de colaboración de usuario invitado?

Para cada usuario invitado (existe uno por cada site, portal o comunidad) se deberan crear reglas de colaboración que permitean dar el permiso de lectura por cada objeto que se requiera.

Esta es una nueva funcionalidad disponible con está actualización

¿Como permitir al usuario invitado Actalizar y Borrar?

En este caso la solución parece sencilla. Para que desde un site publico, se puedan seguir Actualizando y Eliminando registros, lo que se debe hacer es ejecutar el codigo de Apex en modo del sistema es decir con la palabra reservada “without sharing”.

Con with sharing la clase no podra realizar actualizaciones ni eliminaciones

Al ser invocada por un usuario invitado, la recomendación es usar without sharing

¿Cómo reasignar propietario a los registros cuando los crea el Usuario Invitado?

Si hablamos de comunidad, desde Winter’20 existe la opción de reasignar los registros del usuario invitado al usuario por defecto de la Comunidad

después de activar está nueva opción, en la administración de la comunidad en Preferencias veremos la opción de relacionar el usuario por defecto que será el propietario de los registros de la comunidad

Para sites, está opción no existe y por lo tanto se debe actualizar la lógica de creación para asignar un propietario teniendo en cuenta que este usuario no se vaya a desactivar nunca, o empezaría a fallar la creación de registros.

¿Cómo validar?

Las alertas de seguridad se pueden activar/desactivar en un ambiente de sandbox a voluntad hasta antes de la fecha limite en Marzo.

En el siguinte link se puede ver un plan de pruebas (en inglés)

Plan de pruebas – Seguridad del Usuario Invitado

¿Donde encontrar más ayuda?