Alertas de seguridad del usuario invitado

Resultado de imagen para open door

Salesforce lleva algunos meses invitándonos a alinearnos a las actualizaciones de seguridad del usuario invitado para sitios públicos (sites, portales y comunidades).

Una vez se activen las nuevas reglas, los sitios publicos deberan seguir las siguientes politicas:

  • El módelo de seguridad para usuarios invitados será Privado
  • Los usuarios invitados solo podran tener máximo permiso de Leer y Crear en cualquier objeto
  • Las nuevas reglas de colaboración para usuarios invitados serán los únicos mecanismos para dar acceso a registros y el permiso será máximo de Lectura.
  • El usuario invitado no podrá ser el propietario de ningun registro
  • El usuario invitado no tendrá permisos de Actualizar ni Borrar en ningún objeto
  • El usuario invitado ya no podrá tener el permiso “Ver todos los Usuarios
  • El usuario invitado ya no podrá tener el permiso “Ver todos los datos” ni “Modificar todos los datos

¿Cuándo entrarán en vigencia los cambios?

Para Marzo de 2020 ya se deben haber tenido en cuenta todas las indicaciones y haber tomado acción. En este mes empezaran a vencerse las fechas máximas y posterior al release Spring’20, las nuevas características no se podrán deshabilitar.

Hasta tanto se podrá mantener desactivado el permiso Proteger acceso de registro de usuario invitado, disponible en Configuración de colaboración

¿Como prepararse?

  • Seguir los pasos que se indican en las Alertas de Seguridad

Más información en el siguiente link Guest User Access Report – Managed

¿Qué son las reglas de colaboración de usuario invitado?

Para cada usuario invitado (existe uno por cada site, portal o comunidad) se deberan crear reglas de colaboración que permitean dar el permiso de lectura por cada objeto que se requiera.

Esta es una nueva funcionalidad disponible con está actualización

¿Como permitir al usuario invitado Actalizar y Borrar?

En este caso la solución parece sencilla. Para que desde un site publico, se puedan seguir Actualizando y Eliminando registros, lo que se debe hacer es ejecutar el codigo de Apex en modo del sistema es decir con la palabra reservada “without sharing”.

Con with sharing la clase no podra realizar actualizaciones ni eliminaciones

Al ser invocada por un usuario invitado, la recomendación es usar without sharing

¿Cómo reasignar propietario a los registros cuando los crea el Usuario Invitado?

Si hablamos de comunidad, desde Winter’20 existe la opción de reasignar los registros del usuario invitado al usuario por defecto de la Comunidad

después de activar está nueva opción, en la administración de la comunidad en Preferencias veremos la opción de relacionar el usuario por defecto que será el propietario de los registros de la comunidad

Para sites, está opción no existe y por lo tanto se debe actualizar la lógica de creación para asignar un propietario teniendo en cuenta que este usuario no se vaya a desactivar nunca, o empezaría a fallar la creación de registros.

¿Cómo validar?

Las alertas de seguridad se pueden activar/desactivar en un ambiente de sandbox a voluntad hasta antes de la fecha limite en Marzo.

En el siguinte link se puede ver un plan de pruebas (en inglés)

Plan de pruebas – Seguridad del Usuario Invitado

¿Donde encontrar más ayuda?

Actualización Crítica de Lightning Experience – 07 Enero 2020

Desde el 7 de Enero y durante 72 horas se empezará a activar la actualiación crítica de Lightning Experience.

Está actualización busca que todas las instancias de Salesforce tengan activada la interfaz de usuario de Lightning Experience.

Durante varios años Salesforce ha incentivado el paso a Lightning Experience de manera gradual.

En este momento la experience de usuario se activará automaticamente,

sin embargo esto no implica que ya no se pueda usar Salesforce Classic o que todos los usuarios tengan que usar Lightning Experience. Esto es una decisión que deben tomar los administradores y Salesforce está incentivando a que la tomen pronto

Recomendamos seguir cada uno de los pasos del Asistente de transicion de Lightning Experience lo más pronto posible para empezar la migración a Lightning Experience si aún no lo han hecho

A continuación Salesforce nos explica detalladamente lo que hay que saber sobre esta actualización critica. Disponible con subtitulos en español.

Como anecdota, antes de la versión de Salesforce Classic que conocemos existia la versión de Salesforce Classic 2010. Aún es posible hoy en día activarla y volver en el tiempo.

Una prueba de que Salesforce Classic no se apagará inmediatamente pero también de que en cuestion de Interfaz de Usuario es mejor seguir evolucionando.