我正在为Salesforce中的一个实现工作,其中涉及设置合作伙伴模块。我们无法根据配置文件设置用户对象标准字段的访问权限,并且使用合作伙伴登录信息,您可以访问Dataloader或Apex Explorer中的所有用户信息,这看起来像是Salesforce中的安全漏洞。
之前是否有人遇到此问题或有解决方法?
答案 0 :(得分:1)
如果我理解正确,您担心的是您可以使用客户提供的登录信息访问所有用户记录。
我同意这是一个安全问题,但我不认为Salesforce特定于客户的安全实践。如果用户凭据不需要通过数据加载器或Apex Explorer访问信息,那么他们应该从配置文件中删除“API Enabled”权限。如果凭据应仅具有API访问权限,则应在配置文件上启用“仅限API用户”权限。
它归结为需要将“不受信任”的用户限制为仅需要的权限和访问级别。我发现配置文件权限能够满足我的所有安全需求。