Salesforce Activity 수정 권한

 

[문제 상황]

 

프로필(Profile) A를 부여받은 사용자가 다른 사용자가 생성한 Opportunity에 붙은 Task를 수정할 수 없음

프로필 A는 시스템 관리자(System Administrator) 프로필을 복제하여 생성하였으며, 내부에서 어드민으로 사용 중

• OWD
  • Opportunity: Private
  • Activity: Private
• 프로필 A
  
  • Opportunity: Create, Read, Edit, Delete, View All Records, Modify All Records
  • Administrative Permissions: Modify All Data (X), Edit Tasks (O), Edit Events (O), Access Activities (O)

 

[해결 과정]

 

문제 상황 써놓고 보니 Activity가 Private이라 당연히 수정 못하는 게 맞는 듯하나

 

- 프로필 A를 부여받은 사용자 역할이 System Administrator였기 때문에 당연히 수정 가능하다고 생각함

- 해당 Task가 Opportunity에 붙어 있었고, Activity는 별도로 프로필에서 권한을 줄 수 없기 때문에 Parent인 Opportunity의 권한을 따라간다고 생각함(이건 Private을 Controlled By Parent로 변경하면 맞는 말이 됨. Activity의 OWD는 Private, Controlled By Parent 두 개뿐)

 

 

[알아낸 것]

• OWD는 Activity로만 설정할 수 있으며 Task, Event 각각 설정은 불가능하다.
• 프로필에서 Activity 권한을 설정할 수 없다(아예 없음).
• 프로필의 Edit Tasks, Edit Events는 Salesforce Classic Only이다. 즉 라이트닝에선 소용 없다.
• 역할이 System Administrator라고 하더라도 수정 권한이 있는 건 아니다.
• 프로필 특정 개체의 Modify All Records는 Sharing Settings를 무시한다. 즉, Opportunity OWD가 Private이어도 프로필에 Modify All Records가 있었기 때문에 모든 레코드를 볼 수 있었던 것이다.

 

[결론]

• Task의 OWD를 Private으로 유지하고 싶다면, Task 수정은 소유자와 소유자의 상위 역할 사용자만 가능
• 프로필 A를 부여받은 어드민 사용자가 Task를 수정 가능하게 하고 싶다면 다음 두 가지 방안이 있음
  • Activity OWD를 Controlled By Parent로 변경: Opportunity OWD가 Private이기 때문에 당장 문제 소지는 없어 보이나, Activity는 다른 개체에도 붙을 수 있으므로 주의 필요
  • 프로필 A에 Modify All Data 권한 부여: 비추천. Modify All Data를 체크하면 온갖 체크박스가 다 체크됨. Task 수정 하나를 위해 너무 많은 권한을 부여하는 것은 맞지 않다고 판단