Salesforce Admin篇(三) Delegated Administrator

項目中，咱們可能會碰見如下的場景。

1. HR 經理針對申請者和工做相關的表的app會常常須要修改佈局查看須要的頁面的字段；

2. 開發者將record type對應的picklist values等進行調整，或者是針對新建的表須要維護一個新的tab，須要讓管理員去進行上線後的manual action；

3. 某次上線須要建立一個普通的user而且assign給指定的permission set去進行數據的維護等操做。

生產的管理員天天有特別多的事情須要處理，特別是針對上線的節點，若是針對權限管理比較嚴的公司可能只有管理員有system administrator權限，其餘的開發只能將上線的component list整理成change set打包上生產，而後將須要作的上線後的手動處理弄在文檔中由管理員進行處理。針對管理員是國內的還好，若是針對global的項目管理員在國外涉及到時差或者節假日，萬一開發人員沒有將manual action整理徹底後續操做很不方便。並且針對某我的或者某幾我的要求管理員頻繁更改pagelayout，溝通成本以及執行起來老是會不方便影響效率。如何解決上述相似的問題呢，Salesforce提供了Delegated Administrator功能去幫助管理員減輕負擔以及幫助業務/技術人員更好的操做。

一. Delegated Administrator

1 適用場景和限制

上述只是引出了Delegated Administrator適用的一小部分場景，其實Delegated Administrator做用遠遠比這個強大，能夠用於如下：

• 針對某些指定的角色或者這些角色的下屬角色去建立或者編輯用戶信息，針對這些用戶，能夠進行：重置密碼，設置quota，建立默認的Opportunity team，建立personal group；
• 針對鎖住的帳號進行解鎖；
• 給用戶分配指定的Profile；
• 在對Delegated Administrator受權的Permission Set的group中容許添加或者移除用戶；
• 在對Delegated Administrator受權的Public Group容許管理group member；
• 對管理員受權過能夠login as的User，Delegated Administrator一樣也能夠對這些user進行login as操做；
• 管理自定義對象，而且能夠定製化自定義對象的功能，好比更改page layout,更改 字段的picklist values，對對象建立tab等；
• 當同一個user在不一樣的Delegated Adminstrator Group中， 這個user能夠將不一樣的Group中的權限分配給其餘的Delegated Adminstrator Group的Delegated Administrator。

經過上述功能能夠看出Delegated Administrator功能仍是挺強大的，可是畢竟Delegated Administrator不是真的system adminstrator，仍是有不少限制條件的：

• 想要成爲一個 Delegated Adminstartor 必需要擁有 ‘View Setup and Configuration’ 的權限；
• 不是全部的Profile均可以進行分配，當Profile或者Permission Set中包含了‘Modify All Data’權限時， Delegated Administrator沒法對他們進行選擇；
• 不能修改Permission Set的配置項，只是能夠選擇他做爲user的可分配的permission set選項；
• 須要擁有自定義對象的訪問權限才能對這些對象公式中的merge field進行訪問，針對標準對象沒有管理的權限。

 2. 操做

咱們進入Set Up後搜索delegated admin即可以新建一個Group去管理Delegated Group。咱們在salesforce中常常會用到public groups，那public groups和Delegated Group 是否會有什麼關係或者有什麼聯繫？答案是沒有關係的。Delegated Administrator維護的user用來授予這些用戶相同的管理權限主要用來進行受權admin管理，public group一般用於進行sharing操做的，不管是sharing rule仍是 manual share record。public groups能夠添加user/ role /group等做爲group內的成員，delegated admin只能添加user。

1) 建立 Delegated Group：咱們這裏建立一個Group 名字是 Test Delegation Group.

 

2)建立好之後咱們能夠看到有幾個section，針對section區域作不一樣的配置項。

• Delegated Administrators: 維護的user用於成爲此Delegated Group的Delegated Admin;
• User Administration: 這裏用來選擇Role，上文也提到了Delegation Admin能夠建立User，那針對User的Role的選擇取決於咱們在這裏選擇的Role，這裏選擇的Role以及下屬的Role能夠用來做爲選擇項（須要注意的是，Delegation Admin只能選擇Role做爲建立的User的Role，不能修改系統中的Role的內容）；
• Assignable Profiles：當咱們建立User的時候，Profile是必填項。Delegation Admin選擇的Profile取決於咱們在這裏配置的Profile，其餘的Profile是無法看到和選擇的(這裏須要注意的是，若是Profile擁有了 Modify All Permission，則沒法將此Profile放在這裏，這裏也只是選擇已有的Profile，沒法新建和編輯已有的Profile)；
• Assignable Permission Sets：設置能夠assign給user的 permission set,同上面的Profile配置項相同，Delegated Admin只能操做哪些Permission Set能夠給user assign，可是無法修改Permission Set的內容；
• Assignable Public Groups：設置能夠assign給user的public group；
• Custom Object Administration：設置Delegated Admin針對自定義表的配置權限，除了針對Profile中對自定義表的Permission沒法修改之外，其餘大部分針對自定義表的權限，此功能都可以配置修改（須要注意的是，這裏只能選擇自定義的表，標準的object是沒有權限進行 Delegated的）。

經過以上的section咱們即可以配置完一個Delegated Group以及assign指定的user做爲此group的Delegated Admin了。

 3. 驗證

1)上圖中咱們將2FA User(Standard Platform User)設置成爲Delegated Admin，當咱們login as他的帳戶建立User，咱們能夠看到它能夠建立的帳號的Role進行了限制

2） 當咱們找到object時，發現咱們針對自定義的object只有Goods有編輯權限，其餘的均爲只讀。

二. Set Up Audit Trail

咱們可能針對不一樣的功能設置了不一樣的Delegated Group以及在Group中設置了不一樣的Delegated Admin，若是有Delegated Admin針對需求的配置錯誤或者System Administrator想要監控Delegated Admin的操做，這個時候咱們能夠經過 Set Up Audit Trail進行查看。點擊Set Up，輸入 View Setup Audit Trail便可看到針對最新setup的改動的監聽數據。固然不是全部的setup change都會被記錄，salesforce的audit trail支持詳情能夠參看：https://help.salesforce.com/articleView?err=1&id=admin_monitorsetup.htm&type=5

 總結： 針對某些場景，使用 Delegated Admin能夠更好的節約System Administrator時間，也能夠更高效的完成某些工做。篇中有錯誤地方歡迎指出，有不懂的歡迎留言。