Quản lý người dùng là một trách nhiệm lớn nhằm đảm bảo đúng người (cả nội bộ và bên ngoài) có quyền truy cập phù hợp. Điều này bao gồm việc tạo và vô hiệu hóa người dùng, quản lý giấy phép, cung cấp quyền đăng nhập, hiểu về hồ sơ (profiles), bộ quyền (permission sets), và nhóm bộ quyền (permission set groups), cũng như xử lý sự cố về khả năng hiển thị của người dùng.

Thực tế, việc khắc phục sự cố liên quan đến quản lý người dùng là một trong những công việc mà các quản trị viên trên toàn thế giới cho biết chiếm nhiều thời gian nhất trong tuần của họ!

Trước đây, hồ sơ (profiles) đảm nhiệm phần lớn quyền truy cập người dùng trong Salesforce. Tuy nhiên, trong vài năm gần đây, Salesforce đã chuyển sang mô hình ưu tiên sử dụng permission set, trong đó profile chỉ cung cấp cấu hình cơ bản, còn permission set và permission set group đảm nhiệm phần lớn quyền truy cập. Điều này có ý nghĩa gì đối với các quản trị viên đang cập nhật hệ thống của mình theo các phương pháp tốt nhất?

Thực tế là rất hiếm khi chúng ta có cơ hội bắt đầu từ đầu với một hệ thống trống để xây dựng hồ sơ và quyền hạn từ đầu. Mục tiêu ở đây không phải là hướng dẫn bạn kiểm tra và cập nhật mô hình bảo mật, mà là giúp bạn hiểu rõ hơn về quản lý người dùng và lựa chọn công cụ phù hợp nhất cho mô hình bảo mật của mình.

Profiles (Hồ sơ) - Salesforce Admin

Mỗi người dùng đều phải có một profile, và nó xác định cấu hình cơ bản cho người dùng đó. Khi nghĩ về mức truy cập tối thiểu mà người dùng cần, điều này bao gồm các yếu tố như:

• Dải IP đăng nhập

• Thời gian đăng nhập

• Ứng dụng mặc định và loại bản ghi (record types)

• Gán bố cục trang (page layout assignments)

• Quyền cơ bản

Standard Profiles (Hồ sơ tiêu chuẩn): Salesforce cung cấp các profile dễ sử dụng, phù hợp với hầu hết các tổ chức ngành nghề. Tuy nhiên, khả năng chỉnh sửa của admin đối với các profile tiêu chuẩn là rất hạn chế, và chúng không thể được đổi tên hoặc sao chép để sử dụng cho mục đích khác.

Custom Profiles (Hồ sơ tùy chỉnh): Khi profile tiêu chuẩn không đáp ứng được cấu hình cơ bản cần thiết, admin có thể tạo các profile tùy chỉnh. Những profile này có thể được sao chép, đổi tên và xóa khi cần.

Hãy xem profile như một cách để thiết lập mức truy cập tối thiểu cho người dùng. Đây là công cụ quản lý người dùng mang tính hạn chế nhất, và chúng ta có thể mở rộng quyền truy cập bằng các tính năng khác như Permission Sets. Thực tế, để giới hạn tối đa, bạn có thể sử dụng profile “Minimum Access – Salesforce” làm nền tảng.

Permission Sets (Bộ quyền) - Salesforce Admin

Permission Set cung cấp quyền truy cập bổ sung vượt ngoài những gì đã được thiết lập trong profile mức tối thiểu. Điều này giúp công việc của quản trị viên trở nên dễ dàng hơn, vì bạn có thể gán permission set cho người dùng dựa trên công việc họ cần thực hiện thay vì vai trò cụ thể, từ đó tránh việc phải tạo quá nhiều profile và tăng khả năng tái sử dụng.

Permission Set nên được dùng để kiểm soát:

• Quyền trên đối tượng (Object permissions)

• Bảo mật cấp trường (Field-level security)

• Quyền hệ thống (System permissions)

• Quyền truy cập vào ứng dụng kết nối và các lớp Apex

• Quyền tùy chỉnh (Custom permissions)

• Cài đặt tab (Tab settings)

• Record Types (ngoài loại mặc định)

Với Permission Set, quản trị viên có thể cấp quyền dựa trên khả năng hoặc nhiệm vụ mà người dùng cần thực hiện, thay vì phải tạo profile mới mỗi lần. Một điểm quan trọng là một người dùng có thể được gán nhiều permission set, không giống như profile (chỉ có thể có một).

Mẹo: Hãy tạo nhiều permission set nhỏ thay vì một permission set lớn chứa quá nhiều quyền. Bạn có thể đặt tên rõ ràng theo chức năng mà permission đó cung cấp, sau đó gom các permission set này vào một Permission Set Group nếu cần cấp toàn bộ cho một nhóm người dùng cụ thể.

Permission Set Groups (Nhóm bộ quyền)

Permission Set Group cho phép quản trị viên gom nhiều permission set lại và gán cho người dùng như một “gói” quyền. Bạn có thể thắc mắc: “Nếu đã có thể gán nhiều permission set riêng lẻ, tại sao cần nhóm?” Lý do là trong nhiều trường hợp, bạn sẽ thường xuyên gán cùng một tập hợp permission set cho nhiều người dùng, nên việc dùng group sẽ hiệu quả và tiết kiệm thời gian hơn.

Điểm mạnh đặc biệt của Permission Set Group là khả năng tắt (mute) quyền. Nếu trong nhóm có một vài quyền mà người dùng không cần, bạn có thể loại bỏ quyền đó mà không cần chỉnh sửa các permission set gốc. Điều này giúp việc quản lý quyền trở nên linh hoạt và dễ bảo trì hơn rất nhiều.

Xây dựng chiến lược phân quyền

Khi đã nắm được những khái niệm cơ bản, bạn có thể áp dụng vào hệ thống của mình để xây dựng mô hình bảo mật dựa trên permission set, giúp mở rộng dễ dàng hơn. Có nhiều tài liệu hướng dẫn từ Salesforce giúp bạn thiết kế chiến lược phân quyền dựa trên các nhóm người dùng (persona) trong doanh nghiệp.

Bằng cách chuyển tư duy từ việc dùng profile để định nghĩa toàn bộ quyền sang việc dùng permission set để “xếp lớp” quyền truy cập, bạn sẽ xây dựng được một hệ thống:

• Dễ bảo trì hơn

• Dễ kiểm tra (audit) hơn

• Dễ mở rộng khi tổ chức phát triển hơn

Lời Kết

Học Salesforce Admin là một lựa chọn nghề nghiệp thông minh, thực tế và bền vững cho người Việt muốn bước vào ngành công nghệ. Bạn không cần xuất phát điểm IT, chỉ cần:

• Lộ trình đúng

• Thực hành đủ

• Kiên trì trong 3–6 tháng

Bước đầu tiên bạn có thể làm ngay hôm nay là truy cập talentforce.vn và đăng ký khoá học mới nhất, cùng bắt đầu học Salesforce Admin một cách nghiêm túc. Cơ hội nghề nghiệp toàn cầu đang chờ bạn phía trước.