salesforce零基础学习（一百一十八）Restrict Rule

本篇参考：

https://help.salesforce.com/s/articleView?id=sf.security_restriction_rule.htm&type=5

https://help.salesforce.com/s/articleView?id=sf.security_restriction_rule_examples.htm&type=5

https://developer.salesforce.com/docs/atlas.en-us.236.0.restriction_rules.meta/restriction_rules/restriction_rules_intro.htm

作为salesforce从业人员，数据的权限管理是一个特别重要的内容。我们熟知的设置权限的方式就是先设置 OWD进行一下 high level的设置。然后通过 Role Hierarchy / Share Rule / Manual Share进行数据权限的扩充从而达到不同的场景下，不同的USER可以扩充他可以看到的数据范围。

当然，不同的公司需求也千变万化。以下是潜在的场景需求：

• MD关系的数据，针对某个 Role的客户，只希望master类型的数据通过sharing setting进行了权限的扩充，但是detail的数据还是只能看到各自own的。因为MD关系的权限设置是 control by parent，没法去限制detail的权限，这种开发时我们只能将 detail设置成 private，然后增加很多 sharing rule或者 manual share对大部分人进行数据权限共享而只是为了忽略一小部分。
• 一个表有很多的 record type，需求是希望指定用户（比如user的某个字段）只能看到某个record type的一些数据，其他数据不支持查看（列表/report等等）

当然，demo中只列举了两个简单场景，实际场景会更多更复杂。SF的权限管理是特别厉害的，但是仍然要记住有很多限制。我们可能通过一些 workaround solution解决了，比如 sharing rule等，但是我们要知道这些都是有数量限制的，随着业务的不断变动，触发了一些government limitation以后，我们这种还是一个好的方案吗？ 现在salesforce针对这种类似的情形，增加了 restriction rule。

一. Restriction Rule概念和基础知识

简单来概括， Restriction Rule的目的是用来隐藏掉一部分基于之前的数据权限，保证满足 restriction rule的数据可以被 user看到，从而增强了salesforce的数据访问的权限。

通过上图我们可以看到这个功能很强大，当然，回想一下之前的 dynamic form / dynamic action等等强有力的功能，使用时必不可少的受制于他的 limitation，所以使用前我们需要先了解一下 restriction rule consideration。

1. classic 和lightning 都支持吗，所有的表都支持吗？

Answer: 只支持 lightning，classic环境不保证。所以如果项目是新项目，仅在 lightning下使用，那可以考虑，否则别给自己找坑。 不是所有的表都支持。

• 　　custom objects,external objects, contracts, events, tasks, time sheets, and time sheet entries

2. Restriction Rule支持哪些 Feature？ 或者说我从哪里可以直观的看到这个功能所产生的效果。

Answer: 以下的 feature 支持 Restriction Rule.

• List Views
• Lookups
• Related Lists
• Reports
• Search
• SOQL
• SOSL

这里需要提示几个注意事项，当然官方的consideration特别多，这里例举几个我们常用到的项。

• restriction rule创建以后，如果之前 search box搜索过相关的记录存在 shortcut，则search还是可以看到。如果最近浏览过记录，在 recently view的视图中还是可以看到。当然，当你点击这条记录的时候，会给你报错告诉你无法访问。
• 当user执行克隆操作时，如果这条记录的 lookup字段因为 restriction rule导致你无法访问情况下，克隆会报错。比如 order数据会关联 contract数据，如果contract因为restriction rule导致你无法访问，当你克隆 order时便会报错。
• Restriction Rule 不适用于 System Mode下代码运行的场景。
• Restriction Rule不适用于以下的这些权限场景： View All, Modify All, View All Data, and Modify All Data.
• 尽管一条记录因为 restriction rule导致了没法查看，但是我们没法通过 UserRecordAccess这个表来确定。举个例子，某个user针对一条数据拥有权限，但是restriction rule给它限制住了访问。尽管这条记录访问不到，但是 UserRecordAccess却会显示对这条数据有权限。所以后续碰到对某条记录没有权限但是 UserRecordAccess却可以展示有访问权限的场景下，可以先查询 Restriction Rule作为快速排查。

二. Demo

我们创建了一个 Demo Object的custom object，包含两个 record type: Sample 1 & Sample 2. 我们在这个表设置了一个 restriction rule，当 user的 Role为 Installation & Repair Services情况下，只能查看 Record Type 为 Sample 1的数据。

我们可以看到Demo Object的 OWD设置的是 Public Read Only.

我们创建了4条数据，两条 sample1的，两条 sample 2的，针对system admin的数据，我们可以看到4条数据。

针对demo user，设置了他的 role为 Installation & Repair Services，可以看到尽管OWD设置的是 Public Read Only，但是因为restriction rule的影响，只能看到 sample 1的数据。

这里做一下 自定义逻辑的补充，我们通过lwc组件展示restriction rule的影响。

Demo_ObjectController.cls

public with sharing class Demo_ObjectController {
    @AuraEnabled(cacheable=true)
    public static List<Demo_Object__c> getAllList() {
        List<Demo_Object__c> demoObjectList = [SELECT Id, Name
                                                FROM Demo_Object__c
                                                LIMIT 50000];
        return demoObjectList;
    }
}

demoObjectList.html

<template>
    <lightning-datatable
        data={datas}
        columns={columns}
        key-field="Id"
    >
    </lightning-datatable>
</template>

demoObjectList.js

import { LightningElement, track, wire } from 'lwc';
const columns = [
    { label: 'Name', fieldName: 'Name', type: 'text' }
];
import getAllList from '@salesforce/apex/Demo_ObjectController.getAllList';
export default class demoObjectList extends LightningElement {
    columns = columns;

    @track datas;

    @wire(getAllList)
    getAllList({ error, data }) {
        if(data) {
            this.datas = data;
        } else if(error) {
            //TODO
            console.log(JSON.stringify(error));
        }
    }
}

通过demo user访问以后的效果：

with sharing是遵循 restriction rule的

将代码改成 without sharing，会发现所有的数据都可以搜索出来。

我们再用 UserRecordAccess这个表进行一下验证。

尽管UI上demo user访问不了sample 2的数据(下图是管理员用户查看的数据)

但是通过UserRecordAccess是可以访问到的。（下图是demo user id进行的查询展示）

这个其实是一个很危险的行为，不知道后续salesforce是否会增强。因为后续我们自定义的list view如果使用了 without sharing并且进行一些filter，结果集可能获取到的是超过restriction限制的数据，因为code的SOQL是 system mode， restriction rule没法生效。结果集搜索出来点击跳转到详情可能 list展示了，但是点击报错，用户行为极其不友好，并且没法通过 UserRecordAccess去实际的判断是否拥有权限，所以如果项目中有用到 restriction rule情况并且有自定义 list view，建议先将 restriction rule的条件和过滤的结果集也在后台看着过滤一下，避免造成不必要的影响。

总结：从功能来看，restriction rule对于权限控制又提升了特别多，也可以优化很多曾经各种绕来绕去的设计（针对一小部分特殊user的特殊访问）。使用前多看一下 consideration多测试。篇中有错误地方欢迎指出，有不懂欢迎留言。