보안과 통제 - (2) 권한 집합 (Permission Sets)

세일즈포스는 ‘역할(Roles)’ 과 ‘프로필(Profiles)’ 을 이용하여 어떤 사용자들이 어떤 기능을 사용할 수 있고, 어떤 데이터를 볼 수 있는지 통제할 수 있게 해준다는 사실을 알아보았다. 

 

◈ ‘권한 집합(Permission Sets)’ 의 필요성 고찰

그런데 기업의 비지니스가 복잡할수록 여러가지 예외 사항이 발생하게 된다. 대표적인 케이스가 고객사 데이터이다. 중소기업의 경우 세일즈포스를 도입하면서 초기의 정교한 설계없이 시작하는 경우가 많은데, 이때 고객사 등록 권한, 즉 ‘고객사(Account)’ 개체의 레코드 ‘만들기(Create)’ 권한을 모든 사용자에게 부여한다. 다시 말해, 누구나 새로운 고객사를 새로 등록할 수 있는 것이다. 이렇게 수개월 또는 1년 이상을 지나게 되면, ‘고객사(Account)’ 개체/테이블에는 동일한 고객사들이 아래와 같은 다양한 이름으로 등록된다.

 

• 주식회사 대한상사
• (주)대한상사
• 주) 대한상사
• Daehan Co., Ltd.
• 대한상사… 등

 

회사에서는 새로운 고객사를 등록하기 전에 반드시 검색을 하고 동일한 회사가 없으면 새로 만들라는 지침을 주시만 항상 시간에 쫓기는 실무자들에게 그럴 여유가 없다. 위에서 전제한 가정이 정교한 설계가 없었다는 점인데, 물론 세일즈포스가 중복 체크 기능을 제공하므로 설정을 하거나 또는 데이터 관리 정책을 세우면 충분히 방지 할 수 있다.

 

즉, 새로운 고객의 등록 권한을 특정 사용자 그룹에 지정하면 된다.  예를 들면, ‘영업지원팀’ 또는 ‘내부영업팀’과 같이 특정 사용자 그룹의 유저들만 새로운 고객사를 등록하도록 프로필을 설정하여 해결할 수 있다. 그런데 만일 권한이 없는 다른 팀에서 특정 사용자에게만 ‘새로 만들기(Create)’ 기능을 부여해야 하는 경우가 생긴다면 어떻게 해야 할까? 이러한 예외 사항을 처리하기 위해 제공되는 기능이 ‘권한 집합(Permission Sets)’ 이다.

 

◈ ‘권한 집합(Permission Sets)’ 은 무엇이며 어떻게 사용하는가?

한 문장으로 정의하자면 ‘권한 집합(Permission Sets)’은 프로필의 각각의 기능을 모아서 정의한 것으로, 각 사용자에게 개별적으로 부여할 수 있는 기능이다. 다시 말해,  ‘권한 집합’은 특정 사용자에게 부여된 프로필에 권한을 추가하는 목적으로 하는 기능이다. 프로필은 사용자당 하나만 할당 가능하나 ‘권한 집합’은 사용자당 여러 개 할당 가능하므로, 보다 유연한 권한 설정이 가능해진다. 

 

 

위 그림에서 특정 개체, 예를 들면 ‘고객사(Account)’ 라는 개체에 ‘읽기’ 권한을 가지고 있는 ‘사용자 A’가 있다고 가정해보자. 그리고, 아래와 같이 ‘권한 집합’ 이 정의되어 있다면;

 

• 권한 집합 1: ‘고객사(Account)’ 개체에 대한 ‘읽기(Read)’ 및 ‘편집(Edit)’ 권한
• 권한 집합 2: ‘고객사(Account)’ 개체에 대한 ‘새로 만들기(Create)’ 권한
• 권한 집합 3: ‘고객사(Account)’ 개체에 대한 ‘삭제(Delete)’ 권한

 

‘사용자 A’ 에게 새로운 ‘고객사(Account)’ 레코드를 등록하고 수정할 수 있는 권한을 주려면, 위에서 정의 ‘권한 집합 1’ 과 ‘권한 집합 2’ 를 추가해주면 된다. 만일 전체 권한을 부여하려면 세가지 권한 집합을 다 적용시키면 된다.

 

◈ ‘권한 집합(Permission Sets)’ 의 실제 적용

우리가 사용중인 Org, 즉 ‘개발자 Edition’ 은 ‘시스템 관리자’ 본인을 제외하고 1명의 사용자를 추가할 수 있다. ‘권한 집합’의 데모를 보여 주기 위하여 ‘홍길동’ 이라는 사용자를 추가하였고, 기본적으로 제공되는 ‘표준 사용자’ 프로필을 복제하여 ‘영업’이라는 프로필을 새로 만들고 ‘홍길동’ 사용자에게 ‘영업’ 프로필을 적용해 두었다. 

 

 

복제하여 새로 만든 ‘영업’ 프로필의 고객사에 대한 권한은 아래와 같다. ‘고객사’ 개체, 다시 말해 ‘계정’에 대하여 ‘읽기’ 권한만 가지고 있다.

 

 

‘영업’ 프로필을 가진 ‘홍길동’ 은 ‘새로 만들기(Create)’ 또는 ‘편집(Edit)’ 권한이 없기 때문에 ‘고객사’ 탭의 목록에서 ‘새로 만들기’ 버튼이 보이지 않으며, 레코드를 열어도 ‘편집’ 버튼이 보이지 않는다.

 

[ 고객사 탭 목록 화면 ]

[ 고객사 세부 사항 화면 ]

아래 그림을 참고하여, 새로운 권한 집합 ‘고객사 신규 생성 및 편집 권한’ 을 만들고 ‘홍길동’ 사용자에게 할당까지 해보자. 이때 주의할 점은 ‘라이센스’ 를 ‘없음’ 으로 선택해야 한다.

 

 

 

이렇게 함으로서, ‘홍길동’ 사용자는 프로필에 따르면 신규 고객사를 ‘추가’ 하거나 고객사 정보를 ‘편집’ 할 수 없지만 새로 만들어진 ‘권한 집합’ 에 의해 신규 고객사를 ‘추가’ 하거나 고객사 정보를 ‘편집’ 할 수 있게 되었다. ‘홍길동’ 사용자로 로그인하여 ‘고객사’ 탭을 눌러 보면 목록 화면에 ‘새로 만들기’ 버튼이 추가 되었고, 레코드를 열어서 보는 세부 사항 화면에도 ‘편집’ 기능이 활성화 된 것을 확인 할 수 있다. 

 

◈ 맺음말

지금까지 살펴본 바와 같이 세일즈포스가 사용자들의 데이터에 대한 접근을 통제하는 방법으로 ‘역할(Roles)’, ‘ 프로필(Profiles)’ 및 ‘권합 집합(Permission Sets)’ 을 제공하는 것을 확인하였다. 그외에도, 앱 빌더를 이용하여 ‘조건부 가시성’ 을 통해 데이터가 안보이게 하는 등의 추가적인 기능들에 대해서는 다른 글을 통해서 설명하기로 한다.