¿Cómo comprobar los permisos CRUD del usuario para un objeto en Salesforce?

Question

Según un requisito, tengo que cambiar el propietario de una cuenta si el usuario no tiene acceso de lectura a un tercer objeto.

Necesito una funcionalidad similar al método isAccessible() de Describir el resultado del campo, pero solo está disponible para el usuario que ha iniciado sesión actualmente.

¿Hay alguna otra manera de verificar los permisos CRUD del usuario para un objeto en código Apex?

Answer 1

De la documentación. Parece que quieres usar ejecutar anónimamente.

Apex generalmente se ejecuta en el contexto del sistema; es decir, los permisos actuales del usuario, la seguridad a nivel de campo y las reglas de uso compartido no se tienen en cuenta durante la ejecución del código. Las únicas excepciones a esta regla son el código Apex que se ejecuta con la llamada executeAnonymous. executeAnonymous siempre se ejecuta con todos los permisos del usuario actual. Para obtener más información sobre executeAnonymous, vea Bloques anónimos.

Aunque Apex no impone permisos de nivel de objeto y de campo de forma predeterminada, puede aplicar estos permisos en su código llamando explícitamente a los métodos de resultado de descripción de sObject (de Schema.DescribeSObjectResult) y el campo describe los métodos de resultado (de Schema.DescribeFieldResult) que verifican los niveles de permiso de acceso del usuario actual. De esta forma, puede verificar si el usuario actual tiene los permisos necesarios, y solo si tiene suficientes permisos, puede realizar una operación DML específica o una consulta.

Por ejemplo, puede llamar a los métodos isAccessible, isCreateable o isUpdateable de Schema.DescribeSObjectResult para verificar si el usuario actual ha leído, creado o actualizado el acceso a un sObject, respectivamente. De forma similar, Schema.DescribeFieldResult expone estos métodos de control de acceso a los que puede llamar para verificar el acceso de lectura, creación o actualización actual del usuario para un campo. Además, puede llamar al método isDeletable proporcionado por Schema.DescribeSObjectResult para verificar si el usuario actual tiene permiso para eliminar un sObject específico.

http://www.salesforce.com/us/developer/docs/apexcode/index_Left.htm#StartTopic=Content/apex_classes_perms_enforcing.htm#kanchor431

Answer 2

Ha intentado el método ?

Algo similar (no verificado):

User u = [SELECT Id FROM User WHERE Name='John Doe']; 

System.runAs(u) { 
    if (Schema.sObjectType.Contact.fields.Email.isAccessible()) { 
    // do something 
    } 
} 

Answer 3

me escribió un artículo sobre esto en mi blog. Hay una característica que acaba de lanzarse en la versión 24.0 de la API (Spring Release) que le permitirá hacer esto de manera individual para cada registro.

Aquí está el enlace a la entrada de blog que entra en detalles: How to tell if a user has access to a record

Answer 4

No se debe confundir registro de acceso al nivel de CRUD - el segundo es la capacidad para que un usuario Crear, Leer, Actualice o Elimine un objeto en general, independientemente de las reglas de uso compartido, etc. que puedan afectar el acceso del usuario a un registro en particular.

Para comprobar si un usuario puede crear (p.Contactos) en general, sólo tiene que utilizar

Schema.sObjectType.Contact.isCreateable() 

(devuelve true o false)

Answer 5

La clase DescribeSObjectResult tiene métodos para el control de CRUD.

E.g. esto le permite probar si el usuario actual puede o no actualizar el objeto de la cuenta en general.

Schema.DescribeSObjectResult drSObj = Schema.sObjectType.Account; 
Boolean thisUserMayUpdate = drSObj.isUpdateable(); 

@ John De Santiago: su artículo cubre acceso a nivel de registro en lugar de CRUD objeto (= acceso a nivel de objeto)