Erstgespräch buchen
Salesfuchs Logo Salesfuchs
Erstgespräch buchen

Salesforce Permission Sets: Berechtigungen effizient verwalten

Meistern Sie Permission Sets & Groups in Salesforce: Praktisches Setup für mittelständische Unternehmen mit Best Practices für Admins.

· · 5 min Lesezeit
Salesforce Permission Sets: Berechtigungen effizient verwalten
Permission Sets ermöglichen granulare Zugriffskontrolle ohne Umwege über Profile.

In Salesforce ist das Berechtigungsmanagement der Schlüssel zu einem sicheren und funktionalen System. Als Administrator tragen Sie die Verantwortung, jedem Nutzer genau die Rechte zuzuweisen, die er für seine Aufgaben benötigt – ohne unnötige Risiken einzugehen. Profile legen die Basis, doch Permission Sets und Permission Set Groups bieten Ihnen die Flexibilität, die Sie brauchen, um ein mittelständisches Unternehmen effizient zu steuern. Ich zeige Ihnen, wie Sie diese Werkzeuge optimal nutzen, welche Best Practices Sie beachten sollten und wie Sie mit einem soliden Setup typische Herausforderungen meistern. Lassen Sie uns gemeinsam Ordnung ins Chaos bringen und Ihr Salesforce auf die nächste Stufe heben.

Ein gut organisiertes Berechtigungsmanagement ist der unsichtbare Motor eines erfolgreichen Systems. – Peter Drucker

Permission Sets: Flexible Rechteverwaltung

Permission Sets, auch Berechtigungssätze genannt, sind Erweiterungen zu Profilen. Während ein Profil die grundlegenden Rechte eines Nutzers festlegt und nur einmal pro Nutzer zugewiesen wird, können Sie einem Nutzer mehrere Permission Sets hinzufügen. Das macht sie perfekt, um spezifische Zugriffe zu gewähren – sei es für temporäre Projekte, zusätzliche Funktionen oder Ausnahmen. Stellen Sie sich vor, ein Vertriebsmitarbeiter benötigt kurzfristig Zugriff auf Marketing-Berichte: Ein Permission Set löst das, ohne das Profil zu ändern. Sie können Rechte für Objekte wie Accounts, Felder wie Umsatz oder Funktionen wie Einstein Analytics freischalten.

Ein großer Pluspunkt ist ihre Wiederverwendbarkeit. Ein Permission Set wie Vertrieb_Berichte_View kann mehreren Nutzern zugeteilt werden, was die Verwaltung vereinfacht. Seit dem Winter ‘22-Release können Sie sogar Ablaufdaten setzen – ideal für Vertretungen oder zeitlich begrenzte Projekte. Gehen Sie dazu unter Setup > Benutzer > Permission Sets > [Set-Name] > Zuweisungen mit Ablaufdatum einstellen. So behalten Sie die Kontrolle, ohne ständig manuell eingreifen zu müssen.

Permission Set Groups: Zügige Zuweisung

Permission Set Groups sind ein mächtiges Werkzeug, um mehrere Permission Sets zu bündeln. Sie vereinfachen die Verwaltung, indem Sie Rechte nach Rollen oder Abteilungen gruppieren. Anstatt jedem Vertriebsmitarbeiter einzeln die Sets Account_Editor und Opportunity_Manager zuzuweisen, erstellen Sie eine Gruppe namens Sales_Team, die beide enthält, und weisen diese zu. Das spart Zeit und reduziert Fehler. Permission Set Groups richten sich nach Jobrollen, nicht nach der Salesforce-Rollenhierarchie, was sie besonders flexibel macht.

Die technische Umsetzung läuft über das PermissionSetGroupComponent-Objekt, das die Sets mit der Gruppe verknüpft, und das PermissionSetAssignment-Objekt, das die Zuweisung an Nutzer regelt. Für ein mittelständisches Unternehmen ist das ideal, um Abteilungen wie Vertrieb, Marketing oder Support abzubilden. Wenn ein neuer Mitarbeiter einsteigt, weisen Sie einfach die passende Gruppe zu – fertig. Das sorgt für Konsistenz und Übersicht, selbst in komplexeren Orgs.

💡
Praxistipp: Benennen Sie Gruppen klar nach Abteilungen oder Funktionen, z. B. Marketing_Team_Campaigns, damit jeder sofort weiß, wofür sie stehen.

Mehr Detailinfos zu Vor- und Nachteilen von Permission Set Groups finden Sie in folgendem englischsprachigen Artikel: Mehr dazu: The Ins and Outs of Permission Set Groups

Beispiel Setup für Standard-Objekte

Für ein mittelständisches Unternehmen mit Standardobjekten wie Accounts, Contacts, Opportunities, Campaigns und Cases schlage ich folgendes Setup vor. Es kombiniert Permission Sets und Groups, um die Verwaltung effizient und sicher zu gestalten.

Vertrieb

  • Permission Sets:
    • Account_Editor: Erlaubt das Erstellen und Bearbeiten von Accounts.
    • Opportunity_Manager: Ermöglicht das Verwalten und Schließen von Opportunities.
    • Lead_Converter: Gestattet das Konvertieren von Leads in Accounts und Contacts.
  • Permission Set Group: Sales_Team – Enthält alle drei Sets, ideal für Vertriebsmitarbeiter.

Marketing

  • Permission Sets:
    • Campaign_Manager: Erlaubt das Erstellen und Verwalten von Campaigns.
    • Report_Viewer: Gewährt Zugriff auf Berichte, z. B. zur Kampagnenleistung.
    • Content_Editor: Ermöglicht das Bearbeiten von Marketing-Inhalten in Custom Objects.
  • Permission Set Group: Marketing_Team – Bündelt die Sets für Marketingmitarbeiter.

Support

  • Permission Sets:
    • Case_Manager: Erlaubt das Erstellen und Bearbeiten von Cases.
    • Knowledge_Editor: Gestattet das Verwalten von Knowledge-Artikeln.
    • Chat_Support: Freischaltung für Live-Agent-Chats.
  • Permission Set Group: Support_Team – Kombiniert die Sets für Support-Agenten.

Dieses Setup nutzt die Stärke von Permission Sets für spezifische Rechte und Groups für eine rollenbasierte Zuweisung. Neue Mitarbeiter erhalten einfach die passende Gruppe, und temporäre Zugriffe – etwa für ein Projekt – können mit einzelnen Sets und Ablaufdaten geregelt werden.

💡
Praxistipp: Weisen Sie neuen Mitarbeitern zunächst nur die Gruppe zu und ergänzen Sie bei Bedarf einzelne Sets, statt alles manuell zu kombinieren.

Best Practices für Permission Sets und Groups

Ein effizientes Berechtigungsmanagement lebt von klaren Regeln. Hier sind die Kernpunkte, die Sie beachten sollten. Folgen Sie dem Prinzip der geringsten Privilegien: Geben Sie nur die Rechte, die ein Nutzer wirklich braucht. Das minimiert Risiken und schützt sensible Daten. Wenn ein Vertriebsmitarbeiter nur Opportunities bearbeiten soll, braucht er keinen vollen Zugriff auf Accounts – ein Set wie Opportunity_Manager reicht.

Führen Sie regelmäßige Prüfungen durch, etwa vierteljährlich. Gehen Sie unter Setup > Benutzer > Permission Sets und überprüfen Sie, welche Zuweisungen noch aktuell sind. Veraltete Sets oder Gruppen sollten entfernt werden, um Sicherheitslücken zu schließen. Das gilt besonders für temporäre Zugriffe, die oft vergessen werden. Nutzen Sie dabei auch die Berichte unter Setup > Berichte > Administrative Berichte > Permission Set Zuweisungen.

💡
Praxistipp: Planen Sie Prüfungen fest ein, z. B. zum Quartalsende, und dokumentieren Sie Änderungen, um den Überblick zu behalten.

Für besonders komplexe Orgs, gibt es Tools, die bei der Rechteverwaltung helfen. Etwa das Snapshot Org Management von metazoa. In folgendem Artikel bekommen Sie einen guten Einblick, wie das Salesforce-Rechtemanagement damit aussieht: Mehr dazu: Best Practices for Profile and Permission Set Management

Was bleibt den Profilen vorbehalten?

Permission Sets sind flexibel, aber leider lässt sich noch nicht alles damit regeln. Einige Einstellungen sind exklusiv für Profile reserviert. Dazu gehören Login-Zeiten und IP-Beschränkungen, einstellbar unter Setup > Profile > [Profilname] > Login Stunden. Wenn ein Team nur von 9 bis 17 Uhr arbeiten soll, müssen Sie das im Profil festlegen. Ebenso steuern Profile die Standard-Apps, die beim Login erscheinen – konfigurierbar unter Setup > Profile > [Profilname] > Anwendungen.

In der Experience Cloud sind Sharing Sets und Page Layouts ebenfalls profilgebunden. Das bedeutet, dass Sie Profiles nicht komplett durch Sets und Groups ersetzen können. Sie bilden die Basis, während Permission Sets die Feinabstimmung übernehmen. Nutzen Sie diese Kombination bewusst, um Ihr System schlank und sicher zu halten.

💡
Praxistipp: Passen Sie Login-Zeiten im Profil an, wenn Sie Remote-Arbeit einschränken wollen, und ergänzen Sie mit Sets für zusätzliche Rechte.

Automatisierung für mehr Effizienz

Manuelle Zuweisungen können zeitaufwändig sein, besonders in wachsenden Unternehmen. Hier kommt Automatisierung ins Spiel. Mit User Access Policies – verfügbar in Enterprise- und Unlimited-Editionen – können Sie Permission Sets und Groups basierend auf Nutzerattributen wie Abteilung oder Titel automatisch vergeben oder entziehen. Gehen Sie dazu unter Setup > Sicherheit > User Access Policies und definieren Sie Kriterien wie Wenn Abteilung = Vertrieb, dann Sales_Team zuweisen.

Alternativ nutzen Sie Flows oder Apex-Trigger, um Zuweisungen zu steuern. Ein Flow könnte etwa prüfen, ob ein Nutzer dem Marketing-Team beitritt, und dann die Marketing_Team-Gruppe zuweisen. Das reduziert Fehler und spart Ihnen wertvolle Zeit.

💡
Praxistipp: Testen Sie Automatisierungen erst in einer Sandbox, um sicherzugehen, dass die Zuweisungen wie geplant funktionieren.

Häufige Fragen

Was ist der Unterschied zwischen einem Permission Set und einem Profil in Salesforce?

Profile definieren die Basiszugriffe eines Nutzers und können nicht gestapelt werden. Permission Sets erweitern diese Rechte gezielt und lassen sich beliebig kombinieren, was deutlich flexibler ist.

Wann sollte ich Permission Set Groups statt einzelner Permission Sets verwenden?

Sobald Sie mehrere Permission Sets regelmäßig zusammen vergeben, lohnt sich eine Permission Set Group. Das reduziert Verwaltungsaufwand und minimiert Fehler bei der Rechtevergabe.

Wie viele Permission Sets kann ich einem Benutzer zuweisen?

Technisch gibt es keine harte Obergrenze, aber zu viele Permission Sets erschweren das Troubleshooting erheblich. Eine saubere Struktur mit wenigen, klar benannten Sets ist langfristig wartbarer.

Kann ich Permission Sets über Deployments von Sandbox zu Production übertragen?

Ja, Permission Sets sind Metadaten und können per Change Set oder SFDX deployt werden. Die Zuweisung zu Benutzern erfolgt jedoch manuell nach dem Deployment.

Nächste Schritte

Ein starkes Berechtigungsmanagement kombiniert klare Profile mit gezielten Permission Sets und gut organisierten Groups. Starten Sie mit einer Basis aus Standardprofilen für Ihre Hauptrollen. Erstellen Sie dann Permission Sets wie Account_Editor oder Campaign_Manager für spezifische Zugriffe und bündeln Sie diese in Gruppen wie Sales_Team oder Support_Team. Prüfen Sie vierteljährlich Ihre Zuweisungen und nutzen Sie Automatisierungen, um den Aufwand gering zu halten. So schaffen Sie ein System, das sicher, flexibel und skalierbar ist. Wenn Sie Unterstützung beim Aufbau oder der Optimierung brauchen, kontaktieren Sie mich – ich helfe Ihnen, Ihr Salesforce effizient und zukunftssicher zu gestalten.

Lassen Sie uns Ihren nächsten Salesforce-Schritt planen

Kostenloses Erstgespräch buchen
Salesforce-Administration
Teilen:
Julian Schiemann

Geschrieben von

Julian Schiemann

Senior IT-Berater mit über 10 Jahren Praxis-Erfahrung mit CRM Systemen. Mein Steckenfuchs: Klares & funktionales Design, effiziente Workflows und Beratung auf Augenhöhe.

11x Salesforce zertifiziert 10+ Jahre CRM-Erfahrung 50+ Projekte
Mehr über mich LinkedIn