一. Profile

Profile可以理解成当前用户的简档，主要用来设置表字段权限以及系统相关权限的配置。比如IP范围，是否允许管理/查看 report，是否允许访问某个表，某个字段。我们可以看到，它控制的是功能性以及系统性的配置项。

Profile项目中常用的配置项包括但不限于：

• 配置app以及tab的可见性
• 配置表的访问性(C/R/U/D/View All/Modify All)以及字段的可见性(Visible/Read Only)
• 配置Apex Class以及Visualforce Page的访问性
• 配置表对应访问到的Page Layout(UI)以及可访问到表的 Record Type
• 配置当前Profile允许登录使用的IP范围
• 配置一些系统权限（API Enabled / Export Report / Manage Report等）
• 配置session以及password策略等。

二. Permission Set

举个例子，两个 Sales Manager相同的Profile，他们拥有同样的权限，但是某个 Manager的user需要协作其他的事情，需要扩充其他的表的权限，但只是这个user有扩大权限，这个Profile的其他user还要和原来权限相同，那如何处理呢？ 这个时候就需要用到了 Permission Set。一言以蔽之：Permission Set用于扩大user的权限，使相同的Profile的user也可以拥有着不同的权限控制来更加灵活的控制权限。

虽然Permission Set控制权限比Profile更细节更灵活(一个user可以设置多个 permission set，权限进行扩大化取并集。如果这个user拥有两个 permission set， permission set分别对 Account拥有只读和创建权限，则当前user会拥有这两个权限)，但是不代表所有 Profile的功能，permission set都可以控制。permission set相比profile，包括但不限于以下的功能无法做到：

• 无法设置 login IP range
• 无法设置表对应的 page layout

三. Permission Set Group

Permission Set固然可以设置很细致，但是当维度特别细节时，每个user都要设置一系列的permission set着实很麻烦，也很难进行管理，salesforce推出了 Permission Set Group来可以对Permission Set进行集合。