この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

はじめに
ISVforce クイックスタート
アプリケーションの設計と作成
パッケージの概要
管理パッケージで使用可能なコンポーネント
パッケージの API アクセスおよびダイナミック Apex アクセスについて
Group Edition と Professional Edition のアーキテクチャ上の考慮事項
接続アプリケーションの概要
接続アプリケーションの作成
接続アプリケーションの編集、パッケージ化、または削除
接続アプリケーションのインストール
接続アプリケーションの詳細の表示
接続アプリケーションの管理
接続アプリケーションの編集
接続アプリケーションの使用状況の監視
接続アプリケーションのアンインストール
環境ハブ
アプリケーションのパッケージ化とテスト
セキュリティレビューの合格
AppExchange での製品の公開
注文の管理
ライセンスの管理
無料トライアルの提供
顧客のサポート
アプリケーションのアップグレード
付録
用語集
PDF

接続アプリケーションの編集

使用可能なエディション: Salesforce Classic および Lightning Experience の両方
接続アプリケーションを作成可能なエディション: Group Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

接続アプリケーションをインストール可能なエディション: すべてのエディション

必要なユーザ権限
参照する 「アプリケーションのカスタマイズ」
作成、更新または削除する 「アプリケーションのカスタマイズ」および

「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
プロファイル、権限セット、およびサービスプロバイダの SAML 属性以外のすべての項目を更新する 「アプリケーションのカスタマイズ」
プロファイル、権限セット、およびサービスプロバイダの SAML 属性を更新する 「アプリケーションのカスタマイズ」および「すべてのデータの編集」
アンインストールする AppExchange パッケージのダウンロード」

接続アプリケーションの設定と権限を変更できます。

  1. [設定] から、[クイック検索] ボックスに「接続アプリケーション」と入力し、接続アプリケーションを管理するオプションを選択します。
  2. 変更するアプリケーション名の横にある [編集] をクリックします (接続アプリケーションの詳細ページのアプリケーションに関する情報を確認するには、アプリケーション名をクリックします)。
  • 次の OAuth ポリシーは、すべての OAuth 対応接続アプリケーションに使用できます。
    • [許可されているユーザ] により、アプリケーションを実行できるユーザが決まります。
      • すべてのユーザは自己承認可能: デフォルト。組織内のすべてのユーザがアプリケーションを自己認証できます。この設定では、各ユーザは、アプリケーションに初めてアクセスするときに、アプリケーションを承認する必要があります。
      • 管理者が承認したユーザは事前承認済み: 指定したプロファイルまたは権限セットのあるユーザにアクセスが制限されますが、これらのユーザはアクセスする前にアプリケーションを承認する必要がありません。Group Edition では、この設定によってすべてのユーザがアプリケーションにアクセスできなくなります。各プロファイルの [接続アプリケーションへのアクセス] リストを編集して、アプリケーションのプロファイルを管理します (Group Edition 以外)。各権限セットの [割り当てられた接続アプリケーション] リストを編集して、アプリケーションの権限セットを管理します。

      [すべてのユーザは自己承認可能] から [管理者が承認したユーザは事前承認済み] に切り替えると、アプリケーションに対して指定した権限セットまたはプロファイルに属するユーザを除き、現在そのアプリケーションを使用しているユーザのアクセスが失われます。

      警告

      ユーザのプロファイルまたは権限セットで「任意の API クライアントを使用」ユーザ権限が有効化されていると、[管理者が承認したユーザは事前承認済み] ポリシーをスキップできます。このユーザ権限は、「管理者が承認したアプリケーションのみ」組織権限が有効化されている場合にのみ使用できます。「任意の API クライアントを使用」ユーザ権限を使用すると、接続アプリケーションの設定でシステム管理者が承認したユーザを必要とし、「管理者が承認したアプリケーションのみ」組織権限が有効化されている場合でも、システム管理者が承認していないユーザがアプリケーションにアクセスして実行できます。この権限スキームを使用すると、短期間の契約者などの特定のユーザに接続アプリケーションへの一時的なアクセスを許可できます。

      メモ

    • [IP 制限の緩和] は、この接続アプリケーションのユーザに適用される IP 制限を指します。IP 範囲は、SAML 対応接続アプリケーションではなく OAuth 対応接続アプリケーションと連携します。システム管理者は、次のいずれかのオプションを選択して、これらの制限を強制またはスキップすることができます。
      • IP 制限を適用: デフォルト。このアプリケーションを実行しているユーザには、ユーザのプロファイルで設定された IP 範囲など、組織の IP 制限が適用されます。
      • IP 制限を 2 次要素で緩和: このアプリケーションを実行しているユーザは、次のいずれかの条件を満たす場合に、組織の IP 制限を迂回します。
        • ホワイトリストに登録された IP 範囲がアプリケーションに存在し、Web サーバの OAuth 認証フローを使用している。ホワイトリストに登録された IP からの要求のみが許可されます。
        • アプリケーションに IP 範囲のホワイトリストがなく、Web サーバまたはユーザエージェントの OAuth 認証フローを使用しており、ユーザが ID 確認を正常に完了する。
      • IP 制限の緩和: この接続アプリケーションを実行しているユーザには、IP 制限が適用されません。

      [セッションの設定] の [すべての要求でログイン IP アドレスの制限を適用] オプションが有効化されている場合、IP の緩和動作に影響があります。詳細は、「接続アプリケーションの IP 制限の緩和および IP の継続的な適用」を参照してください。

      メモ

    • [更新トークンポリシー] には、更新トークンの有効期間を指定します。更新トークンは、OAuth 対応接続アプリケーションで、ユーザにログイン情報の入力を要求することなく新しいセッションを取得するために使用されます。接続アプリケーションは更新トークンを交換するだけで新しいセッションを取得できます。システム管理者は、更新トークンポリシーを使用して更新トークンの使用可能期間を制御します。次のようなオプションがあります。
      • [更新トークンは取り消されるまで有効]。この設定は、デフォルトの動作です。ユーザまたはシステム管理者が取り消すまでトークンを無期限に使用できることを示します。トークンの取り消しは、ユーザの詳細ページの OAuth 接続アプリケーションか、[OAuth 接続アプリケーションの利用状況] レポートから行います。
      • [更新トークンを直ちに期限切れにする]。この設定は、トークンを即時無効にすることを指定します。ユーザはすでに発行されている現在のセッション (アクセストークン) を使用できますが、この更新トークンを使用して新しいセッションを取得することはできません。
      • [次で使用されていない更新トークンを期限切れにする n]。この設定では、指定された期間使用されなければトークンを無効にします。たとえば、項目値が 7 days と設定されている場合、更新トークンが 7 日間以内に新しいセッションを取得するために交換されなければ、その後、トークンの使用を試みても失敗します。トークンの期限が切れ、新しいセッションを生成できなくなります。更新トークンが 7 日以内に正常に使用されると、無操作期間の監視がリセットされ、トークンはその時点から 7 日間有効になります。
      • [次の時間が経過したら更新トークンを期限切れにする n]。この設定では、一定期間経過後に更新トークンを無効にします。たとえば、ポリシーが 1 day に設定されている場合、24 時間の間、更新トークンを新しいセッションの取得に使用できます。24 時間が経過すると、トークンを使用できなくなります。

      ユーザのセッションは使用していれば維持できます。その有効期間は、接続アプリケーション、ユーザプロファイル、または組織のセッション設定のタイムアウト値によって (この順序で) 定義されます。[更新トークンポリシー] は、発行された更新トークンの使用時にのみ評価され、ユーザの現在のセッションに影響を与えることはありません。更新トークンは、ユーザのセッションが期限切れになったか、使用できなくなったときにのみ必要になります。たとえば、[更新トークンポリシー]Expire refresh token after 1 hour に設定し、ユーザが 2 時間アプリケーションを使用した場合、1 時間後に認証が要求されることはありません。ユーザに再認証が要求されるのは、セッションの期限が切れ、クライアントが新しいセッションを取得するために更新トークンを交換しようとしたときです。

    • タイムアウト値は、OAuth 対応接続アプリケーションでのみ使用できます。この値は、接続アプリケーションセッションのアクセストークンの有効期限を設定します。値を設定しないか [なし] (デフォルト) を選択すると、ユーザプロファイル内のタイムアウト値が Salesforce で使用されます。プロファイルに値が設定されていない場合は、組織の [セッションの設定] のタイムアウト値が使用されます。
    • 接���アプリケーションの現在の権限もここにリストされます。
    接続アプリケーションが、署名要求認証を使用するキャンバスアプリケーションの場合、必ず次のようにします。
    • [許可されているユーザ][管理者が承認したユーザは事前承認済み] に設定します。
    • [期限切れの更新トークン][このアプリケーションの初回の使用時] に設定します。
    • プロファイルセットおよび権限セットにより、ユーザにアクセス権を付与します。
  • すべての接続アプリケーションにセッションレベルポリシーを利用できます。アプリケーションにアクセスするためのログイン時に、時間ベースのトークンの入力をユーザに要求するには、[高保証セッションが必要です] を選択します。
  • 基本情報は、すべての接続アプリケーションで使用できます。ただし、アプリケーションがキャンバスアプリケーションの場合は、この項目値は使用されません。代わりに、接続アプリケーションを作成したときに指定したキャンバスアプリケーション URL が使用されます。
    • 接続アプリケーションでシングルサインオンを使用する場合は、[開始 URL] が使用されます。この場合、ユーザが認証プロセスを開始するページに URL を設定します。この場所は、アプリケーション切り替えメニューにも表示されます。
    • [モバイル開始 URL] は、モバイルデバイスからアプリケーションにアクセスするときに特定の場所にユーザを転送するために使用されます。
  • PIN 保護を適用するモバイル接続アプリケーションに、モバイルアプリケーション設定を利用できます。
    • [次の時間が経過したら PIN を要求] は、アプリケーションがアイドル状態になってから、アプリケーションがロックされるまでの時間を指定します。ロックされた場合、続行するには PIN の入力が必要になります。使用できる値は、なし (ロックなし)、1、5、10、および 30 分です。このポリシーは、対応する [PIN の文字数] が設定されている場合にのみ適用されます。ポリシーの適用は、接続アプリケーションが行います。Salesforce Mobile SDK を使用して作成されたアプリケーションでは、このポリシーを適用できます。または、アプリケーションが UserInfo サービスからポリシーを読み込んで適用することもできます。

      この設定によって、ユーザのセッションが無効化されることはありません。無操作によりセッションが期限切れになることはありますが、このポリシーでは、現在のセッションを継続して使用できるように、ユーザに PIN の入力を要求するだけです。

      メモ

    • [PIN の文字数] は、認証確認用に送信される識別番号の長さを設定します。4 ~ 8 桁 (両端を含む) の長さが有効です。
  • カスタム属性は、すべての接続アプリケーションで使用できます。開発者は、カスタム SAML メタデータまたはカスタム OAuth 属性を接続アプリケーションに設定できます。システム管理者は、これらの属性の削除や編集、カスタム属性の追加ができます。システム管理者によって削除、編集、または追加された属性は、開発者によって設定された属性を上書きします。詳細は、接続アプリケーションの編集、パッケージ化、または削除を参照してください。

カスタム接続アプリケーションハンドラ

Apex を使用して接続アプリケーションの動作をカスタマイズします。ConnectedAppPlugin Apex クラスを拡張するクラスを作成し、そのクラスを接続アプリケーションに関連付けます。このクラスは、新しい認証プロトコルをサポートしたり、ビジネスプロセスにメリットがある形でユーザ属性に応答することができます。

ユーザアカウントの代わりにプラグインが実行されます。[別のユーザとして実行] 項目で、プラグインのユーザを選択します。ユーザが接続アプリケーションに対して認証されていない場合は、authorize メソッドを使用して実行します。詳細は、『Force.com Apex コード開発者ガイド』ConnectedAppPlugin クラスを参照してください。