この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。

接続アプリケーションの動作の編集

接続アプリケーションの設定と権限を変更して、その動作を制御します。たとえば、組織で実行しているすべての接続アプリケーションの更新トークンと、セッションレベルのポリシーを変更できます。OAuth 対応の接続アプリケーションの OAuth ポリシーを変更できます。また、Apex を使用して接続アプリケーションの動作をカスタマイズすることもできます。

使用可能なエディション: Salesforce Classic および Lightning Experience の両方

接続アプリケーションを作成可能なエディション: Group Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

接続アプリケーションをインストール可能なエディション: すべてのエディション

必要なユーザ権限
接続アプリケーションを参照、作成、更新または削除する	「アプリケーションのカスタマイズ」および「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
プロファイル、権限セット、およびサービスプロバイダの SAML 属性以外の��べての項目を更新する	「アプリケーションのカスタマイズ」および「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
プロファイル、権限セット、およびサービスプロバイダの SAML 属性を更新する	「アプリケーションのカスタマイズ」および「すべてのデータの編集」
接続アプリケーションをインストールおよびアンインストールする	「アプリケーションのカスタマイズ」および「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
パッケージ化された接続アプリケーションをインストールおよびアンインストールする	「アプリケーションのカスタマイズ」および「すべてのデータの編集」または「接続アプリケーションの管理」のいずれかおよび「AppExchange パッケージのダウンロード」

アプリケーションのリストを開きます。
- Salesforce Classic では、[設定] から、[クイック検索] ボックスに「アプリケーション」と入力し、[アプリケーション] を選択し、選択アプリケーションの名前をクリックします。
- Lightning Experience では、[設定] から、[クイック検索] ボックスに「アプリケーション」と入力し、[アプリケーションマネージャ] を選択し、をクリックして [編集] を選択します。

基本情報

基本情報はキャンバスアプリケーション以外のすべての接続アプリケーションに適用されます。

開始 URL — シングルサインオンを使用する接続アプリケーション用。ユーザの認証プロセスを開始するページの URL を設定します。この URL はアプリケーションメニューにも表示されます。
モバイル開始 URL — モバイル接続アプリケーション用。モバイルデバイスからアプリケーションにアクセスするときに特定の場所にユーザを転送します。

使用するアプリケーションがキャンバスアプリケーションの場合、接続アプリケーションでは [開始 URL] 項目が無視されます。代わりに、接続アプリケーションの作成時に指定したキャンバスアプリケーションの URL が使用されます。

OAuth ポリシー

接続アプリケーションが OAuth 対応の場合、OAuth ポリシーが適用されます。

[許可されているユーザ] ポリシーで、アプリケーションを実行できるユーザを決定します。
- すべてのユーザは自己承認可能 — デフォルト。組織内のすべてのユーザがアプリケーションを認証できます。ユーザはアプリケーションに初めてアクセスするときに、アプリケーションを承認する必要があります。
- 管理者が承認したユーザは事前承認済み — 適切なプロファイルまたは権限セットを持つユーザのみがアプリケーションにアクセスできます。このユーザは、アプリケーションにアクセスする前に承認する必要はありません。各プロファイルの [接続アプリケーションへのアクセス] リストを編集して、アプリケーションのプロファイルを管理します。各権限セットの [割り当てられた接続アプリケーション] リストを編集して、アプリケーションの権限セットを管理します。この設定は、Group Edition では使用できません。
[すべてのユーザは自己承認可能] から [管理者が承認したユーザは事前承認済み] に切り替えると、ユーザ権限でその接続アプリケーションが特に承認されていないかぎり、アプリケーションを使用しているユーザはアクセス権を失います。
警告

ユーザが「任意の API クライアントを使用」権限を持っている場合は、[管理者が承認したユーザは事前承認済み]に設定されていても、任意の接続アプリケーションにアクセスできます。「任意の API クライアントを使用」権限を使用するときは、注意が必要です。この権限は、限られた数のシステム管理者を対象とします。
メモ
[IP 制限の緩和] ポリシーで、アプリケーションへのユーザのアクセスを IP 範囲で制限するかどうかを決定します。Salesforce システム管理者は、次のいずれかのオプションを選択して、IP 制限を適用またはスキップすることができます。
- IP 制限を適用 — デフォルト。このアプリケーションを実行しているユーザには、ユーザのプロファイルで設定された IP 範囲などの組織の IP 制限が適用されます。
- IP 制限を 2 次要素で緩和 — このアプリケーションを実行しているユーザは、次のいずれかの条件を満たす場合に、組織の IP 制限をスキップします。
  - アプリケーションに IP 範囲のホワイトリストが存在し、アプリケーションが Web サーバの OAuth 認証フローを使用している。ホワイトリストに登録された IP からの要求のみが許可されます。
  - アプリケーションに IP 範囲のホワイトリストがなく、アプリケーションが Web サーバまたはユーザエージェントの OAuth 認証フローを使用しており、ユーザが ID 確認を正常に完了する。
- IP 制限の緩和 — このアプリケーションを実行しているユーザには、組織の IP 制限は適用されません。
[すべての要求でログイン IP アドレスの制限を適用] が有効化されている場合、IP の緩和動作に影響があります。詳細は、「接続アプリケーションの IP 制限の緩和および IP の継続的な適用」を参照してください。
メモ
[更新トークンポリシー] で、認証時に新しいアクセストークンを取得するために更新トークンを提供するかどうかを決定します。更新トークンを提供する場合、ユーザはアクセストークンの期限が切れたときに再認証することなく OAuth 対応の接続アプリケーションに引き続きアクセスできます。システム管理者はセッションタイムアウト値を使用してアクセストークンの有効期間を制限します。接続アプリケーションは、更新トークンをアクセストークンと交換して新しいセッションを開始します。Salesforce システム管理者は、次のいずれかの更新トークンポリシーを選択できます。
- 更新トークンは取り消されるまで有効 — デフォルト。ユーザまたは Salesforce システム管理者が取り消さない限り、更新トークンを無期限に使用できます。トークンの取り消しは、ユーザの詳細ページの [OAuth 接続アプリケーション]、または [設定] の [接続アプリケーションの OAuth の利用状況] ページから行います。
- 更新トークンを直ちに期限切れにする — 更新トークンは直ちに無効になります。ユーザはすでに発行されている現在のセッション (アクセストークン) を使用できますが、アクセストークンの期限が切れたときに新しいセッションを取得することはできません。
- 次で使用されていない更新トークンを期限切れにする n — 更新トークンは、使用されている限り、指定された期間内で有効です。たとえば、7 日間に設定されている場合、更新トークンが 7 日以内に新しいセッションのために交換されなければ、次のトークン使用の試行は失敗します。期限切れのトークンは新しいセッションを生成できません。更新トークンが 7 日以内に交換された場合、そのトークンはさらに次の 7 日間有効です。無操作状態の監視期間もリセットされます。
- 次の時間が��過したら更新トークンを期限切れにする n — 更新トークンは一定期間有効です。たとえば、ポリシーで 1 日に設定されている場合、ユーザは 24 時間のみ新しいセッションを取得できます。
更新トークンポリシーは、発行された更新トークンの使用時にのみ評価され、ユーザの現在のセッションに影響を与えることはありません。更新トークンは、ユーザのセッションが期限切れになったか、使用できないときにのみ必要になります。たとえば、1 時間後に更新トークンの期限が切れるように更新トークンポリシーを設定し、ユーザがアプリケーションを 2 時間使用する場合、1 時間後にユーザが認証を強制されることはありません。ただし、セッションの期限が切れ、クライアントが新しいセッションのための更新トークンの交換を試みた場合、ユーザは再度認証を要求されます。

接続アプリケーションが、署名要求認証を使用するキャンバスアプリケーションの場合、必ず次のようにします。

[許可されているユーザ] を [管理者が承認したユーザは事前承認済み] に設定します。
[期限切れの更新トークン] を [更新トークンを直ちに期限切れにする] に設定します。
プロファイルセットおよび権限セットにより、ユーザにアクセス権を付与します。

セッションポリシー

セッションポリシーはすべての接続アプリケーションに適用されます。

セッションタイムアウト値 — アクセストークンを期限切れにしてユーザの接続アプリケーションセッションを終了するタイミングを指定します。ユーザのセッションの持続時間は、接続アプリケーション、ユーザプロファイル、組織のセッション設定のタイムアウト値をこの順番で設定することで制御できます。値を設定しないか [なし] (デフォルト) を選択した場合、Salesforce はユーザのプロファイルのタイムアウト値を使用します。プロファイルにタイムアウト値が指定されていない場合、Salesforce は組織の [セッションの設定] のタイムアウト値を使用します。
接続アプリケーションの現在の権限も組織の [セッションの設定] にリストされます。
高保証セッションが必要 — ユーザがアプリケーションにログインしてアクセスするときに、時間ベースのトークンの入力をユーザに要求します。

モバイルアプリケーション設定

モバイルアプリケーション設定は、PIN 保護を適用するモバイル接続アプリケーションに適用されます。

次の時間が経過したら PIN を要求 — アプリケーションがアイドル状態になってから、アプリケーションがロックされるまでの時間を指定します。ロックされた場合、続行するには PIN の入力が必要になります。使用できる値は、なし (ロックなし)、1、5、10、および 30 分です。このポリシーは、対応する PIN の文字数が設定されている場合にのみ適用されます。ポリシーの適用は、接続アプリケーションが行います。Salesforce Mobile SDK を使用して作成されたアプリケーションでは、このポリシーを適用できます。または、アプリケーションが UserInfo サービスからポリシーを読み込んで適用することもできます。
この設定によって、ユーザのセッションが無効化されることはありません。無操作によりセッションが期限切れになることはありますが、このポリシーでは、現在のセッションを継続して使用できるように、ユーザに PIN の入力を要求するだけです。
メモ
PIN の文字数 — 認証確認用に送信される識別番号の長さを設定します。4 ～ 8 桁 (両端を含む) の長さが有効です。

カスタム属性は、すべての接続アプリケーションで使用できます。開発者は、カスタム SAML メタデータまたはカスタム OAuth 属性を接続アプリケーションに設定できます。Salesforce システム管理者は、属性の削除や編集、カスタム属性の追加を実行できます。システム管理者によって削除、編集、または追加された属性は、開発者によって設定された属性を上書きします。詳細は、「Salesforce Classic の接続アプリケーションの編集、再設定、または削除」を参照してください。

カスタム接続アプリケーションハンドラ

Apex を使用して接続アプリケーションの動作をカスタマイズします。ConnectedAppPlugin Apex クラスを拡張するクラスを作成し、そのクラスを接続アプリケーションに関連付けます。このクラスは、新しい認証プロトコルをサポートしたり、ビジネスプロセスにメリットがある形でユーザ属性に応答することができます。

ユーザアカウントの代わりにプラグインが実行されます。[別のユーザとして実行] 項目で、プラグインのユーザを選択します。ユーザが接続アプリケーションに対して認証されていない場合は、authorize メソッドを使用して実行します。詳細は、『Apex コード開発者ガイド』の ConnectedAppPlugin クラスを参照してください。

ユーザプロビジョニング設定

ユーザプロビジョニングを有効化 — 接続アプリケーションのユーザプロビジョニングを行って、Salesforce 組織内のユーザに基づいて接続アプリケーションのユーザアカウントを作成、更新、削除できます。Salesforce が提供するウィザードに従って、ユーザプロビジョニングの設定または設定の更新を実行できます。

ISVforce ガイド