ConnectedApp | メタデータ API 開発者ガイド

接続アプリケーション設定を表します。接続アプリケーションは、API を使用してアプリケーションを Salesforce と統合します。接続アプリケーションは、標準の SAML および OAuth プロトコルを使用して認証し、シングルサインオンと Salesforce API で使用するトークンを提供します。接続アプリケーションでは、標準の OAuth 機能に加え、Salesforce システム管理者がさまざまなセキュリティポリシーを設定したり、対応するアプリケーションを使用できるユーザを明示的に制御したりすることができます。Metadata メタデータ型を拡張し、その fullName 項目を継承します。

接続アプリケーションの権限セットを割り当てるには、SetupEntityAccess を使用します。

ファイルのサフィックスおよびディレクトリの場所

ConnectedApp コンポーネントのサフィックスは .connectedApp で、connectedApps フォルダに保存されます。

バージョン

ConnectedApp コンポーネントは、API バージョン 29.0 以降で使用できます。

項目

項目名	データ型	説明
attributes	ConnectedAppAttribute	接続アプリケーションのカスタム属性。
canvasConfig	ConnectedAppCanvasConfig	キャンバスアプリケーションとして公開されている場合の接続アプリケーションの設定オプション。
contactEmail	string	Salesforce がアプリケーション提供者またはそのサポートチームへの連絡に使用するメールアドレス。
contactPhone	string	Salesforce から連絡する必要がある場合に使用する電話番号。
description	string	アプリケーションの説明 (省略可能)。
iconUrl	string	将来の使用のために予約されています。
infoUrl	string	アプリケーションについての詳細が記載された Web ページの URL (省略可能)。
ipRanges	ConnectedAppIpRange	接続アプリケーションでのユーザの認証を必要とせずにアプリケーションにアクセス可能な IP アドレスの範囲を指定します。
label	string	アプリケーションの名前。
logoUrl	string	アプリケーションのロゴ (省略可能)。このロゴは、認証時にユーザに表示されるアプリケーションリストおよび同意ページのアプリケーションのエントリに表示されます。URL には HTTPS を使用し、ロゴは 125×200 ピクセル (高さ×幅) 以下にする必要があります。デフォルトは雲のロゴです。
mobileStartUrl	string	モバイルデバイスからアプリケーションにアクセスするときに、認証後、ユーザはこの URL に転送されます。URL を指定しない場合、ユーザは認証完了後アプリケーションのデフォルトのスタートページに転送されます。作成中の接続アプリケーションがキャンバスアプリケーションである場合は、この項目に値を入力する必要はありません。[キャンバスアプリケーションの URL] 項目には、接続アプリケーションからコールされる URL が含まれます。
oauthConfig	ConnectedAppOauthConfig	アプリケーションが Salesforce と通信する方法を指定します。
plugin	string	`Auth.ConnectedAppPlugin` を拡張してアプリケーションの動作をカスタマイズするカスタム Apex クラスの名前。
samlConfig	ConnectedAppSamlConfig	アプリケーションによるシングルサインオンの使用方法を制御します。
startUrl	string	モバイルデバイスからのアクセスでない場合、認証後、ユーザはこの URL に転送されます。URL を指定しない場合、ユーザは認証完了後アプリケーションのデフォルトのスタートページに転送されます。モバイルデバイスからアプリケーションにアクセスする場合、mobileStartUrl を参照してください。作成中の接続アプリケーションがキャンバスアプリケーションである場合は、この項目に値を入力する必要はありません。[キャンバスアプリケーションの URL] 項目には、接続アプリケーションからコールされる URL が含まれます。

ConnectedAppAttribute

SAML と ConnectedApp を併用する場合にカスタム属性を構成する項目名を表します。これらの値は、特定のサービスプロバイダに合わせて調整する必要があります。

項目名	データ型	説明
formula	string	属性の値。
key	string	属性の識別子。

ConnectedAppCanvasConfig

キャンバスアプリケーションとして公開されている場合の接続アプリケーションの設定オプション。

項目名	データ型	説明
accessMethod	AccessMethod (string 型の列挙)	キャンバスアプリケーションで OAuth 認証フローを開始する方法を示します。有効な値は、次のとおりです。 `Get` — OAuth 認証が使用され、サードパーティアプリケーションがユーザ情報にアクセスすることを許可するように求められます。このアクセスメソッドを使用する場合、キャンバスアプリケーションで OAuth 認証フローが開始されるようにする必要があります。 `Post` — OAuth 認証を使用しますが、システム管理者がキャンバスアプリケーションをインストールする場合、キャンバスアプリケーションはユーザのアクセスを暗黙的に許可します。したがって、サードパーティがユーザ情報にアクセスすることを許可するように求められることはありません。このアクセスメソッドを使用する場合、認証は直接キャンバスアプリケーションの URL に post 送信されます。
canvasUrl	string	キャンバスアプリケーションとして公開されたサードパーティアプリケーションの URL。
lifecycleClass	string	`Canvas.CanvasLifecycleHandler` Apex クラスの名前 (カスタムパラメータの制御にこのクラスを実装している場合)。この項目は、API バージョン 31.0 以降で使用できます。
locations	CanvasLocationOptions (string 型の列挙)	キャンバスアプリケーションを表示できる場所を示します。有効な値は、次のとおりです。 `Aura` — 今後��使用のために予約されています。 `AppLauncher` — 今後の使用のために予約されています。 `Chatter` — キャンバスアプリケーションを Chatter タブのアプリケーションナビゲーションリストに表示できます。 `ChatterFeed` — キャンバスアプリケーションを Chatter フィード項目として表示できます。 `MobileNav` — キャンバスアプリケーションを Salesforce アプリケーションのモバイルカードに表示できます。この値は API バージョン 31.0 以降で使用できます。 `None` — キャンバスアプリケーションをキャンバスアプリケーションのプレビューアでのみ表示できます。 `OpenCTI` — キャンバスアプリケーションを通話制御ツールに表示できます。 `PageLayout` — キャンバスアプリケーションをページレイアウトに表示できます。Salesforce アプリケーションで参照する場合、キャンバスアプリケーションはレコード詳細ページに表示されます。この値は API バージョン 31.0 以降で使用できます。 `Publisher` — キャンバスアプリケーションをグローバルアクションとして表示できます。 `ServiceDesk` — キャンバスアプリケーションを Salesforce コンソールのフッターまたはサイドバーに表示できます。 `UserProfile` — 今後の使用のために予約されています。 `Visualforce` — キャンバスアプリケーションを Visualforce ページに表示できます。
options	CanvasOptions (string 型の列挙)	キャンバスアプリケーションのパブリッシャーで [共有] ボタンとヘッダーを非表示にするかどうか、およびアプリケーションがキャンバス個人用アプリケーションかどうかを示します。有効な値は、次のとおりです。 `HideShare` — 関連するキャンバスアプリケーションのパブリッシャーで [共有] ボタンが非表示になります。 API バージョン 30.0 以降で利用できます。 `HideHeader` — 関連するキャンバスアプリケーションのパブリッシャーでヘッダーが非表示になります。 API バージョン 30.0 以降で利用できます。 `PersonalEnabled` — エンドユーザは、アプリケーションをキャンバス個人用アプリケーションとしてインストールできます。 API バージョン 32.0 以降で利用できます。
samlInitiationMethod	SamlInitiationMethod (string 型の列挙)	SAML シングルサインオン (SSO) を使用している場合、SSO フローを開始するプロバイダを示します。 `IdpInitiated` — ID プロバイダが開始します。Salesforce は、SSO フローを開始するための初期要求を行います。 `SpInitiated` — サービスプロバイダが開始します。キャンバスアプリケーションは、呼び出された後に SSO フローを開始します。 `None` — キャンバスアプリケーションは SAML SSO を使用していません。この項目は、API バージョン 31.0 以降で使用できます。

ConnectedAppIpRange

ユーザの認証を必要とせずにアプリケーションにアクセス可能な IP アドレスのリスト。

項目名	データ型	説明
description	string	この項目は、この範囲に対応するネットワークの部分など、範囲の目的を識別するために使用します。この項目は、API バージョン 31.0 以降で使用できます。
startAddress	string	IP 範囲の最初のアドレス (指定した値を含む)。
endAddress	string	IP 範囲の最後のアドレス (指定した値を含む)。

ConnectedAppOauthConfig

アプリケーションと Salesforce との通信方法を設定する項目名を表します。

項目名	データ型	説明
callbackUrl	string	Salesforce が OAuth 時にアプリケーションにコールバックするエンドポイントです。これは、OAuth `redirect_uri` です。
certificate	string	アプリケーションが証明書を使用する場合の PEM エンコード証明書文字列。
consumerKey	string	Salesforce で識別するためのコンシューマにより使用される値。OAuth 2.0 では `client_id` と呼ばれます。 API バージョン 32.0 以降では、この項目は編集可能です。設定した後の値は編集できません。値は、8 文字以上 (256 文字以下) の英数字 (特殊文字とスペースは不可) にする必要があります。組織で別の接続アプリケーションにすでに使用されている鍵を指定した場合、エラーになります。
consumerSecret	string	consumerKey と組み合わされ、コンシューマによって Salesforce での識別に使用される値。OAuth 2.0 では `client_secret` として参照されます。通常、この値は、接続アプリケーションを作成するときに Salesforce によって生成されます。ただし、項目は編集可能であるため、共有された秘密の値をカスタマイズできます。設定後、値はメタデータ API 要求では返されません。値は、8 文字以上 (256 文字以下) の英数字 (特殊文字とスペースは不可) にする必要があります。組織で別の接続アプリケーションにすでに使用されている秘密を指定した場合、エラーになります。この項目は、API バージョン 32.0 以降で使用できます。
idTokenConfig	ConnectedAppOauthIdToken	接続アプリケーションの OAuth 設定の ID トークン設定を指定します。API バージョン 43.0 以降で利用できます。
scopes	ConnectedAppOauthAccessScope (string 型の列挙)	この範囲は、接続アプリケーションを実行するユーザによって付与される権限です。メタデータをリリースする場合の有効値は次のとおりです。 `Address` — ログインユーザの住所へのアクセスを許可します (`Basic` をリリースする場合と同じ動作)。 `Api` — API を介したログインユーザのアカウントへのアクセスを許可します。 `Basic` — ID URL サービスへのアクセスを許可します (`Address`、`Email`、`Phone`、`Profile` をリリースする場合と同じ動作)。 `Chatter` — Chatter REST API リソースへのアクセスのみを許可します。 `CustomApplications` — Visualforce を使用したカスタムアプリケーションなどのカスタムアプリケーションへのアクセスを提供します。 `CustomPermissions` — 接続アプリケーションに関連付けられている組織のカスタム権限へのアクセスを許可し、現在のユーザで各権限が有効かどうかを示します。 `Email` — ログインユーザのメールアドレスへのアクセスを許可します (`Basic` をリリースする場合と同じ動作)。 `Full` — ログインユーザがアクセスできるすべてのデータへのアクセスを許可します。 `OfflineAccess` — ユーザがオフラインのときにアプリケーションがユーザのデータを操作し、更新トークンを取得することを許可します (`RefreshToken` をリリースする場合と同じ動作)。 `OpenID` — ログインユーザの OpenID Connect アプリケーションの一意の識別子へのアクセスを許可します。 `Phone` — ログインユーザの電話番号値へのアクセスを許可します (`Basic` をリリースする場合と同じ動作)。 `Profile` — ログインユーザのプロファイルへのアクセスを許可します (`Basic` をリリースする場合と同じ動作)。 `RefreshToken` — 更新トークンを受信できる場合に、それを返すことを指定します (`OfflineAccess` をリリースする場合と同じ動作)。 `Wave` — Analytics REST API リソースへのアクセスを許可します。API バージョン 35.0 以降で利用できます。 `Web` — Web で `access_token` を使用することを許可します。これには `visualforce` も含まれ、Visualforce ページへのアクセスが許可されます。メタデータを取得する場合の有効値は次のとおりです。 `Api` — API を介したログインユーザのアカウントへのアクセスを許可します。 `Basic` — ID URL サービスへのアクセスを許可し、`Address`、`Email`、`Phone`、`Profile` を含めます。 `Chatter` — Chatter REST API リソースへのアクセスのみを許可します。 `CustomApplications` — Visualforce を使用したカスタムアプリケーションなどのカスタムアプリケーションへのアクセスを許可します。 `Full` — ログインユーザがアクセスできるすべてのデータへのアクセスを許可します。 `OpenID` — ログインユーザの OpenID Connect アプリケーションの一意の識別子へのアクセスを許可します。 `RefreshToken` — 更新トークンを受信できる場合に、それを返すように指定します。`OfflineAccess` を許可する場合と同じです。 `Wave` — Analytics REST API リソースへのアクセスを許可します。API バージョン 35.0 以降で利用できます。 `Web` — Web で `access_token` を使用することを許可します。これには `visualforce` も含まれ、Visualforce ページへのアクセスが許可されます。
singleLogoutUrl	string	シングルログアウトエンドポイント。この URL は、ユーザが Salesforce からログアウトするときに Salesforce がログアウト要求を送信するエンドポイントです。

ConnectedAppOauthIdToken

接続アプリケーションの OAuth 設定の ID トークン設定を指定します。API バージョン 43.0 以降で利用できます。

項目名	データ型	説明
idTokenAudience	string	この ID トークンが対象とする利用者。値は、大文字と小文字を区別する文字列の配列です。利用者を指定しない場合、証明書利用者の OAuth 2.0 の `client_id` がデフォルトの利用者として返されます。それ以外の場合、他の利用者が `aud` 値の `client_id` で返されます。
idTokenIncludeAttributes	boolean	ID トークンに属性が含まれるかどうかを示します。
idTokenIncludeCustomPerms	boolean	ID トークンにカスタム権限が含まれるかどうかを示します。
idTokenIncludeStandardClaims	boolean	ID トークンに認証イベントに関する標準要求が含まれるかどうかを示します。
idTokenValidity	int	ID トークンの発行後、ID トークンが有効な期間。指定できる値は 1 ～ 720 分です。デフォルトは 2 分です。

ConnectedAppSamlConfig

アプリケーションによるシングルサインオンの使用方法を指定します。

項目名	データ型	説明
acsUrl	string	サービスプロバイダから取得するアサーションコンシューマサービス URL。
certificate	string	アプリケーションが証明書を使用する場合の PEM エンコード証明書文字列。
entityUrl	string	サービスプロバイダから取得するエンティティ ID。
encryptionCertificate	string	このページは、Shield プラットフォームの暗号化ではなく、従来の暗号化について書かれています。相違点メモサービスプロバイダへの SAML アサーションの暗号化に使用する証明書の名前。この証明書は、組織の [証明書と鍵の管理] リストに保存されます。API バージョン 30.0 以降で使用できます。
encryptionType	SamlEncryptionType (string 型の列挙)	このページは、Shield プラットフォームの暗号化ではなく、従来の暗号化について書かれています。相違点メモ Salesforce が ID プロバイダの場合、SAML 設定ではサービスプロバイダへの SAML アサーションの暗号化に使用する暗号化メソッドを指定できます。サービスプロバイダは、SAML アサーション内の暗号化メソッドを検出して復号化できるようにします。有効な値は、次のとおりです。 `AES_128` – 128 ビットの鍵。 `AES_256` – 256 ビットの鍵。 `Triple_Des` — トリプル DES アルゴリズム。 API バージョン 30.0 以降で利用できます。
issuer	string	SAML レスポンスを送信する URI。サービスプロバイダがこれを使用してレスポンスを送信する ID プロバイダを特定できます。API バージョン 29.0 以降で利用できます。
samlIdpSLOBinding	SamlIdpSLOBinding (string 型の列挙)	シングルログアウトに使用されるサービスプロバイダの SAML HTTP バインド種別。API バージョン 40.0 以降で利用できます。有効な値は、次のとおりです。 `PostBinding` `RedirectBinding`
samlNameIdFormat	SamlNameIdFormatType (string 型の列挙)	サービスプロバイダ (SP) が要求する、ユーザのシングルサインオン識別子の形式を示します。API バージョン 29.0 以降で利用できます。有効な値は、次のとおりです。 `Unspecified` — 形式は指定されません。これはデフォルトです。 `EmailAddress` — 件名種別がユーザの名前または統合 ID (SP の内部の ID) である場合に使用します。 `Persistent` — ユーザ ID および永続 ID の件名種別と併用します。 `Transient` — 件名種別がカスタム属性である場合に使用し、ユーザがログインするたびに変更される可能性があります。
samlSloUrl	string	接続アプリケーションのサービスプロバイダ (SP) の SAML シングルログアウトエンドポイント。このエンドポイントは、ユーザが Salesforce からログアウトするときに SAML の LogoutRequests と LogoutResponses が送信される場所です。このエンドポイントは SP によって提供されます。API バージョン 40.0 以降で利用できます。
samlSubjectCustomAttr	string	`samlSubjectType` が `CustomAttr` である場合、ここにカスタム値を含めます。それ以外の場合は、空のままにします。API バージョン 29.0 以降で利用できます。
samlSubjectType	SamlSubjectType (string 型の列挙)	ユーザのシングルサインオン識別子。有効な値は、次のとおりです。 `Username` — Salesforce ユーザ名。 `FederationId` — サービスプロバイダでのユーザの識別子。この値はサービスプロバイダから取得します。 `UserId` — Salesforce ユーザ識別子。 `PersistentID` — ID プロバイダおよびサービスプロバイダに固有の永続的で不透明な識別子。 `CustomAttr` — `samlSubjectCustomAttr` のカスタム項目値から取得する識別子。

宣言的なメタデータの定義のサンプル

組織の ConnectedApp メタデータをリリースまたは取得するために使用される、パッケージマニフェストの例を次に示します。

1<?xml version="1.0" encoding="UTF-8"?>
2<Package xmlns="http://soap.sforce.com/2006/04/metadata">
3    <types>
4        <members>PortalTestApp</members>
5        <name>ConnectedApp</name>
6    </types>
7    <version>29.0</version>
8</Package>

ConnectedApp コンポーネントの例を次に示します。

1<?xml version="1.0" encoding="UTF-8"?>
2<ConnectedApp xmlns="http://soap.sforce.com/2006/04/metadata">
3  <fullName>AConnectedApp</fullName>
4  <attributes>
5    <formula>$User.CompanyName</formula>
6    <key>companyName</key>
7  </attributes>
8  <contactEmail>joe@company.com</contactEmail>
9  <mobileStartUrl>https://m.connectedapp.company.com</mobileStartUrl>
10  <label>A ConnectedApp</label>
11  <oauthConfig>
12    <callbackUrl>https://callback.company.com</callbackUrl>
13    <scopes>Basic</scopes>
14    <scopes>Chatter</scopes>
15  </oauthConfig>
16  <samlConfig>
17    <acsUrl>http://acs.company.com</acsUrl>
18    <entityUrl>http://samlentityId.company.com</entityUrl>
19    <samlSubjectType>Username</samlSubjectType>
20  </samlConfig>
21  <startUrl>https://connectedapp.company.com</startUrl>
22  <ipRanges>
23    <endAddress>10.0.0.46</endAddress>
24    <startAddress>10.0.0.42</startAddress>
25  </ipRanges>
26  <ipRanges>
27    <endAddress>10.0.0.32</endAddress>
28    <startAddress>10.0.0.25</startAddress>
29  </ipRanges>
30</ConnectedApp>

使用方法

メタデータ API を使用して SAML が有効な接続アプリケーションを作成し、サービスプロバイダに [Idp-init のログイン URL] を設定する必要がある場合、次の 2 つのオプションがあります。

app パラメータにサービスプロバイダアプリケーション ID を次の形式で使用できます。この値は、Salesforce ユーザインターフェースに表示されます。[設定] から、[クイック検索] ボックスに「接続アプリケーション」と入力し、[接続アプリケーション] を選択してから、接続アプリケーションの名前をクリックして、その詳細ページを表示します。

1https://<Salesforce_base_URL>/idp/login?app=<app_id>

または、メタデータ API のみを使用して接続アプリケーションを設定する場合、サービスプロバイダアプリケーションの apiName パラメータを次の形式で使用できます。apiName パラメータは、メタデータ型から継承された fullName です。

1https://<Salesforce_base_URL>/idp/login?apiName=<fullName>