ConnectedApp | メタデータ API 開発者ガイド

Metadata ��タデータ型を拡張し、その fullName 項目を継承します。

ファイルのサフィックスおよびディレクトリの場所

ConnectedApp コンポーネントのサフィックスは .connectedApp で、connectedApps フォルダに保存されます。

バージョン

ConnectedApp コンポーネントは、API バージョン 29.0 以降で使用できます。

項目

項目名	項目の型	説明
attributes	ConnectedAppAttribute	接続アプリケーションのカスタム属性。
canvasConfig	ConnectedAppCanvasConfig	キャンバスアプリケーションとして公開されている場合の接続アプリケーションの設定オプション。
contactEmail	string	必須。Salesforce がアプリケーション提供者またはそのサポートチームへの連絡に使用するメールアドレス。
contactPhone	string	Salesforce から連絡するために使用する電話番号。
description	string	アプリケーションの説明 (省略可能)。
iconUrl	string	将来の使用のために予約されています。
infoUrl	string	アプリケーションについての詳細が記載された Web ページの URL (省略可能)。
ipRanges	ConnectedAppIpRange	接続アプリケーションでのユーザの認証を必要とせずにアプリケーションにアクセス可能な IP アドレスの範囲を指定します。
label	string	必須。アプリケーションの名前。
logoUrl	string	アプリケーションのロゴ (省略可能)。このロゴは、認証時にユーザに表示されるアプリケーションリストおよび同意ページのアプリケーションのエントリに表示されます。URL には HTTPS を使用し、ロゴは 125×200 ピクセル (高さ×幅) 以下にする必要があります。デフォルトは雲のロゴです。
mobileStartUrl	string	モバイルデバイスからアプリケーションにアクセスするときに、認証後、ユーザはこの URL に転送されます。URL を指定しない場合、ユーザは認証完了後アプリケーションのデフォルトのスタートページに転送されます。作成している接続アプリケーションがキャンバスアプリケーションの場合、この項目を空白のままにできます。[キャンバスアプリケーションの URL] 項目には、接続アプリケーションからコールされる URL が含まれます。
oauthConfig	ConnectedAppOauthConfig	アプリケーションが Salesforce と通信する方法を指定します。
permissionSetName	string	接続アプリケーションでさまざまな機能を実行するために必要な権限を指定します。API バージョン 46.0 以降で利用できます。接続アプリケーションに複数の権限セットを割り当てることができますが、各権限セット名は別の行に入力する必要があります。同じ権限セット名を各接続アプリケーションについて複数回入力することはできません。現在の権限セットを新しい権限セットに置き換えることで、権限セットを変更することもできます。接続アプリケーションに割り当てられた各権限セット名が一意であることを確認してください。個々の権限セットを削除することも、接続アプリケーションのリリース (`<permissionSetName></permissionSetName>`) で空の permissionSetName 文字列を入力することですべての権限セットを接続アプリケーションから削除することもできます。この項目を使用する��は、ConnectedAppOauthConfig サブタイプの isAdminApproved 項目を `true` に設定する必要があります。メモ
plugin	string	`Auth.ConnectedAppPlugin` を拡張してアプリケーションの動作をカスタマイズするカスタム Apex クラスの名前。
pluginExecutionUser	string	プラグインを実行するユーザを指定します。ユーザが接続アプリケーションを使用するように認証されていない場合は、`authorize` メソッドを使用します。『Apex 開発者ガイド』の ConnectedAppPlugin クラスを参照してください。API バージョン 46.0 以降で利用できます。組織に含まれるユーザを入力します。ユーザが組織に含まれない場合、接続アプリケーションをリリースしたときにユーザがこの項目から削除されます。ユーザを指定しない場合は、この項目を空白のままにできます。組織でこの項目を使用するには、ConAppPluginExecuteAsUser 組織権限を有効にする必要があります。メモ
profileName	string	接続アプリケーションでさまざまな機能を実行するために必要なプロファイル (基本レベルのユーザ権限) を指定します。API バージョン 46.0 以降で利用できます。接続アプリケーションに複数のプロファイルを割り当てることができますが、各プロファイル名は別の行に入力する必要があります。同じプロファイル名を各接続アプリケーションについて複数回入力することはできません。現在のプロファイルを新しいプロファイルに置き換えることで、プロファイルを変更することもできます。接続アプリケーションに割り当てられた各プロファイル名が一意であることを確認してください。個々のプロファイルを削除することも、接続アプリケーションのリリース (`<profileName></profileName>`) で空の profileName 文字列を入力することですべてのプロファイルを接続アプリケーションから削除することもできます。この項目を使用するには、ConnectedAppOauthConfig サブタイプの isAdminApproved 項目を `true` に設定する必要があります。メモ
samlConfig	ConnectedAppSamlConfig	アプリケーションによるシングルサインオンの使用方法を制御します。
startUrl	string	モバイルデバイスからのアクセスでない場合、認証後、ユーザはこの URL に転送されます。URL を指定しない場合、ユーザは認証完了後アプリケーションのデフォルトのスタートページに転送されます。モバイルデバイスからアプリケーションにアクセスする場合、mobileStartUrl を参照してください。作成している接続アプリケーションがキャンバスアプリケーションの場合、この項目を空のままにできます。[キャンバスアプリケーションの URL] 項目には、接続アプリケーションからコールされる URL が含まれます。

ConnectedAppAttribute

SAML と ConnectedApp を併用する場合にカスタム属性を構成する項目名を表します。特定のサービスプロバイダに合わせてこれらの値を調整します。

項目名	項目の型	説明
formula	string	必須。属性の値。
key	string	必須。属性の識別子。

ConnectedAppCanvasConfig

キャンバスアプリケーションとして公開されている場合の接続アプリケーションの設定オプション。

項目名	項目の型	説明
accessMethod	AccessMethod (string 型の列挙)	必須。キャンバスアプリケーションで OAuth 認証フローを開始する方法を示します。有効な値は、次のとおりです。 `Get` — OAuth 認証が使用され、サードパーティアプリケーションがユーザ情報にアクセスすることを許可するように求められます。このアクセスメソッドを使用する場合、キャンバスアプリケーションで OAuth 認証フローが開始されるようにする必要があります。 `Post` — OAuth 認証を使用しますが、システム管理者がキャンバスアプリケーションをインストールする場合、キャンバスアプリケーションはユーザのアクセスを暗黙的に許可します。したがって、サードパーティがユーザ情報にアクセスすることを許可するようにユーザが求められることはありません。このアクセスメソッドを使用する場合、認証は直接キャンバスアプリケーションの URL に post 送信されます。
canvasUrl	string	必須。キャンバスアプリケーションとして公開されたサードパーティアプリケーションの URL。
lifecycleClass	string	`Canvas.CanvasLifecycleHandler` Apex クラスの名前 (カスタムパラメータの制御にこのクラスを実装している場合)。この項目は、API バージョン 31.0 以降で使用できます。
locations	CanvasLocationOptions (string 型の列挙)	キャンバスアプリケーションを表示できる場所を示します。有効な値は、次のとおりです。 `Aura` — 今後の使用のために予約されています。 `AppLauncher` — 今後の使用のために予約されています。 `Chatter` — キャンバスアプリケーションを Chatter タブのアプリケーションナビゲーションリストに表示できます。 `ChatterFeed` — キャンバスアプリケーションを Chatter フィード項目として表示できます。 `MobileNav` — キャンバスアプリケーションを Salesforce アプリケーションのモバイルカードに表示できます。この値は API バージョン 31.0 以降で使用できます。 `None` — キャンバスアプリケーションをキャンバスアプリケーションのプレビューアでのみ表示できます。 `OpenCTI` — キャンバスアプリケーションを通話制御ツールに表示できます。 `PageLayout` — キャンバスアプリケーションをページレイアウトに表示できます。Salesforce アプリケーションで参照する場合、キャンバスアプリケーションはレコード詳細ページに表示されます。この値は API バージョン 31.0 以降で使用できます。 `Publisher` — キャンバスアプリケーションをグローバルアクションとして表示できます。 `ServiceDesk` — キャンバスアプリケーションを Salesforce コンソールのフッターまたはサイドバーに表示できます。 `UserProfile` — 今後の使用のために予約されています。 `Visualforce` — キャンバスアプリケーションを Visualforce ページに表示できます。
options	CanvasOptions (string 型の列挙)	キャンバスアプリケーションのパブリッシャーで [共有] ボタンとヘッダーを非表示にするかどうか、およびアプリケーションがキャンバス個人用アプリケーションかどうかを示します。有効な値は、次のとおりです。 `HideShare` — 関連するキャンバスアプリケーションのパブリッシャーで [共有] ボタンが非表示になります。 API バージョン 30.0 以降で利用できます。 `HideHeader` — 関連するキャンバスアプリケーションのパブリッシャーでヘッダーが非表示になります。 API バージョン 30.0 以降で利用できます。 `PersonalEnabled` — エンドユーザは、アプリケーションをキャンバス個人用アプリケーションとしてインストールできます。 API バージョン 32.0 以降で利用できます。
samlInitiationMethod	SamlInitiationMethod (string 型の列挙)	SAML シングルサインオン (SSO) を使用している場合、SSO フローを開始するプロバイダを示します。 `IdpInitiated` — ID プロバイダが開始します。Salesforce は、SSO フローを開始するための初期要求を行います。 `SpInitiated` — サービスプロバイダが開始します。キャンバスアプリケーションは、呼び出された後に SSO フローを開始します。 `None` — キャンバスアプリケーションは SAML SSO を使用していません。この項目は、API バージョン 31.0 以降で使用できます。

ConnectedAppIpRange

ユーザの認証を必要とせずにアプリケーションにアクセス可能な IP アドレスのリスト。

項目名	項目の型	説明
description	string	この項目は、この範囲に対応するネットワークの部分など、範囲の目的を識別するために使用します。この項目は、API バージョン 31.0 以降で使用できます。
startAddress	string	必須。IP 範囲の最初のアドレス (指定した値を含む)。
endAddress	string	必須。IP 範囲の最後のアドレス (指定した値を含む)。

ConnectedAppOauthConfig

アプリケーションと Salesforce との通信方法を設定する項目名を表します。

項目名	項目の型	説明
callbackUrl	string	必須。Salesforce が OAuth 時にアプリケーションにコールバックするエンドポイントです。これは、OAuth `redirect_uri` です。
certificate	string	アプリケーションが証明書を使用する場合の PEM エンコード証明書文字列。
consumerKey	string	Salesforce で識別するためのコンシューマにより使用される値。OAuth 2.0 では `client_id` と呼ばれます。 API バージョン 32.0 以降では、この項目は編集可能です。値を定義して保存した後は、編集できません。値は 8 文字以上 256 文字以下の英数字にする必要があり、特殊文字とスペースは使用できません。コンシューマ鍵はグローバルに一意である必要があります
consumerSecret	string	consumerKey と組み合わされ、コンシューマによって Salesforce での識別に使用される値。OAuth 2.0 では `client_secret` として参照されます。通常、この値は、接続アプリケーションを作成するときに Salesforce によって生成されます。ただし、項目は編集可能であるため、共有された秘密の値をカスタマイズできます。設定後、値はメタデータ API 要求では返されません。値は、8 文字以上 (256 文字以下) の英数字 (特殊文字とスペースは不可) にする必要があります。組織で別の接続アプリケーションにすでに使用されている秘密を指定した場合、エラーが発生します。この項目は、API バージョン 32.0 以降で使用できます。
idTokenConfig	ConnectedAppOauthIdToken	接続アプリケーションの OAuth 設定の ID トークン設定を指定します。API バージョン 43.0 以降で利用できます。
isAdminApproved	boolean	`false` (デフォルト設定) に設定すると、組織内のすべてのユーザがアプリケーションを認証できます。ユーザはアプリケーションに初めてアクセスするときに、アプリケーションを承認する必要があります。 `true` に設定すると、適切なプロファイルまたは権限セットを持つユーザのみがアプリケーションにアクセスできます。このユーザは、アプリケーションにアクセスする前に承認する必要はありません。各プロファイルの [接続アプリケーションへのアクセス] リストを編集して、アプリケーションのプロファイルを管理します。各権限セットの [割り当てられた接続アプリケーション] リストを編集して、アプリケーションの権限セットを管理します。この設定は、Group Edition では使用できません。API バージョン 46.0 以降で利用できます。接続アプリケーションのコンシューマは、組織で接続アプリケーションをリリースするときにこの設定を編集できます。メモ
scopes	ConnectedAppOauthAccessScope (string 型の列挙)	この範囲は、接続アプリケーションを実行するユーザによって付与される権限です。メタデータをリリースする場合の有効値は次のとおりです。 `Address` — ログインユーザの住所へのアクセスを許可します (`Basic` をリリースする場合と同じ動作)。 `Api` — API を介したログインユーザのアカウントへのアクセスを許可します。 `Basic` — ID URL サービスへのアクセスを許可します (`Address`、`Email`、`Phone`、`Profile` をリリースする場合と同じ動作)。 `Chatter` — Chatter REST API リソースへのアクセスのみを許可します。 `CustomApplications` — Visualforce を使用したカスタムアプリケーションなどのカスタムアプリケーションへのアクセスを提供します。 `CustomPermissions` — 接続アプリケーションに関連付けられている組織のカスタム権限へのアクセスを許可し、現在のユーザで各権限が有効かどうかを示します。 `Email` — ログインユーザのメールアドレスへのアクセスを許可します (`Basic` をリリースする場合と同じ動作)。 `Full` — ログインユーザがアクセスできるすべてのデータへのアクセスを許可します。 `OfflineAccess` — ユーザがオフラインのときにアプリケーションがユーザのデータを操作し、更新トークンを取得することを許可します (`RefreshToken` をリリースする場合と同じ動作)。 `OpenID` — ログインユーザの OpenID Connect アプリケーションの一意の識別子へのアクセスを許可します。 `Phone` — ログインユーザの電話番号値へのアクセスを許可します (`Basic` をリリースする場合と同じ動作)。 `Profile` — ログインユーザのプロファイルへのアクセスを許可します (`Basic` をリリースする場合と同じ動作)。 `RefreshToken` — 更新トークンを受信できる場合に、それを返すことを指定します (`OfflineAccess` をリリースする場合と同じ動作)。 `Wave` — Analytics REST API リソースへのアクセスを許可します。API バージョン 35.0 以降で利用できます。 `Web` — Web で `access_token` を使用することを許可します。この使用には `visualforce` も含まれ、Visualforce ページへのアクセスが許可されます。メタデータを取得する場合の有効値は次のとおりです。 `Api` — API を介したログインユーザのアカウントへのアクセスを許可します。 `Basic` — ID URL サービスへのアクセスを許可し、`Address`、`Email`、`Phone`、`Profile` を含めます。 `Chatter` — Chatter REST API リソースへのアクセスのみを許可します。 `CustomApplications` — Visualforce を使用したカスタムアプリケーションなどのカスタムアプリケーションへのアクセスを許可します。 `Full` — ログインユーザがアクセスできるすべてのデータへのアクセスを許可します。 `OpenID` — ログインユーザの OpenID Connect アプリケーションの一意の識別子へのアクセスを許可します。 `RefreshToken` — 更新トークンを受信できる場合に、それを返すように指定します。`OfflineAccess` を許可する場合と同じです。 `Wave` — Analytics REST API リソースへのアクセスを許可します。API バージョン 35.0 以降で利用できます。 `Web` — Web で `access_token` を使用することを許可します。この使用には `visualforce` も含まれ、Visualforce ページへのアクセスが許可されます。
singleLogoutUrl	string	シングルログアウトエンドポイント。この URL は、ユーザが Salesforce からログアウトするときに Salesforce がログアウト要求を送信するエンドポイントです。

ConnectedAppOauthIdToken

接続アプリケーションの OAuth 設定の ID トークン設定を指定します。API バージョン 43.0 以降で利用できます。

項目名	項目の型	説明
idTokenAudience	string	この ID トークンが対象とする利用者。値は、大文字と小文字を区別する文字列の配列です。利用者を指定しない場合、証明書利用者の OAuth 2.0 の `client_id` がデフォルトの利用者として返されます。それ以外の場合、他の利用者が `aud` 値の `client_id` で返されます。
idTokenIncludeAttributes	boolean	ID トークンに属性が含まれるかどうかを示します。
idTokenIncludeCustomPerms	boolean	ID トークンにカスタム権限が含まれるかどうかを示します。
idTokenIncludeStandardClaims	boolean	ID トークンに認証イベントに関する標準要求が含まれるかどうかを示します。
idTokenValidity	int	ID トークンの発行後、ID トークンが有効な期間。指定できる値は 1 ～ 720 分です。デフォルトは 2 分です。

ConnectedAppSamlConfig

アプリケーションによるシングルサインオンの使用方法を指定します。

項目名	項目の型	説明
acsUrl	string	必須。サービスプロバイダから取得するアサーションコンシューマサービス URL。
certificate	string	アプリケーションが証明書を使用する場合の PEM エンコード証明書文字列。
entityUrl	string	必須。サービスプロバイダから取得するエンティティ ID。
encryptionCertificate	string	このページは、Shield プラットフォームの暗号化ではなく、従来の暗号化について書かれています。相違点メモサービスプロバイダへの SAML アサーションの暗号化に使用する証明書の名前。この証明書は、組織の [証明書と鍵の管理] リストに保存されます。API バージョン 30.0 以降で使用できます。
encryptionType	SamlEncryptionType (string 型の列挙)	このページは、Shield プラットフォームの暗号化ではなく、従来の暗号化について書かれています。相違点メモ Salesforce が ID プロバイダの場合、SAML 設定ではサービスプロバイダへの SAML アサーションの暗号化に使用する暗号化メソッドを指定できます。サービスプロバイダは、SAML アサーション内の暗号化メソッドを検出して復号化できるようにします。有効な値は、次のとおりです。 `AES_128` — 128 ビットの鍵。 `AES_256` — 256 ビットの鍵。 `Triple_Des` — トリプル DES アルゴリズム。 API バージョン 30.0 以降で利用できます。
issuer	string	SAML レスポンスを送信する URI。サービスプロバイダはこの URI を使用して、レスポンスを送信した ID プロバイダを特定できます。API バージョン 29.0 以降で利用できます。
samlIdpSLOBinding	SamlIdpSLOBinding (string 型の列挙)	シングルログアウトに使用されるサービスプロバイダの SAML HTTP バインド種別。API バージョン 40.0 以降で利用できます。有効な値は、次のとおりです。 `PostBinding` `RedirectBinding`
samlNameIdFormat	SamlNameIdFormatType (string 型の列挙)	サービスプロバイダ (SP) が要求する、ユーザのシングルサインオン識別子の形式を示します。API バージョン 29.0 以降で利用できます。有効な値は、次のとおりです。 `Unspecified` — 形式は指定されません。このオプションはデフォルトです。 `EmailAddress` — 件名種別がユーザの名前または統合 ID (SP の内部の ID) である場合に使用します。 `Persistent` — ユーザ ID および永続 ID の件名種別と併用します。 `Transient` — 件名種別がカスタム属性である場合に使用し、ユーザがログインするたびに変更される可能性があります。
samlSloUrl	string	接続アプリケーションのサービスプロバイダ (SP) の SAML シングルログアウトエンドポイント。このエンドポイントは、ユーザが Salesforce からログアウトするときに SAML の LogoutRequests と LogoutResponses が送信される場所です。このエンドポイントは SP によって提供されます。API バージョン 40.0 以降で利用できます。
samlSubjectCustomAttr	string	`samlSubjectType` が `CustomAttr` である場合、ここにカスタム値を含めます。それ以外の場合は、空のままにします。API バージョン 29.0 以降で利用できます。
samlSubjectType	SamlSubjectType (string 型の列挙)	必須。ユーザのシングルサインオン識別子。有効な値は、次のとおりです。 `Username` — Salesforce ユーザ名。 `FederationId` — サービスプロバイダでのユーザの識別子。この値はサービスプロバイダから取得します。 `UserId` — Salesforce ユーザ識別子。 `PersistentID` — ID プロバイダおよびサービスプロバイダに固有の永続的で不透明な識別子。 `CustomAttr` — `samlSubjectCustomAttr` のカスタム項目値から取得する識別子。

宣言的なメタデータの定義のサンプル

組織の ConnectedApp メタデータをリリースまたは取得するために使用される、パッケージマニフェストの例を次に示します。

1<?xml version="1.0" encoding="UTF-8"?>
2<Package xmlns="http://soap.sforce.com/2006/04/metadata">
3    <types>
4        <members>PortalTestApp</members>
5        <name>ConnectedApp</name>
6    </types>
7    <version>29.0</version>
8</Package>

ConnectedApp コンポーネントの例を次に示します。

1<?xml version="1.0" encoding="UTF-8"?>
2<ConnectedApp xmlns="http://soap.sforce.com/2006/04/metadata">
3    <fullName>AConnectedApp</fullName>
4    <attributes>
5        <formula>$User.CompanyName</formula>
6        <key>companyName</key>
7    </attributes>
8    <contactEmail>user@company.com</contactEmail>
9    <mobileStartUrl>https://m.connectedapp.company.com</mobileStartUrl> <label>A ConnectedApp</label>
10    <oauthConfig>
11        <callbackUrl>https://callback.yourcompany.com</callbackUrl>
12        <consumerKey>***********************************************</consumerKey>
13        <isAdminApproved>true</isAdminApproved>
14        <scopes>Basic</scopes>
15        <scopes>Api</scopes>
16        <scopes>Web</scopes>
17        <scopes>Full</scopes>
18        <scopes>Chatter</scopes>
19        <scopes>CustomApplications</scopes>
20        <scopes>RefreshToken</scopes>
21        <scopes>OpenID</scopes>
22        <scopes>CustomPermissions</scopes>
23        <scopes>Wave</scopes>
24        <scopes>Eclair</scopes>
25    </oauthConfig>
26    <permissionSetName>Advanced</permissionSetName>
27    <permissionSetName>Service</permissionSetName>
28    <profileName>Solution Manager</profileName>
29    <profileName>System Administrator</profileName>
30    <plugin>ConnectedAppPluginExample</plugin>
31    <pluginExecutionUser>admin@salesforce.org</pluginExecutionUser>
32    <startUrl>https://connectedapp.company.com</startUrl>
33    <ipRanges>
34        <endAddress>10.x.x.xx</endAddress>
35        <startAddress>10.x.x.yy</startAddress>
36    </ipRanges>
37</ConnectedApp>

使用方法

メタデータ API を使用して SAML が有効な接続アプリケーションを作成し、サービスプロバイダに [Idp-init のログイン URL] を設定する必要がある場合、次の 2 つのオプションがあります。

app パラメータにサービスプロバイダアプリケーション ID を次の形式で使用できます。この値は、Salesforce ユーザインターフェースに表示されます。[設定] から、[クイ��ク検索] ボックスに「接続アプリケーション」と入力し、[接続アプリケーション] を選択してから、接続アプリケーションの名前をクリックして、その詳細ページを表示します。

1https://<Salesforce_base_URL>/idp/login?app=<app_id>

または、メタデータ API のみを使用して接続アプリケーションを設定する場合、サービスプロバイダアプリケーションの apiName パラメータを次の形式で使用できます。apiName パラメータは、メタデータ型から継承された fullName です。

1https://<Salesforce_base_URL>/idp/login?apiName=<fullName>

マニフェストファイル内のワイルドカードのサポート

このメタデータ型では、package.xml マニフェストファイル内のワイルドカード文字 * (アスタリスク) がサポートされます。マニフェストファイルの使用についての詳細は、「zip ファイルを使用したメタデータのリリースと取得」を参照してください。