この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

『ISVforce ガイド』へようこそ
ISVforce クイックスタート
AppExchange でのビジネスの成長
ソリューションの設計と作成
パッケージの概要
管理パッケージで使用可能なコンポーネント
パッケージの API アクセスおよびダイナミック Apex アクセスについて
Group Edition と Professional Edition のアーキテクチャ上の考慮事項
接続アプリケーション
接続アプリケーションの作成
プッシュ通知のテスト
接続アプリケーションの編集
接続アプリケーションへのアクセスの管理
サードパーティ接続アプリケーションの管理
接続アプリケーションのインストール
サードパーティ接続アプリケーションのアンインストール
接続アプリケーションの開始 URL 設定の管理
接続アプリケーションの OAuth アクセスポリシーの管理
接続アプリケーションの IP 制限の緩和および IP の継続的な適用
接続アプリケーションのセッションポリシーの管理
接続アプリケーションのモバイルポリシーの管理
カスタム接続アプリケーションハンドラを介したアクセスの管理
接続アプリケーションの他のアクセス設定の管理
接続アプリケーションのユーザプロビジョニング
現在の OAuth 接続アプリケーションセッションの管理
OAuth 対応接続アプリケーションのデータへのアクセスの管理
環境ハブ
開発者ハブ
パッケージエラーの通知
ソリューションのパッケージ化とテスト
AppExchange セキュリティレビューの合格
AppExchange でのソリューションの公開
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
注文の管理
ライセンスの管理
機能の管理
ソリューションの無料トライアルの提供
AppExchange 顧客のサポート
ソリューションの更新
付録
用語集
PDF

接続アプリケーションの OAuth アクセスポリシーの管理

OAuth 対応の接続アプリケーションの OAuth アクセスポリシーを設定します。このポリシーでは、接続アプリケーションにアクセスできるユーザ、接続アプリケーションに適用する IP 制限、更新トークンが有効である期間を定義します。
使用可能なインターフェース: Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方
接続アプリケーションを作成可能なエディション: Group Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

接続アプリケーションをインストール可能なエディション: すべてのエディション

必要なユーザ権限
[接続アプリケーション] ページを参照する 「設定の表示」
接続アプリケーションを参照、作成、更新または削除する 「アプリケーションのカスタマイズ」および

「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
プロファイル、権限セット、およびサービスプロバイダの SAML 属性以外のすべての項目を更新する 「アプリケーションのカスタマイズ」および

「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
プロファイル、権限セット、およびサービスプロバイダの SAML 属性を更新する 「アプリケーションのカスタマイズ」および「すべてのデータの編集」
接続アプリケーションをインストールおよびアンインストールする 「アプリケーションのカスタマイズ」および

「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
パッケージ化された接続アプリケーションをインストールおよびアンインストールする 「アプリケーションのカスタマイズ」および

「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか

および「AppExchange パッケージのダウンロード」
  1. [設定] から、[クイック検索] ボックスに「接続アプリケーション」と入力し、[接��アプリケーションを管理する] を選択します。
  2. アクセスの設定の対象である接続アプリケーションの横にある [編集] をクリックします。
  3. [OAuth ポリシー] で [許可されているユーザ] ドロップダウンメニューをクリックし、次のいずれかのオプションを選択します。
    • すべてのユーザは自己承認可能 — デフォルト。組織のすべてのユーザが、正常にサインインした後、アプリケーションを承認できます。ユーザはアプリケーションに初めてアクセスするときに、アプリケーションを承認する必要があります。
    • 管理者が承認したユーザは事前承認済み — 関連付けられたプロファイルまたは権限セットを持つユーザのみがアプリケーションにアクセスできます。このユーザは最初にアプリケーションを承認する必要はありません。このオプションを選択した後、各プロファイルの [接続アプリケーションへのアクセス] リストを編集して、アプリケーションのプロファイルを管理します。または、各権限セットの [割り当てられた接続アプリケーション] リストを編集して、アプリケーションの権限セットを管理します。

      Group Edition 組織では、プロファイルを使用して個々のユーザアクセスを管理することはできません。ただし、接続アプリケーションの OAuth 設定を編集するときに、すべてのユーザのアクセスを管理できます。

      メモ

      [すべてのユーザは自己承認可能] から [管理者が承認したユーザは事前承認済み] に切り替えると、ユーザ権限でその接続アプリケーションが特に承認されていないかぎり、アプリケーションを使用しているユーザはアクセス権を失います。また、ユーザが「任意の API クライアントを使用」権限を持っている場合は、[許可されているユーザ] 設定が [管理者が承認したユーザは事前承認済み] に設定されていても、任意の接続アプリケーションにアクセスできます。「任意の API クライアントを使用」権限を使用するときは、注意が必要です。この名前からわかるように、承認に対する制御を放棄することになります。

      警告

  4. [IP 制限の緩和] ドロップダウンメニューをクリックし、次のいずれかのオプションを選択して、アプリケーションへのユーザのアクセスを IP 範囲で制限するかどうかを決定します。
    • IP 制限を適用 — デフォルト。ユーザプロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。
    • IP 制限を適用し、更新トークンを緩和 — ユーザプロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。ただし、このオプションでは、接続アプリケーションが更新トークンを使用してアクセストークンを取得する場合、この制限はスキップされます。
    • 有効化したデバイスの IP 制限を緩和 — アプリケーションを実行しているユーザは、次のいずれかの条件を満たす場合に、組織の IP 制限をスキップできます。
      • アプリケーションに IP 範囲のホワイトリストが存在し、アプリケーションが Web サーバの認証フローを使用している。ホワイトリストに登録された IP からの要求のみが許可されます。
      • アプリケーションに IP 範囲のホワイトリストがなく、アプリケーションが Web サーバの認証フローを使用しており、ユーザが新しいブラウザまたはデバイスから Salesforce にアクセスした場合に ID 確認を正常に完了している。
    • IP 制限の緩和 — ユーザは組織の IP 制限なしでこのアプリケーションを実行できます。

    接続アプリケーションの IP 制限を緩和し、組織が [すべての要求でログイン IP アドレスの制限を適用] を有効にしている場合は、接続アプリケーションへのアクセスが変わる可能性があります。「接続アプリケーションの IP 制限の緩和および IP の継続的な適用」を参照してください。また、IP 制限は、ユーザのプロファイルで設定されている場合にのみ適用されます。SAML ベアラーアサーションフローと JWT ベアラートークンフローでは、接続アプリケーションポリシーに関係なく、常に IP 制限が適用されます。

    メモ

  5. ユーザが Salesforce からログアウトしたときにユーザを接続アプリケーションサービスプロバイダから自動的にログアウトするには、[シングルログアウトを有効化] を選択します。
  6. [シングルログアウトを有効化] を選択した場合は、シングルログアウト URL を入力します。ユーザが Salesforce からログアウトすると、Salesforce はログアウト要求をこの URL に送信します。シングルログアウト URL は、https:// で始まる絶対 URL にする必要があります。
  7. 更新トークンが有効である期間を決定するには、[更新トークンポリシー] を選択します。
    更新トークンを提供する場合、ユーザはアクセストークンの期限 (セッションタイムアウト値で定義) が切れても再承認することなく OAuth 対応の接続アプリケーションに引き続きアクセスできます。接続アプリケーションは、更新トークンをアクセストークンと交換して新しいセッションを開始します。更新トークンポリシーは、発行された更新トークンの使用時にのみ評価され、ユーザの現在のセッションに影響を与えることはありません。更新トークンは、ユーザのセッションが期限切れになったか、使用できないときにのみ必要になります。
    たとえば、1 時間後にトークンが期限切れになるように更新トークンポリシーを設定します。ユーザがアプリケーションを 2 時間使用する場合、1 時間後にユーザが再認証を強制されることはありません。ただし、セッションの期限が切れ、クライアントが新しいセッションのための更新トークンの交換を試みた場合、ユーザは再度認証を要求されます。
    • 更新トークンは取り消されるまで有効 — デフォルト。ユーザまたは Salesforce システム管理者が取り消さない限り、更新トークンを無期限に使用できます。

      トークンの取り消しは、ユーザの詳細ページの [OAuth 接続アプリケーション]、または [設定] の [接続アプリケーションの OAuth の利用状況] ページから行います。

    • 更新トークンを直ちに期限切れにする — 更新トークンは直ちに無効になります。ユーザはすでに発行されている現在のセッション (アクセストークン) を使用できますが、アクセストークンの期限が切れたときに新しいセッションを取得することはできません。
    • 次で使用されていない更新トークンを期限切れにする n — 更新トークンは、指定された期間内で使用されている限り、有効です。たとえば、7 日間に設定されている場合、更新トークンが 7 日以内に新しいセッションのために交換されなければ、次のトークン使用の試行は失敗します。期限切れのトークンは新しいセッションを生成できません。更新トークンが 7 日以内に交換された場合、そのトークンはさらに次の 7 日間有効です。無操作状態の監視期間もリセットされます。
    • 次の時間が経過したら更新トークンを期限切れにする n — 更新トークンは一定期間有効です。たとえば、ポリシーで 1 日に設定されている場合、ユーザは 24 時間のみ新しいセッションを取得できます。
接続アプリケーションが、署名要求認証を使用するキャンバスアプリケーションの場合、次のように設定します。
  • [許可されているユーザ] を [管理者が承認したユーザは事前承認済み] に設定します。
  • [期限切れの更新トークン] を [更新トークンを直ちに期限切れにする] に設定します。
  • プロファイルセットおよび権限セットにより、ユーザにアクセス権を付与します。