接続アプリケーションのユーザプロビジョニング
| 使用可能なインターフェース: Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方 |
| 接続アプリケーションを作成可能なエディション: Group Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition 接続アプリケーションをインストール可能なエディション: すべてのエディション |
ユーザプロビジョニングのシナリオを次に示します。組織で G Suite 接続アプリケーションのユーザプロビジョニングを設定します。次に「Employees (社員)」プロファイルをその接続アプリケーションに割り当てます。組織でユーザを作成し、そのユーザを「Employees (従業員)」プロファイルに割り当てると、ユーザは G Suite でプロビジョニングされます。ユーザが無効化されたり、プロファイルの割り当てが変更されたりすると、G Suite でのユーザのプロビジョニングは解除されます。
ユーザプロビジョニングは、接続アプリケーションへのアクセス権を付与するプロファイルまたは権限セットを持つユーザのみに適用されます。
Salesforce のウィザードに従って、各接続アプリケーションのユーザプロビジョニングを設定します。レポートを実行して、特定のサードパーティアプリケーションへのアクセス権を持つユーザを参照することもできます。このレポートでは、すべての接続アプリケーションのすべてのユーザアカウントを一元的に表示できます。
ユーザプロビジョニング要求
ユーザプロビジョニングを設定後は、Salesforce がサードパーティシステムの更新要求を管理します。Salesforce は、組織の特定のイベントに基づいてユーザプロビジョニング要求を UI または API コールのいずれかでサードパーティシステムに送信します。この表は、ユーザプロビジョニング要求をトリガするイベントと、関連付けられた操作を示します。
| イベント | 操作 | オブジェクト |
|---|---|---|
| ユーザの作成 | 作成 | User |
| ユーザの更新 (選択した属性) | 更新 | User |
| ユーザの無効化 | 無効化 | User |
| ユーザの有効化 | 有効化 | User |
| ユーザの凍結 | 凍結 | UserLogin |
| ユーザの凍結解凍 | 凍結解除 | UserLogin |
| ユーザの再有効化 | 再有効化 | User |
| ユーザプロファイルの変更 | 作成または無効化 | User |
| ユーザへの権限セットの割り当てまたは割り当て解除 | 作成または無効化 | PermissionSetAssignment |
| 接続アプリケーションへのプロファイルの割り当てまたは割り当て解除 | 作成または無効化 | SetupEntityAccess |
| 接続アプリケーションへの権限セットの割り当てまたは割り当て解除 | 作成または無効化 | SetupEntityAccess |
操作値は、UserProvisioningRequest オブジェクトに保存されます。Salesforce は、要求をすぐに処理することも、承認プロセスが完了するまで待機することもできます (ウィザードの実行時に承認を要求した場合)。要求を処理するために、Salesforce は、[ユーザプロビジョニング] 種別のフローを使用します。このフローには、Apex の UserProvisioningPlugin クラスへの参照が含まれます。フローが、サードパーティサービスのユーザアカウントプロビジョニングを管理する API をコールします。
Active Directory (AD) のイベントに基づいてユーザプロビジョニング要求を送信するには、Salesforce Identity Connect を使用し、AD イベントを取得して Salesforce に同期させます。次に、Salesforce は、ユーザをプロビジョニングまたはプロビジョニング解除するユーザプロビジョニング要求をサードパーティシステムに送信します。
考慮事項
- エンタイトルメント
- サービスプロバイダのロールと権限を Salesforce 組織で管理したり、保存したりすることはできません。したがって、サービスプロバイダのリソースに対する特定のエンタイトルメントは、ユーザプロビジョニングが有効化されたサードパーティアプリケーションへのアクセスをユーザが要求するときには含まれていません。ユーザプロビジョニングでは、サービスプロバイダのユーザアカウントを作成できます。ただしサービスプロバイダは、ユーザの追加のロールまたは権限を管理する必要があります。
- 定期的なアカウント調整
- サードパーティシステムのユーザを収集および分析するたびに、ユーザプロビジョニングウィザードを実行します。自動的な収集および分析の間隔を設定することはできません。
- アクセス権の再認定
- ユーザのアカウントが作成された後、サービスプロバイダのリソースへのユーザアクセスの検証はサービスプロバイダで実行する必要があります。