この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

メタデータ API 開発者ガイド

メタデータ API の概要
メタデータ API の使用
参照
ファイルベースのコール
CRUD ベースのコール
ユーティリティコール
Result オブジェクト
メタデータ型
Metadata コンポーネントおよびメタデータ型
メタデータカバー率レポート
サポートされていないメタデータ型
メタデータ API リリースの特殊な動作
Data Cloud のメタデータ型
AccountRelationshipShareRule
AccountingFieldMapping
AccountingModelConfig
ActionLinkGroupTemplate
ActionPlanTemplate
ActionableListDefinition
AdvAccountForecastSet
AIApplication
AIApplicationConfig
AIScoringModelDefinition
AIUsecaseDefinition
AnalyticSnapshot
AnimationRule
ArticleType
ApexClass
ApexComponent
ApexEmailNotifications
ApexPage
ApexTestSuite
ApexTrigger
AppMenu
AppointmentAssignmentPolicy
AppointmentSchedulingPolicy
ApprovalProcess
AssignmentRules
Audience
AuraDefinitionBundle
AuthProvider
AutoResponseRules
BatchCalcJobDefinition
BatchProcessJobDefinition
BlacklistedConsumer
Bot
BotBlock
BotTemplate
BotVersion
BrandingSet
BriefcaseDefinition
BusinessProcessGroup
CallCenter
CallCoachingMediaProvider
CampaignInfluenceModel
CaseSubjectParticle
CareBenefitVerifySettings
CareLimitType
CareSystemFieldMapping
CareProviderSearchConfig
CareRequestConfiguration
Certificate
ChatterExtension
ClaimFinancialSettings
ClauseCatgConfiguration
CleanDataService
CMSConnectSource
Community (Zone)
CommunityTemplateDefinition
CommunityThemeDefinition
ConnectedApp
ContentAsset
ContextDefinition
CorsWhitelistOrigin
CspTrustedSite
CustomApplication
CustomApplicationComponent
CustomFeedFilter
CustomHelpMenuSection
CustomLabels
カスタムメタデータ型 (CustomObject)
CustomNotificationType
CustomObject
CustomObjectTranslation
CustomPageWebLink
CustomPermission
CustomSite
CustomTab
CustomValue
Dashboard
DataCategoryGroup
DataWeaveResource
DecisionTable
DecisionTableDatasetLink
DecisionMatrixDefinition
DelegateGroup
DisclosureDefinition
DisclosureDefinitionVersion
DisclosureType
DiscoveryAIModel
DiscoveryGoal
DiscoveryStory
Document
DocumentCategory
DocumentCategoryDocumentType
DocumentChecklistSettings
DocumentType
DuplicateRule
EclairGeoData
EmailServicesFunction
EmailTemplate
EmbeddedServiceBranding
EmbeddedServiceConfig
EmbeddedServiceFieldService
EmbeddedServiceFlowConfig
EmbeddedServiceLiveAgent
EmbeddedServiceMenuSettings
EntitlementProcess
EntitlementTemplate
EscalationRules
EventDelivery
EventRelayConfig
EventSubscription
ExperienceBundle
ExplainabilityMsgTemplate
ExpressionSetDefinition
ExpressionSetObjectAlias
ExternalClientApplication
ExternalCredential
ExternalAIModel
ExternalServiceRegistration
ExtlClntAppConfigurablePolicies
ExtlClntAppGlobalOauthSettings
ExtlClntAppOauthConfigurablePolicies
ExtlClntAppOauthSettings
FeatureParameterBoolean
FeatureParameterDate
FeatureParameterInteger
FieldRestrictionRule
FlexiPage
Flow
FlowCategory
FlowDefinition
FlowTest
Folder
ForecastingFilter
ForecastingFilterCondition
ForecastingSourceDefinition
ForecastingType
ForecastingTypeSource
FuelType
FuelTypeSustnUom
FunctionReference
FundraisingConfig
GatewayProviderPaymentMethodType
GlobalPicklist
GlobalPicklistValue
GlobalValueSet
GlobalValueSetTranslation
Group
HomePageComponent
HomePageLayout
IdentityVerificationProcDef
IdentityVerificationProcDtl
IdentityVerificationProcFld
InboundCertificate
InboundNetworkConnection
InstalledPackage
IntegrationProviderDef
IPAddressRange
KeywordList
Layout
Letterhead
LightningBolt
LightningComponentBundle
LightningExperienceTheme
LightningMessageChannel
LightningOnboardingConfig
LiveChatAgentConfig
LiveChatButton
LiveChatDeployment
LiveChatSensitiveDataRule
LoyaltyProgramSetup
ManagedContentType
ManagedEventSubscription (ベータ)
ManagedTopics
MarketingAppExtension
MatchingRule
MessagingChannel
Metadata
MetadataWithContent
MfgProgramTemplate
MilestoneType
MlDomain
MLDataDefinition
MLPredictionDefinition
MobileApplicationDetail
ModerationRule
MutingPermissionSet
MyDomainDiscoverableLogin
NamedCredential
NavigationMenu
Network
NetworkBranding
NotificationTypeConfig
OauthCustomScope
OcrSampleDocument
OcrTemplate
OmniExtTrackingDef
OmniSupervisorConfig
OmniTrackingGroup
OutboundNetworkConnection
Package
ParticipantRole
PathAssistant
PermissionSet
PermissionSetGroup
PersonAccountOwnerPowerUser
PipelineInspMetricConfig
PlatformCachePartition
PlatformEventChannel
PlatformEventChannelMember
PlatformEventSubscriberConfig
Portal
PortalDelegablePermissionSet
PostTemplate
ProductAttributeSet
PresenceDeclineReason
PresenceUserConfig
Profile
ProfileActionOverride
ProfilePasswordPolicy
ProfileSessionSetting
応答画面
Queue
QueueRoutingConfig
QuickAction
RedirectWhitelistUrl
RecommendationStrategy
RecordActionDeployment
RecordAggregationDefinition
RecordAlertCategory
ReferencedDashboard
RelatedRecordAssocCriteria
RelationshipGraphDefinition
RemoteSiteSetting
Report
ReportType
Role
RoleOrTerritory
SalesWorkQueueSettings
SamlSsoConfig
SchedulingObjective
SchedulingRule
Scontrol
SearchCustomization
ServiceAISetupDefinition
ServiceAISetupField
ServiceChannel
ServicePresenceStatus
ServiceProcess
設定
SharedTo
SharingBaseRule
SharingRules
SharingSet
SiteDotCom
Skill
StandardValueSet
StandardValueSetTranslation
StaticResource
SustainabilityUom
SustnUomConversion
SvcCatalogCategory
SvcCatalogFulfillmentFlow
SvcCatalogItemDef
SynonymDictionary
Territory
Territory2
Territory2Model
Territory2Rule
Territory2Type
TimelineObjectDefinition
TimeSheetTemplate
TopicsForObjects
TransactionSecurityPolicy
Translations
UIObjectRelationConfig
UserAuthCertificate
UserCriteria
UserProfileSearchScope
UserProvisioningConfig
VirtualVisitConfig
WaveApplication
WaveComponent
WaveDataflow
WaveDashboard
WaveDataset
WaveLens
WaveRecipe
WaveTemplateBundle
WaveXmd
WebStoreTemplate
Workflow
WorkSkillRouting
ヘッダー
付録
用語集
PDF

ConnectedApp

接続アプリケーション設定を表します。接続アプリケーションを使用することで、API や標準プロトコル (SAML、OAuth、OpenID Connect など) によって、外部アプリケーションを Salesforce に統合できるようになります。接続アプリケーションではこうしたプロトコルを使用して、外部アプリケーションの認証、承認、シングルサインオン (SSO) の提供を行います。Salesforce に統合された外部アプリケーションは、カスタマーサクセスプラットフォームをはじめとするプラットフォームやデバイス、SaaS サブスクリプションで実行できます。

Metadata メタデータ型を拡張し、その fullName 項目を継承します。

ファイルのサフィックスおよびディレクトリの場所

ConnectedApp コンポーネントのサフィックスは .connectedApp で、connectedApps フォルダーに保存されます。

バージョン

ConnectedApp コンポーネントは、API バージョン 29.0 以降で使用できます。

項目

項目名 項目の型 説明
attributes canvasConfig 接続アプリケーションのカスタム属性。
AppCanvasConfig キャンバスアプリケーションとして公開されている場合の接続アプリケーションの設定オプション。
contactEmail string 必須。Salesforce がアプリケーション提供者またはそのサポートチームへの連絡に使用するメールアドレス。
contactPhone string Salesforce から連絡するために使用する電話番号。
description string アプリケーションの説明 (省略可能)。
iconUrl string 将来の使用のために予約されています。
infoUrl string アプリケーションについての詳細が記載された Web ページの URL (省略可能)。
ipRanges ConnectedAppIpRange[] 接続アプリケーションでのユーザーの認証を必要とせずにアプリケーションにアクセス可能な IP アドレスの範囲を指定します。
label string 必須。アプリケーションの名前。
logoUrl string アプリケーションのロゴ (省略可能)。このロゴは、認証時にユーザーに表示されるアプリケーションリストおよび同意ページのアプリケーションのエントリに表示されます。URL には HTTPS を使用し、ロゴは 125×200 ピクセル (高さ×幅) 以下にする必要があります。デフォルトは雲のロゴです。
mobileStartUrl string モバイルデバイスからアプリケーションにアクセスするときに、認証後、ユーザーはこの URL に転送されます。URL を指定しない場合、ユーザーは認証完了後にアプリケーションのデフォルトのスタートページに転送されます。作成している接続アプリケーションがキャンバスアプリケーションの場合、この項目を空白のままにできます。[キャンバスアプリケーションの URL] 項目には、接続アプリケーションからコールされる URL が含まれます。
oauthConfig connectedAppOauthConfig アプリケーションが Salesforce と通信する方法を指定します。
oauthPolicy ConnectedAppOauthPolicy 接続アプリケーションに関連付ける OAuth アクセスポリシーを指定します。API バージョン 49.0 以降で利用できます。
permissionSetName string[] 接続アプリケーションでさまざまな機能を実行するために必要な権限を指定します。API バージョン 46.0 以降で利用できます。

接続アプリケーションに複数の権限セットを割り当てることができますが、各権限セット名は別の行に入力する必要があります。同じ権限セット名を各接続アプリケーションについて複数回入力することはできません。

現在の権限セットを新しい権限セットに置き換えることで、権限セットを変更することもできます。接続アプリケーションに割り当てられた各権限セット名が一意であることを確認してください。

個々の権限セットを削除したり、接続アプリケーションのリリース: (<permissionSetName></permissionSetName>) で空の permissionSetName 文字列を入力することですべての権限セットを接続アプリケーションから削除したりできます。

この項目を使用するには、ConnectedAppOauthConfig サブタイプの isAdminApproved 項目を true に設定する必要があります。
plugin string Auth.ConnectedAppPlugin を拡張してアプリケーションの動作をカスタマイズするカスタム Apex クラスの名前。
pluginExecutionUser string プラグインを実行するユーザーを指定します。ユーザーが接続アプリケーションを使用するように認証されていない場合は、authorize メソッドを使用します。『Apex 開発者ガイド』ConnectedAppPlugin クラスを参照してください。API バージョン 46.0 以降で利用できます。

組織に含まれるユーザーを入力します。ユーザーが組織に含まれない場合、接続アプリケーションをリリースしたときにユーザーがこの項目から削除されます。ユーザーを指定しない場合は、この項目を空白のままにできます。

組織でこの項目を使用するには、ConAppPluginExecuteAsUser 設定を有効にする必要があります。
profileName string[] 接続アプリケーションでさまざまな機能を実行するために必要なプロファイル (基本レベルのユーザー権限) を指定します。API バージョン 46.0 以降で利用できます。

接続アプリケーションに複数のプロファイルを割り当てることができますが、各プロファイル名は別の行に入力する必要があります。同じプロファイル名を各接続アプリケーションについて複数回入力することはできません。

現在のプロファイルを新しいプロファイルに置き換えることで、プロファイルを変更することもできます。接続アプリケーションに割り当てられた各プロファイル名が一意であることを確認してください。

個々のプロファイルを削除することも接続アプリケーションのリリース: (<profileName></profileName>) で空の profileName 文字列を入力することですべてのプロファイルを接続アプリケーションから削除することもできます。

この項目を使用するには、ConnectedAppOauthConfig サブタイプの isAdminApproved 項目を true に設定する必要があります。
samlConfig ConnectedAppSamlConfig アプリケーションによるシングルサインオンの使用方法を制御します。
sessionPolicy ConnectedAppSessionPolicy 接続アプリケーションのセッションポリシーを指定します。API バージョン 49.0 以降で利用できます。
startUrl string モバイルデバイスからのアクセスではない場合、認証後に、ユーザーはこの URL に転送されます。URL を指定しない場合、ユーザーは認証完了後にアプリケーションのデフォルトのスタートページに転送されます。URL の指定の有無にかかわらず、開始 URL は接続アプリケーションを管理することにより後で更新できます。モバイルデバイスからアプリケーションにアクセスする場合、mobileStartUrl を参照してください。作成している接続アプリケーションがキャンバスアプリケーションの場合、この項目を空のままにできます。[キャンバスアプリケーションの URL] 項目には、接続アプリケーションからコールされる URL が含まれます。

ConnectedAppAttribute

SAML と ConnectedApp を併用する場合にカスタム属性を構成する項目名を表します。特定のサービスプロバイダーに合わせてこれらの値を調整します。

項目名 項目の型 説明
formula string 必須。属性の値。
key string 必須。属性の識別子。

ConnectedAppCanvasConfig

キャンバスアプリケーションとして公開されている場合の接続アプリケーションの設定オプションを表します。

項目名 項目の型 説明
accessMethod AccessMethod (string 型の���挙) 必須。キャンバスアプリケーションで OAuth 認証フローを開始する方法を示します。有効な値は、次のとおりです。
  • Get — OAuth 認証が使用され、サードパーティアプリケーションがユーザー情報にアクセスすることを許可するように求められます。このアクセスメソッドを使用する場合、キャンバスアプリケーションで OAuth 認証フローが開始されるようにする必要があります。
  • Post — OAuth 認証を使用しますが、システム管理者がキャンバスアプリケーションをインストールする場合、キャンバスアプリケーションはユーザーのアクセスを暗黙的に許可します。したがって、サードパーティがユーザー情報にアクセスすることを許可するようにユーザーが求められることはありません。このアクセスメソッドを使用する場合、認証は直接キャンバスアプリケーションの URL に post 送信されます。
canvasUrl string 必須。キャンバスアプリケーションとして公開されたサードパーティアプリケーションの URL。
lifecycleClass string Canvas.CanvasLifecycleHandler Apex クラスの名前 (カスタムパラメーターの制御にこのクラスを実装している場合)。

API バージョン 31.0 以降で利用できます。
locations CanvasLocationOptions (string 型の列挙)[] キャンバスアプリケーションを表示できる場所を示します。有効な値は、次のとおりです。
  • Aura — 今後の使用のために予約されています。
  • AppLauncher — 今後の使用のために予約されています。
  • Chatter — キャンバスアプリケーションを Chatter タブのアプリケーションナビゲーションリストに表示できます。
  • ChatterFeed — キャンバスアプリケーションを Chatter フィード項目として表示できます。
  • MobileNav — キャンバスアプリケーションを Salesforce モバイルアプリケーションのモバイルカードに表示できます。API バージョン 31.0 以降で利用できます。
  • None — キャンバスアプリケーションをキャンバスアプリケーションのプレビューアーでのみ表示できます。
  • OpenCTI — キャンバスアプリケーションをコール制御ツールに表示できます。
  • PageLayout — キャンバスアプリケーションをページレイアウトに表示できます。Salesforce モバイルアプリケーションで参照する場合、キャンバスアプリケーションはレコード詳細ページに表示されます。API バージョン 31.0 以降で利用できます。
  • Publisher — キャンバスアプリケーションをグローバルアクションとして表示できます。
  • ServiceDesk — キャンバスアプリケーションを Salesforce コンソールのフッターまたはサイドバーに表示できます。
  • UserProfile — 今後の使用のために予約されています。
  • Visualforce — キャンバスアプリケーションを Visualforce ページに表示できます。
options CanvasOptions (string 型の列挙)[] キャンバスアプリケーションのパブリッシャーで [共有] ボタンとヘッダーを非表示にするかどうかおよびアプリケーションがキャンバス個人用アプリケーションかどうかを示します。有効な値は、次のとおりです。
  • HideShare — 関連するキャンバスアプリケーションのパブリッシャーで [共有] ボタンが非表示になります。API バージョン 30.0 以降で利用できます。
  • HideHeader — 関連するキャンバスアプリケーションのパブリッシャーでヘッダーが非表示になります。API バージョン 30.0 以降で利用できます。
  • PersonalEnabled — エンドユーザーは、アプリケーションをキャンバス個人用アプリケーションとしてインストールできます。API バージョン 32.0 以降で利用できます。
samlInitiationMethod SamlInitiationMethod (string 型の列挙) SAML シングルサインオン (SSO) を使用している場合、SSO フローを開始するプロバイダーを示します。
  • IdpInitiated — ID プロバイダーが開始します。Salesforce は、SSO フローを開始するための初期要求を行います。
  • SpInitiated — サービスプロバイダーが開始します。キャンバスアプリケーションは、呼び出された後に SSO フローを開始します。
  • None — キャンバスアプリケーションは SAML SSO を使用していません。API バージョン 31.0 以降で利用できます。

ConnectedAppIpRange

ユーザーの認証を必要とせずにアプリケーションにアクセス可能な IP アドレスのリストを表します。

項目名 項目の型 説明
description string この範囲に対応するネットワークの部分など、範囲の目的を示します。API バージョン 31.0 以降で利用できます。
end string 必須。IP 範囲の最後のアドレス (指定した値を含む)。
start string 必須。IP 範囲の最初のアドレス (指定した値を含む)。

ConnectedAppOauthConfig

接続アプリケーションと Salesforce との通信方法を設定する項目名を表します。

項目名 項目の型 説明
assetTokenConfig connectedAppOauthAssetToken 接続アプリケーションの OAuth 設定の OAuth アセットトークン設定。API バージョン 49.0 以降で利用できます。
callbackUrl string 必須。Salesforce が OAuth 時に接続アプリケーションにコールバックするエンドポイントです。これは OAuth redirect_uri です。
certificate string アプリケーションが証明書を使用する場合の PEM エンコード証明書文字列。
consumerKey string Salesforce で識別するためのコンシューマーにより使用される値。OAuth 2.0 では client_id と呼ばれます。

API バージョン 32.0 以降では、この項目の値を設定できるのは作成中のみです。値を定義して保存した後は、編集できません。値は 8 ~ 256 文字の英数字にする必要があり、特殊文字とスペースは使用できません。コンシューマー鍵はグローバルに一意である必要があります。
consumerSecret string consumerKey と組み合わされ、コンシューマーによって Salesforce での識別に使用される値。OAuth 2.0 では client_secret として参照されます。通常、この値は、接続アプリケーションを作成するときに Salesforce によって生成されます。ただし、共有された秘密の値は作成中にカスタマイズできます。値を保存した後は、編集できません。設定後、値はメタデータ API 要求では返されません。

値は、8 文字以上 (256 文字以下) の英数字 (特殊文字とスペースは不可) にする必要があります。組織で別の接続アプリケーションにすでに使用されている秘密を指定した場合、エラーが発生します。

API バージョン 32.0 以降で利用できます。
idTokenConfig ConnectedAppOauthIdToken 接続アプリケーションの OAuth 設定の ID トークン設定を指定します。API バージョン 43.0 以降で利用できます。
isAdminApproved boolean false (デフォルト) に設定すると、組織内のすべてのユーザーがアプリケーションを認証できます。ユーザーはアプリケーションに初めてアクセスするときに、アプリケーションを承認する必要があります。

true に設定すると、適切なプロファイルまたは権限セットを持つユーザーのみがアプリケーションにアクセスできます。このユーザーは、アプリケーションにアクセスする前に承認する必要はありません。各プロファイルの [接続アプリケーションへのアクセス] リストを編集して、アプリケーションのプロファイルを管理します。各権限セットの [割り当てられた接続アプリケーション] リストを編集して、アプリケーションの権限セットを管理します。この設定は、Group Edition では使用できません。API バージョン 46.0 以降で利用できます。

接続アプリケーションのコンシューマーは、組織で接続アプリケーションをリリースするときにこの設定を編集できます。
isClientCredentialEnabled boolean true に設定した場合、接続アプリケーションは OAuth 2.0 クライアントのログイン情報フローを使用できます。クライアントのログイン情報フローを使用するには、oauthClientCredentialUser のユーザーも指定する必要があります。

false (デフォルト) に設定した場合、接続アプリケーションは、クライアントのログイン情報フローを使用できません。

API バージョン 56.0 以降で利用できます。
isCodeCredentialEnabled boolean アプリケーションで認証コードとログイン情報フローを使用して、ヘッドレスのプラットフォーム外アプリケーションに ID サービスを提供することを許可するかどうかを決定します。認証コードとログイン情報フローは、ヘッドレスログイン、ヘッドレス登録、パスワードなしのヘッドレスログイン、およびヘッドレスゲスト ID を提供する際の基本的な要素および手段となります。

true に設定した場合、接続アプリケーションで認証コードとログイン情報フローおよび関連するヘッドレス ID 機能をすべて使用できます。デフォルト値は false です。

この項目は、API バージョン 57.0 以降で利用できます。
isCodeCredentialPostOnly boolean 認証コードとログイン情報フローの場合に、Salesforce 認証エンドポイントへの最初の HTTPS POST 要求の本文で、ユーザーのログイン情報を送信する必要があるかどうかを指定します。ヘッダーではなく POST の本文でログイン情報を要求することで、セキュリティが向上します。

true に設定されている場合は、ユーザーのログイン情報を POST 本文に含める必要があります。デフォルト値は false です。

この項目は、API バージョン 57.0 以降で利用できます。
isConsumerSecretOptional boolean false (デフォルト) に設定した場合、OAuth 2.0 Web サーバーフローでアクセストークンを交換する際に、接続アプリケーションのクライアントの秘密が要求されます。

クライアントアプリケーションでクライアントの秘密の機密性を維持できず、かつ Web サーバーフローを使用する必要があるときは、true に設定します。接続アプリケーション用にクライアントの秘密は依然として生成されますが、この設定で、アクセストークン要求内の client_secret パラメーターが不要であることを Web サーバーフローに指示します。秘密を使用しない Web サーバーフローよりもセキュアなオプションとしてユーザーエージェントフローをお勧めします。API バージョン 49.0 以降で利用できます。
isIntrospectAllTokens boolean true に設定した場合、接続アプリケーションは、組織全体ですべてのアクセスを調査し、トークンを更新することが許可されます。

false に設定した場合、接続アプリケーションで調査できるのは自身のトークンのみです。また、動的クライアント登録エンドポイントを介して OAuth 2.0 接続アプリケーションを直接登録している OAuth クライアントは、自身とその登録済みアプリケーションのトークンを確認できます。API バージョン 49.0 以降で利用できます。
isNamedUserJwtEnabled boolean true に設定されている場合は、接続アプリケーションで、JSON Web トークン (JWT) ベースのアクセストークンを発行できます。インストール済みのアプリケーションの場合は、JWT ベースのアクセストークンを接続アプリケーションのポリシーでも有効化する必要があります。

この項目は、API バージョン 59.0 以降で正式に使用できます。
isPkceRequired boolean 接続アプリケーションに設定されている Web サーバーフローと認証コードやアプリケーションフローなどの OAuth 2.0 認証コードフローのバリエーションに、Proof Key for Code Exchange (PKCE) 拡張が必要かどうかを指定します。モバイルアプリケーションなどのコンシューマーの秘密を隠すことができない公開クライアントアプリケーションでは、PKCE 拡張により、認証フローを開始したクライアントと同じクライアントで認証フローを完了するよう徹底できます。このため、公開クライアントには常に PKCE を導入するように推奨しています。また、非公開クライアントにも PKCE を導入することを強くお勧めします。

true に設定すると、PKCE 拡張は必須となり、実装されていない認証コードフローのバリエーションは失敗します。false に設定した場合でも PKCE を実装することは可能ですが、必須ではありません。デフォルト値は false です。

この項目は、API バージョン 59.0 以降で利用できます。
isRefreshTokenRotationEnabled boolean true に設定すると、OAuth 更新トークンフローが呼び出されるたびに、接続アプリケーションは新しい更新トークンを発行します。古い更新トークンは自動的に無効になります。ユーザーが無効にされた以前の更新トークンを使用しようとした場合、現在の更新トークンとそれに関連するアクセストークンは削除されます。false に設定すると、更新トークンを使用して複数のアクセストークンを取得できます。

この項目は、API バージョン 60.0 以降で使用できます。
isSecretRequiredForRefreshToken boolean true (デフォルト) に設定した場合、更新トークンおよびハイブリッド更新トークンフローの認証要求でアプリケーションのクライアントの秘密が要求されます。false に設定した場合、アプリケーションが認証要求でクライアントの秘密を送信すると、Salesforce はクライアントの秘密を引き続き検証します。

クライアントの秘密を保���できる Web サーバーベースのアプリケーションでは、このオプションを選択します。モバイルアプリケーションやユーザーのコンピューターにインストールするアプリケーションなど、クライアントの秘密を保護できないアプリケーションでは、このオプションを選択しないことをお勧めします。API バージョン 51.0 以降で利用できます。
isSecretRequiredForTokenExchange boolean true に設定すると、OAuth 2.0 のトークン交換フロー中、接続アプリケーションはコンシューマーの秘密 (client_secret) をトークン要求に含める必要があります。セキュリティを向上させるため、秘密を安全に保つことができるプライベートクライアントバックエンドがアプリケーションにある場合のみ、この項目を true に設定します。シングルページアプリやモバイルアプリなどのパブリッククライアントアプリケーションでは、この項目を false に設定し、コンシューマーの秘密を含めないでください。

この項目は、API バージョン 60.0 以降で使用できます。
isTokenExchangeEnabled boolean true に設定すると、接続アプリケーションは OAuth 2.0 トークン交換フローを使用して、外部 ID プロバイダからのトークンを Salesforce トークンに交換できます。

この項目は、API バージョン 60.0 以降で使用できます。
oauthClientCredentialUser string OAuth 2.0 クライアントのログイン情報フローの実行ユーザー。Salesforce は、このユーザーに変わってアクセストークンを返します。このユーザーは「API のみ」権限を持っている必要があります。

この項目を使用するには、isClientCredentialEnabledtrue に設定し、consumerKey を指定します。

API バージョン 56.0 以降で利用できます。
scopes ConnectedAppOauthAccessScope (string 型の列挙)[] 接続アプリケーションを実行するユーザーによって付与される権限です。メタデータをリリースする場合の有効値は次のとおりです。
  • Basic — ID URL サービスへのアクセスを許可します (AddressEmailPhoneProfile をリリースする場合と同じ動作)。
  • Api — API を介したログインユーザーのアカウントへのアクセスを許可します。
  • Web — Web で access_token を使用することを許可します。この使用には visualforce も含まれ、Visualforce ページへのアクセスが許可されます。
  • Full — ログインユーザーがアクセスできるすべてのデータへのアクセスを許可します。
  • Chatter — Connect REST API リソースへのアクセスのみを許可します。
  • CustomApplications — Visualforce を使用したカスタムアプリケーションなどのカスタムアプリケーションへのアクセスを提供します。
  • RefreshToken — 更新トークンを受信できる場合に、それを返すことを指定します (OfflineAccess をリリースする場合と同じ動作)。
  • OpenID — ログインユーザーの OpenID Connect アプリケーションの一意の識別子へのアクセスを許可します。
  • Profile — ログインユーザーのプロファイルへのアクセスを許可します (Basic をリリースする場合と同じ動作)。
  • Email — ログインユーザーのメールアドレスへのアクセスを許可します (Basic をリリースする場合と同じ動作)。
  • Address — ログインユーザーの住所へのアクセスを許可します (Basic をリリースする場合と同じ動作)。
  • Phone — ログインユーザーの電話番号値へのアクセスを許可します (Basic をリリースする場合と同じ動作)。
  • OfflineAccess — ユーザーがオフラインのときにアプリケーションがユーザーのデータを操作し更新トークンを取得することを許可します (RefreshToken をリリースする場合と同じ動作)。
  • CustomPermissions接続アプリケーションに関連付けられている組織のカスタム権限へのアクセスを許可し現在のユーザーで各権限が有効かどうかを示します。
  • Wave — Analytics REST API リソースへのアクセスを許可します。API バージョン 35.0 以降で利用できます。
  • Eclair — Analytics REST API Charts Geodata リソースへのアクセスを許可します。API バージョン 35.0 以降で利用できます。
  • Pardot — ユーザーの代わりに Pardot API サービスへアクセスすることを許可します。アクセス可能なすべてのサービスは、Pardot アカウントで管理します。API バージョン 49.0 以降で利用できます。
  • Lightning — ハイブリッドアプリケーションが OAuth 2.0 ハイブリッドアプリケーショントークンフローおよびハイブリッドアプリケーション更新トークンフローを介して Lightning の子セッションを直接取得できるようにします。API バージョン 51.0 以降で利用できます。
  • Content — ハイブリッドアプリケーションが OAuth 2.0 ハイブリッドアプリケーショントークンフローおよびハイブリッドアプリケーション更新トークンフローを介してコンテンツの子セッションを直接取得できるようにします。API バージョン 51.0 以降で利用できます。
  • CDPIngest — Data Cloud の取り込み API サービスにアクセスできるようにします。顧客はこれらの API サービスを使用して、Data Cloud の外部データセットのアップロードと管理を行います。API バージョン 52.0 以降で利用できます。
  • Chatbot — Einstein ボット API サービスへのアクセスを許可します。API バージョン 54.0 以降で利用できます。
  • ForgotPassword — パスワードを忘れた場合のヘッドレス API へのアクセスを許可します。内部インテグレーションユーザーに割り当てることで、この API へ認証済み要求を送るためのアクセストークンを取得できます。API バージョン 57.0 以降で利用できます。
  • UserRegistration — ヘッドレス登録 API へのアクセスを許可します。内部インテグレーションユーザーに割り当てることで、この API へ認証済み要求を送るためのアクセストークンを取得できます。API バージョン 58.0 以降で利用できます。
  • PwdlessLogin — パスワードなしのヘッドレスログイン API へのアクセスを許可します。内部インテグレーションユーザーに割り当てることで、この API へ認証済み要求を送るためのアクセストークンを取得できます。API バージョン 59.0 以降で利用できます。

メタデータを取得する場合の有効値は次のとおりです。

  • Api — API を介したログインユーザーのアカウントへのアクセスを許可します。
  • Basic — ID URL サービスへのアクセスを許可し、AddressEmailPhoneProfile を含めます。
  • Chatter — Connect REST API リソースへのアクセスのみを許可します。
  • CustomApplications — Visualforce を使用したカスタムアプリケーションなどのカスタムアプリケーションへのアクセスを許可します。
  • Full — ログインユーザーがアクセスできるすべてのデータへのアクセスを許可します。
  • OpenID — ログインユーザーの OpenID Connect アプリケーションの一意の識別子へのアクセスを許可します。
  • CDPIngest — Data Cloud の取り込み API サービスにアクセスできるようにします。顧客はこれらの API サービスを使用して、Data Cloud の外部データセットのアップロードと管理を行います。API バージョン 52.0 以降で利用できます。
  • Pardot — ユーザーの代わりに Pardot API サービスへアクセスすることを許可します。アクセス可能なすべてのサービスは、Pardot アカウントで管理します。API バージョン 49.0 以降で利用できます。
  • Lightning — ハイブリッドアプリケーションが OAuth 2.0 ハイブリッドアプリケーショントークンフローおよびハイブリッドアプリケーション更新トークンフローを介して Lightning の子セッションを直接取得できるようにします。API バージョン 51.0 以降で利用できます。
  • Content — ハイブリッドアプリケーションが OAuth 2.0 ハイブリッドアプリケーショントークンフローおよびハイブリッドアプリケーション更新トークンフローを介してコンテンツの子セッションを直接取得できるようにします。API バージョン 51.0 以降で利用できます。
  • RefreshToken — 更新トークンを受信できる場合にそれを返すように指定します。OfflineAccess を許可する場合と同じです。
  • Wave — Analytics REST API リソースへのアクセスを許可します。API バージョン 35.0 以降で利用できます。
  • Eclair — Analytics REST API Charts Geodata リソースへのアクセスを許可します。API バージョン 35.0 以降で利用できます。
  • Web — Web で access_token を使用することを許可します。この使用には visualforce も含まれ、Visualforce ページへのアクセスが許可されます。
  • Chatbot — Einstein ボット API サービスへのアクセスを許可します。API バージョン 54.0 以降で利用できます。
  • ForgotPassword — パスワードを忘れた場合のヘッドレス API へのアクセスを許可します。内部インテグレーションユーザーに割り当てることで、この API へ認証済み要求を送るためのアクセストークンを取得できます。API バージョン 57.0 以降で利用できます。
  • UserRegistration — ヘッドレス登録 API へのアクセスを許可します。内部インテグレーションユーザーに割り当てることで、この API へ認証済み要求を送るためのアクセストークンを取得できます。API バージョン 58.0 以降で利用できます。
  • PwdlessLogin — パスワードなしのヘッドレスログイン API へのアクセスを許可します。内部インテグレーションユーザーに割り当てることで、この API へ認証済み要求を送るためのアクセストークンを取得できます。API バージョン 59.0 以降で利用できます。
singleLogoutUrl string シングルログアウトエンドポイント。この URL は、ユーザーが Salesforce からログアウトするときに Salesforce がログアウト要求を送信するエンドポイントです。

ConnectedAppOauthAssetToken

接続アプリケーションの OAuth 設定の OAuth アセットトークン設定を指定します。API バージョン 49.0 以降で利用できます。

項目名 項目の型 説明
assetAudiences string 必須。アセットトークンペイロードに関連付けられた利用者要求。この要求は、JWT の対象者を識別します。値は、大文字と小文字を区別する文字列の配列であり、それぞれに StringOrURI 値が含まれます。アセットトークンの対象コンシューマーごとに利用者が指定されます。
assetIncludeAttributes boolean 必須。true (デフォルト) に設定した場合、接続アプリケーションに関連付けられたカスタム属性はアセットトークンペイロードに含まれます。false に設定した場合、これらの属性は含まれません。
assetIncludeCustomPerms boolean 必須。true (デフォルト) に設定した場合、接続アプリケーションに関連付けられたカスタム権限はアセットトークンペイロードに含まれます。false に設定した場合、カスタム権限は含まれません。
assetSigningCertId string 必須。JWT 証明書の署名の秘密の ID。証明書サイズは 4 KB を超えることはできません。超える場合、DER エンコードファイルを使用して、サイズを削減してください。
assetValidityPeriod int 必須。アセットトークンの有効期間。有効性は 3 分以内のアサーションの有効時間である必要があります (UTC で測定された 1970-01-01T0:0:0Z からの秒数として表記)。

ConnectedAppOauthIdToken

接続アプリケーションの OAuth 設定の ID トークン設定を指定します。API バージョン 43.0 以降で利用できます。

項目名 項目の型 説明
idTokenAudience string この ID トークンが対象とする利用者。値は、大文字と小文字を区別する文字列の配列です。利用者を指定しない場合、証明書利用者の OAuth 2.0 の client_id がデフォルトの利用者として返されます。それ以外の場合、他の利用者が aud 値の client_id で返されます。
idTokenIncludeAttributes boolean ID トークンに属性が含まれるかどうかを示します。
idTokenIncludeCustomPerms boolean ID トークンにカスタム権限が含まれるかどうかを示します。
idTokenIncludeStandardClaims boolean ID トークンに認証イベントに関する標準要求が含まれるかどうかを示します。
idTokenValidity int ID トークンの発行後、ID トークンが有効な期間。指定できる値は 1 ~ 720 分です。デフォルトは 2 分です。

ConnectedAppOauthPolicy

接続アプリケーションの OAuth アクセスポリシーを指定します。API バージョン 49.0 以降で利用できます。

項目名 項目の型 説明
ipRelaxation string 必須。接続アプリケーションへのユーザーのアクセスを IP 範囲で制限するかどうかを指定します。有効なオプションは、次のとおりです。
  • ENFORCE (デフォルト) — ユーザープロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。
  • BYPASS_2FACTOR — アプリケーションを実行しているユーザーは、次のいずれかの条件を満たす場合に、組織の IP 制限をスキップできます。
    • アプリケーションに許可された IP 範囲のリストが存在し、アプリケーションが Web サーバーの OAuth 認証フローを使用している。これらの IP から送信された要求のみが許可されます。
    • アプリケーションに許可された IP 範囲のリストが存在しないが、アプリケーションが Web サーバーの認証フローを使用している。新しいブラウザーまたはデバイスから Salesforce にアクセスした場合、ユーザーは ID 検証を正常に完了する。
  • BYPASS — ユーザーは組織の IP 制限なしでこのアプリケーションを実行できます。
  • ENFORCE_RELAXREFRESH — ユーザープロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。ただし、このオプションでは、接続アプリケーションが更新トークンを使用してアクセストークンを取得する場合、この制限はスキップされます。
refreshTokenPolicy string 必須。更新トークンの有効期間を指定します。

更新トークンを提供する場合、ユーザーはアクセストークンの期限 (セッションタイムアウト値で定義) が切れても再承認することなく OAuth 対応の接続アプリケーションに引き続きアクセスできます。接続アプリケーションは、更新トークンをアクセストークンと交換して新しいセッションを開始します。更新トークンポリシーは、発行された更新トークンの使用時にのみ評価され、ユーザーの現在のセッションに影響を与えることはありません。更新トークンは、ユーザーのセッションが期限切れになったか、使用できないときにのみ必要になります。たとえば、1 時間後にトークンが期限切れになるように更新トークンポリシーを設定します。ユーザーがアプリケーションを 2 時間使用する場合、1 時間後にユーザーが再認証を強制されることはありません。ただし、セッションの期限が切れ、クライアントが新しいセッションのための更新トークンの交換を試みた場合、ユーザーは再度認証を要求されます。

有効なオプションは、次のとおりです。

  • zero — 更新トークンは直ちに無効になります。ユーザーはすでに発行されている現在のセッション (アクセストークン) を使用できますが、アクセストークンの期限が切れたときに新しいセッションを取得することはできません。
  • infinite — ユーザーまたは Salesforce システム管理者が取り消さない限り、更新トークンを無期限に使用できます。デフォルト設定。
  • specific_lifetime:number:HOURS, DAYS, MONTHS — 更新トークンは一定期間有効です。たとえば、ポリシーで specific_lifetime:1:DAYS に設定されている場合、ユーザーは 24 時間のみ新しいセッションを取得できます。
  • specific_inactivity:number:HOURS, DAYS, MONTHS — 更新トークンは、指定された期間内で使用されている限り、有効です。たとえば、specific_inactivity:7:DAYS に設定されている場合、更新トークンが 7 日以内に新しいセッションのために交換されなければ、次のトークン使用の試行は失敗します。期限切れのトークンは新しいセッションを生成できません。更新トークンが 7 日以内に交換された場合、そのトークンはさらに次の 7 日間有効です。無操作状態の監視期間もリセットされます。
singleLogoutUrl string シングルログアウトが有効化な場合は、シングルログアウト URL を指定します。ユーザーが Salesforce からログアウトすると、Salesforce はログアウト要求をこの URL に送信します。シングルログアウト URL は、https:// で始まる絶対 URL にする必要があります。

ConnectedAppSamlConfig

アプリケーションによるシングルサインオンの使用方法を指定します。

項目名 項目の型 説明
acsUrl string 必須。サービスプロバイダーから取得するアサーションコンシューマーサービス URL。
certificate string アプリケーションが証明書を使用する場合の PEM エンコード証明書文字列。
encryptionCertificate string サービスプロバイダーへの SAML アサーションの暗号化に使用する証明書の名前。この証明書は、組織の [証明書と鍵の管理] リストに保存されます。API バージョン 30.0 以降で利用できます。
encryptionType

SamlEncryptionType

(string 型の列挙)		 Salesforce が ID プロバイダーの場合、SAML 設定ではサービスプロバイダーへの SAML アサーションの暗号化に使用する暗号化メソッドを指定できます。サービスプロバイダーは、SAML アサーション内の暗号化メソッドを検出して復号化できるようにします。有効な値は、次のとおりです。
  • AES_128 — 128 ビットの鍵
  • AES_256 — 256 ビットの鍵
  • Triple_Des — トリプル DES アルゴリズム
API バージョン 30.0 以降で利用できます。
entityUrl string 必須。サービスプロバイダーから取得するエンティティ ID。
issuer string SAML レスポンスを送信する URI。サービスプロバイダーはこの URI を使用して、レスポンスを送信した ID プロバイダーを特定できます。API バージョン 29.0 以降で利用できます。
samlIdpSLOBindingEnum SamlIdpSLOBinding (string 型の列挙) シングルログアウトに使用されるサービスプロバイダーの SAML HTTP バインド種別。API バージョン 40.0 以降で利用できます。有効な値は、次のとおりです。
  • PostBinding
  • RedirectBinding
samlNameIdFormat SamlNameIdFormatType (string 型の列挙) サービスプロバイダー (SP) が要求する、ユーザーのシングルサインオン識別子の形式を示します。API バージョン 29.0 以降で利用できます。有効な値は、次のとおりです。
  • Unspecified (デフォルト) — 形式は指定されません。
  • EmailAddress — 件名種別がユーザーの名前または統合 ID (SP の内部の ID) である場合に使用します。
  • Persistent — ユーザー ID および永続 ID の件名種別と併用します。
  • Transient — 件名種別がカスタム属性である場合に使用し、ユーザーがログインするたびに変更される可能性があります。
samlSigningAlgoType SamlSigningAlgoType (string 型の列挙) Salesforce が ID プロバイダーの場合に SAML 要求および応答に適用される署名アルゴリズムを示します。選択した署名アルゴリズムは、組織からのシングルサインオン応答とシングルログアウト応答の両方に適用されます。API バージョン 50.0 以降で利用できます。有効な値は、次のとおりです。
  • SHA1
  • SHA256
samlSloUrl string 接続アプリケーションのサービスプロバイダー (SP) の SAML シングルログアウトエンドポイント。このエンドポイントは、ユーザーが Salesforce からログアウトするときに SAML の LogoutRequests と LogoutResponses が送信される場所です。このエンドポイントは SP によって提供されます。API バージョン 40.0 以降で利用できます。
samlSubjectCustomAttr string samlSubjectTypeCustomAttr である場合、ここにカスタム値を含めます。それ以外の場合は、空のままにします。API バージョン 29.0 以降で利用できます。
samlSubjectType SamlSubjectType (string 型の列挙) 必須。ユーザーのシングルサインオン識別子。有効な値は、次のとおりです。
  • Username — Salesforce ユーザー名。
  • FederationId — サービスプロバイダーでのユーザーの識別子。この値はサービスプロバイダーから取得します。
  • UserId — 15 文字の Salesforce ユーザー識別子。
  • PersistentID — ID プロバイダーおよびサービスプロバイダーに固有の永続的で不透明な識別子。
  • CustomAttrsamlSubjectCustomAttr のカスタム項目値から取得する識別子。

ConnectedAppSessionPolicy

接続アプリケーションのセッションポリシーの設定オプションを指定します。このポリシーを使用して、ユーザーのセッションが再認証されるまでの期間を定義したり、接続アプリケーションへのユーザーアクセスをブロックしたり、アプリケーションにアクセスするために多要素認証 (MFA) を必須にしたりすることもできます。API バージョン 49.0 以降で利用できます。

項目名 項目の型 説明
policyAction string 高保証セッションセキュリティレベルを接続アプリケーションに適合する場合、関連する高保証アクションを指定します。有効な値は、次のとおりです。
  • Block — 組織のユーザーが接続アプリケーションにアクセスできなくなります。アプリケーションをブロックすると、接続アプリケーションを使用する現在のすべてのユーザーセッションが終了し、すべての新しいセッションが防止されます。
  • RaiseSessionLevel — ユーザーが接続アプリケーションにログインするときに多要素認証を使用して ID を検証することを要求します。この設定は、API ログインのユーザー承認ステップを含む承認フローに適用されます。これらのフローは、OAuth 2.0 更新トークンフロー、Web サーバーフロー、ユーザーエージェントフローです。JSON Web トークン (JWT) ベアラーフローなど、その他のフローにはユーザー承認ステップは含まれていません。ユーザー承認ステップのないフローでは、高保証セッションセキュリティレベルでの API ログインはブロックされます。
sessionLevel string 接続アプリケーションに高保証セッションセキュリティレベルを適用します。このセッションレベルでは、ユーザーが接続アプリケーションにログインするときに多要素認証を使用して ID を検証することが要求されます。
sessionTimeout int 接続アプリケーションのセッションが持続する時間の長さ。ここで値を設定しない場合、Salesforce では接続アプリケーションユーザーのプロファイルのタイムアウト値が使用されます。ユーザーのプロファイルにタイムアウト値が指定されていない場合、Salesforce は組織の [セッションの設定] のタイムアウト値を使用します。

複数のコールバック URL 値を入力できます。実行時、Salesforce は、アプリケーションによって指定されたコールバック URL をこれらの値のいずれかと照合して検証します。各コールバック URL は、改行で区切る必要があります。新規行をプログラムで入力するには、\r 改行文字を使用します。

複数のコールバック URL を使用する ConnectedApp コンポーネントの例を次に示します。

1<?xml version="1.0" encoding="UTF-8"?>
2<ConnectedApp xmlns="http://soap.sforce.com/2006/04/metadata">
3 <contactEmail>example@salesforce.com</contactEmail>
4 <label>MyConnectedApp</label>
5 <oauthConfig>
6 <callbackUrl>https://example.com/callback1
7https://example.com/callback2
8https://example.com/callback3</callbackUrl>
9 <consumerKey>3MVG9AOp4kbriZOcnmoLmTrguy9ryzcLbBjoNY...</consumerKey>
10 <isAdminApproved>false</isAdminApproved>
11 <isConsumerSecretOptional>false</isConsumerSecretOptional>
12 <isIntrospectAllTokens>false</isIntrospectAllTokens>
13 <isSecretRequiredForRefreshToken>true</isSecretRequiredForRefreshToken>
14 <scopes>Full</scopes>
15 <scopes>RefreshToken</scopes>
16 </oauthConfig>
17 <oauthPolicy>
18 <ipRelaxation>ENFORCE</ipRelaxation>
19 <refreshTokenPolicy>infinite</refreshTokenPolicy>
20 </oauthPolicy>
21</ConnectedApp>

組織の ConnectedApp メタデータをリリースまたは取得するために使用される、パッケージマニフェストの例を次に示します。

1<?xml version="1.0" encoding="UTF-8"?>
2<Package xmlns="http://soap.sforce.com/2006/04/metadata">
3    <types>
4        <members>PortalTestApp</members>
5        <name>ConnectedApp</name>
6    </types>
7    <version>29.0</version>
8</Package>

使用方法

メタデータ API を使用して SAML が有効な接続アプリケーションを作成し、サービスプロバイダーに [Idp-init のログイン URL] を設定する必要がある場合、次の 2 つのオプションがあります。

app パラメーターにサービスプロバイダーアプリケーション ID を次の形式で使用できます。この値は、Salesforce ユーザーインターフェースに表示されます。[設定] から、[クイック検索] ボックスに「接続アプリケーション」と入力し、[接続アプリケーション] を選択してから、接続アプリケーションの名前をクリックして、その詳細ページを表示します。

1https://<Salesforce_base_URL>/idp/login?app=<app_id>

または、メタデータ API のみを使用して接続アプリケーションを設定する場合、サービスプロバイダーアプリケーションの apiName パラメーターを次の形式で使用できます。apiName パラメーターは、メタデータ型から継承された fullName です。

1https://<Salesforce_base_URL>/idp/login?apiName=<fullName>

マニフェストファイル内のワイルドカードのサポート

このメタデータ型では、package.xml マニフェストファイル内のワイルドカード文字 * (アスタリスク) がサポートされます。マニフェストファイルの使用についての詳細は、「zip ファイルを使用したメタデータのリリースと取得」を参照してください。