接続アプリケーションを作成する

このプロジェクトでは、OAuth 2.0 Web サーバーフローを使用して、API インテグレーション用の接続アプリケーションを作成します。このフローは、認証コード許可種別と呼ばれることもあります。接続アプリケーションを作成した後、認証フローを実装する方法を説明します。その後、OAuth ポリシーを使用して、どのユーザーがどこから接続アプリケーションにアクセスできるかを定義します。

「接続アプリケーションの基本」モジュールでは、接続アプリケーションの開発者と接続アプリケーションのシステム管理者の責任の違いについて説明しました。もう一度説明すると、接続アプリケーションの開発者とは、接続アプリケーションとして Salesforce データにアクセス可能な API インテグレーションまたは外部アプリケーションを構築する Salesforce の開発者と独立系ソフトウェアベンダー (ISV) です。接続アプリケーションの開発者は、アクセス可能なデータ型の定義など、接続アプリケーションの特性を定義します。実際の作業では、通常、この Trailhead プロジェクトで取り上げるステップ 1 と 2 を実行します。

一方、接続アプリケーションのシステム管理者は、アプリケーションに権限やポリシーを設定します。システム管理者は、接続アプリケーションを誰が使用でき、このアプリケーションにどこからアクセスできるかを明示的に定義します。また、Salesforce 組織の接続アプリケーションのインストールやアンインストール、必要に応じてブロックも行います。実際の作業では、通常、この Trailhead プロジェクトで取り上げるステップ 3 を実行します。

接続アプリケーションに関する役割が開発者であれ、システム管理者であれ、このプロジェクトの 3 つのステップをすべて完了することで必ずメリットを得られます。接続アプリケーションの設定を最初から最後まで行うことで、組織が接続アプリケーションをどのように活用できるのかをより深く理解できます。

各自が開発者であるか、システム管理者であるかに加えて、組織が接続アプリケーションの所有者またはコンシューマーのどちらであるかも知っておく必要があります。

組織が接続アプリケーションの所有者として、アプリケーションを作成した場合、アプリケーションの特性を編集し、そのアクセスポリシーを管理できます。たとえば、組織のデータにアクセスするために接続アプリケーションで提供する必要がある情報の種別 (クライアントの秘密など) を決定します。

組織が接続アプリケーションのコンシューマーとして、AppExchange からアプリケーションをインストールしたか、別の組織またはサードパーティベンダーの Web サイトから管理パッケージとしてインストールした場合、アプリケーションのアクセスポリシー (誰がアプリケーションを使用できるかや、アプリケーションがリモートの場所からデータにアクセスできるかどうかなど) のみを編集できます。

では、組織が接続アプリケーションを所有しているかどうかを簡単に知るにはどうすればよいのでしょうか? 最善の方法は、アプリケーションマネージャーで接続アプリケーションを見つけ、その横にあるドロップダウン矢印をクリックし、どのようなオプションが提供されているかを確認する方法です。

次の例では、接続アプリケーションの特性の編集とそのアクセスポリシーの管理の両方が行えるため、組織は [My OAuth Connected App (私の OAuth 接続アプリケーション)] を所有しています。

ただし、Trailhead の接続アプリケーションに関しては、組織はコンシューマーです。そのため、アプリケーションのアクセスポリシーの管理のみが可能です。これは、組織がこの接続アプリケーションを Trailhead から管理パッケージとしてインストールしたためです。

接続アプリケーションで各自とその組織が果たす役割を確認したところで、作成に取りかかりましょう。このステップでは、あなたは接続アプリケーションの開発者であり所有者です。

このハンズオンプロジェクトの作業は、あなた個人の Salesforce 環境で行います。まず Trailhead にログインしてから、このページの下部にある [Launch (起動)] をクリックし、Trailhead Playground を取得してください。Playground でこのプロジェクトのステップを完了した後、ページの下部にある [Verify Step (ステップを確認)] をクリックしてください。

最近、あなたの会社は顧客の注文状況に安全にアクセスできる Web サイトを開発しました。注文状況データは会社の Salesforce CRM プラットフォームに安全に保存されています。

会社のカスタマーサービスマネージャーは、ヘルプデスクユーザーが顧客をサポートする際に顧客注文状況データにアクセスできるようにしたいと考えています。そこで、ヘルプデスクユーザーに注文状況データに安全にアクセスすることを許可するサービスの構築をあなたに依頼しました。

あなたは、Salesforce 接続アプリケーションを使用すれば、外部アプリケーションを Salesforce API と統合できることを知っています。そのため、ヘルプデスクユーザーに注文状況データに安全にアクセスすることを許可する接続アプリケーションを作成することにします。

1. [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに「App (アプリケーション)」と入力し、[App Manager (アプリケーションマネージャー)] を選択します。
2. [New Connected App (新規接続アプリケーション)] をクリックします。
3. ページの [Basic Information (基本情報)] 領域で、接続アプリケーションを説明するために次の情報を指定します。
   1. 接続アプリケーションの名前に、「Customer Order Status (顧客注文状況)」と入力します。
   2. 接続アプリケーションの API 参照名 (プログラムでアプリケーションを参照する際に使用する一意の識別子) については、Tab キーを押すだけで入力されます。API 参照名のデフォルトは接続アプリケーションの名前であり、スペースがアンダースコアに置換されます。
   3. 連絡先メールに、「help.desk@mycompany.com」と入力します。Salesforce は、接続アプリケーションについて連絡する必要がある場合に、この連絡先情報を使用します。Salesforce がこの連絡先情報を共有することはありませんので、ご安心ください。
   4. ロゴ画像 URL については、[Choose one of our sample logos (いずれかのサンプルロゴを選択)] をクリックして、Salesforce のサンプルから [Case Transcript (ケースのトランスクリプト)] ロゴを選択します。[Case Transcript (ケースのトランスクリプト)] ロゴを選択したら、ロゴ URL と アイコン URL の両方をコピーして、それぞれの項目に貼り付けます。このロゴは、アプリケーションランチャーのタイルと、アプリケーションの認証時にユーザーに提示される同意ページの両方に表示されます。
   5. 接続アプリケーションの説明には、「Connected app to securely access customer order status (顧客注文状況に安全にアクセスするための接続アプリケーション)」と入力します。この説明は、アプリケーションランチャーのタイルと、アプリケーションの認証時にユーザーに提示される同意ページの両方に表示されます。 

1. ページの API ([OAuth 設定の有効化]) 領域で、[OAuth 設定の有効化] を選択します。
2. 接続アプリケーションのコールバック URL (認証が成功するとユーザーがリダイレクトされる場所) を次のように入力します: https://openidconnect.herokuapp.com/callback。この URL は、顧客注文状況アプリケーションが正常に認証されたときに、ヘルプデスクユーザーが移動する場所です。認証フローでは機密情報が送信されるため、コールバック URL には安全なホストを使用することが不可欠です。接続アプリケーションに使用されているコールバック URL は、OpenID Connect を使用して安全な Heroku サーバーでホストされています。そのため、データは安全です。OpenID Connectの詳細については、「Welcome to OpenID Connect (OpenID Connect へようこそ)」を参照してください。
3. 接続アプリケーションに適用する OAuth 範囲を選択します。OAuth 範囲では、ユーザーがオフラインのときに接続アプリケーションがユーザーのデータを操作可能かどうかなど、接続アプリケーションの権限を定義できます。顧客注文状況アプリケーションを使用して、Salesforce REST API に保存されている注文状況データに Web 経由でアクセスする必要があるため、Web サーバーフローをサポートする次の範囲を適用します。
   • Access unique user identifiers (openid) (一意のユーザー識別子にアクセス (openid)): この範囲では、アプリケーションで OpenID Connect アプリケーションのログインユーザーの一意の識別子にアクセスできるようになります。アクセストークンの他にも、OpenID Connect の仕様に従い、Web サーバーフローで openid 範囲を使用して、署名付き ID トークンを受け取ります。
   • Manage user data via APIs (api) (API を使用してユーザーデータを管理 (api)): この範囲では、REST API や Bulk API などの API を使用して、現在ログインしているユーザーのアカウントにアクセスできます。この値には、Chatter REST API リソースへのアクセスも含まれます。
   • Manage user data via Web browsers (web) (Web ブラウザーを使用してユーザーデータを管理 (web)): この範囲では、アプリケーションから Web 上でアクセストークンを使用できます。また、顧客が作成した Visualforce ページにアクセスできます。
4. [Require Proof Key for Code Exchange (PKCE) Extension for Supported Authorization Flows (サポートされる認証フローに Proof Key for Code Exchange (PKCE) 拡張を要求)] をオフにします。
5. アクセストークンと交換するアプリケーションのクライアントの秘密を要求するには、[Require Secret for the Web Server Flow (Web サーバーフローの秘密が必要)] を選択します。 
6. 更新トークンおよびハイブリッド更新トークンフローの認証要求でアプリケーションのクライアントの秘密を要求するには、[Require Secret for Refresh Token Flow (更新トークンフローの秘密が必要)] を選択します。このオプションを選択せずに、アプリケーションが認証要求でクライアントの秘密を送信すると、クライアントの秘密は引き続き検証されます。このオプションは、クライアントの秘密を保護できる Web サーバーベースのアプリケーションで選択できます。ただし、モバイルアプリケーションやユーザーのコンピューターにインストールするアプリケーションなど、クライアントの秘密を保護できないアプリケーションでは、このオプションを選択しないことをお勧めします。

ここまで、接続アプリケーションの作成方法を説明してきましたが、次は実際に操作してみましょう。次のステップでは、OAuth 2.0 Web サーバーフローを実装する方法を紹介します。