接続アプリケーションへのアクセスを管理する
メモ
日本語で受講されている方へ
Challenge は日本語の Trailhead Playground で開始し、かっこ内の翻訳を参照しながら進めていってください。Challenge での評価は英語データを対象に行われるため、英語の値のみをコピーして貼り付けるようにしてください。日本語の組織で Challenge が不合格だった場合は、(1) この手順に従って [Locale (地域)] を [United States (米国)] に切り替え、(2) [Language (言語)] を [English (英語)] に切り替えてから、(3) [Check Challenge (Challenge を確認)] ボタンをクリックしてみることをお勧めします。
翻訳版 Trailhead を活用する方法の詳細は、自分の言語の Trailhead バッジを参照してください。
接続アプリケーションへのアクセスをどのように管理できるか?
顧客注文状況接続アプリケーションを提供したところで、次はその接続アプリケーションへのアクセスを管理する必要があります。接続アプリケーションはすでに組織内に作成されているため、インストールを心配する必要はありません。ただし、Salesforce システム管理者として、アプリケーションへのアクセスを管理するには、どのような設定を定義すればよいかわかりますか? よくわからない場合は、次の点を自問してください。
-
アプリケーションは何のために使用されているのか? このシナリオでは、アプリケーションを使用することで、外部の Web サービスが Salesforce インスタンスの顧客注文状況データにアクセスできるようになります。
-
このアプリケーションを使用する必要があるのは誰か? このアプリケーションにアクセスする必要がある唯一の従業員は、カスタマーサービス部門のヘルプデスクユーザーです。
-
ユーザーはどこからアプリケーションにアクセスするのか? ほとんどの場合、ヘルプデスクユーザーは、ヘルプデスク部内から接続アプリケーションにアクセスします。ただし、顧客のサイトにいる場合など、社内ネットワークの外からこの接続アプリケーションにアクセスする必要がある場合があります。
この情報を使用して、接続アプリケーションを管理する作業に取りかかりましょう。
どのユーザーが接続アプリケーションにアクセスできるかを定義する
接続アプリケーションのアクセスを管理する最初のステップとして、顧客注文状況接続アプリケーションを使用できるユーザーを定義します。このユーザーを定義するには、3 つのステップを完了する必要があります。
- [Permitted Users (許可されているユーザー)] ポリシーを設定します。[Permitted Users (許可されているユーザー)] ポリシーは、接続アプリケーションの実行をユーザーが事前承認されるかどうかを定義します。[Admin approved users are pre-authorized (管理者が承認したユーザーは事前承認済み)] オプションでは、関連付けられたプロファイルを持つユーザーのみがアプリケーションにアクセスできます。このユーザーは最初にアプリケーションの実行を承認する必要はありません。[All Users may self-authorize (すべてのユーザーは自己承認可能)] オプションでは、サインインに成功すると、組織内のすべてのユーザーがアプリケーションの実行を承認できるようになります。しかし、アプリケーションを実行するのは、事前承認されたユーザーのみにする必要があります。
- [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに「Connected Apps (接続アプリケーション)」と入力し、[Manage Connected Apps (接続アプリケーションを管理する)] を選択します。
- [Customer Order Status (顧客注文状況)] 接続アプリケーションの横にある [Edit (編集)] をクリックします。
- [OAuth policies (OAuth ポリシー)] で [Permitted Users (許可されているユーザー)] ドロップダウンをクリックし、[Admin approved users are pre-authorized (管理者が承認したユーザーは事前承認済み)] を選択します。
![[Manage Connected Apps (接続アプリケーションを管理する)] ページの接続アプリケーションの [Permitted Users (許可されているユーザー)] オプションに表示されている選択肢 [Admin approved users are pre-authorized (管理者が承認したユーザーは事前承認済み)]。](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/projects/build-a-connected-app-for-api-integration/manage-access-to-your-connected-app/images/ja-JP/2bea7882c5bfc551101a2ba6e3a89ea4_kix.fq7s72vykvjv.png)
-
[Save (保存)] をクリックします。
- サポートプロファイルを [Customer Order Status (顧客注文状況)] 接続アプリケーションに割り当てます。先ほど、顧客注文状況接続アプリケーションの使用について、システム管理者が許可したユーザーは事前承認されることを定義しました。次は、事前承認されたユーザーを定義する必要があります。事前承認されたユーザーはプロファイルまたは権限セットを使用して定義できます。このステップでは [Custom: Support Profile (カスタム: サポートプロファイル)] を使用します。これは、Trailhead Playground にすでに設定されています。顧客注文状況接続アプリケーションを使用するには、このプロファイルに事前承認を設定する必要があります。
- [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに「Connected Apps (接続アプリケーション)」と入力し、[Manage Connected Apps (接続アプリケーションを管理する)] を選択します。
- [Customer Order Status (顧客注文状況)] 接続アプリケーションをクリックします。
- [Profiles (プロファイル)] までスクロールして、[Manage Profiles (プロファイルを管理する)] をクリックします。
- 表示リストで、[Custom: Support Profile (カスタム: サポートプロファイル)] を見つけて、チェックボックスをオンにします。
-
[Save (保存)] をクリックします。
![顧客注文状況接続アプリケーションに割り当てられた [Custom: Support Profile (カスタム: サポートプロファイル)]。](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/projects/build-a-connected-app-for-api-integration/manage-access-to-your-connected-app/images/ja-JP/ecc3dacb6b6d2c1eb0d22654ea1942a2_kix.t7k0c49m6nze.png)
これで、[Custom: Support Profile (カスタム: サポートプロファイル)] を持つすべてのユーザーが顧客注文状況接続アプリケーションの使用を事前承認されました。
ユーザーがどこから接続アプリケーションにアクセスできるかを定義する
これで、アプリケーションを使用できるユーザーを定義できました。次は、そのユーザーがアプリケーションを使用できる場所を設定します。IP 制限の緩和ポリシーで場所へのアクセスを定義することができます。
- [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに「Connected Apps (接続アプリケーション)」と入力し、[Manage Connected Apps (接続アプリケーションを管理する)] を選択します。
- [Customer Order Status (顧客注文状況)] 接続アプリケーションの横にある [Edit (編集)] をクリックします。
- [OAuth policies (OAuth ポリシー)] で、[IP Relaxation (IP 制限の緩和)] ドロップダウンをクリックします。選択できるオプションは次のとおりです。
- Enforce IP restrictions (IP 制限を適用) - ユーザープロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。ヘルプデスクユーザーのプロファイルには、会社のネットワークへのアクセスを制限する IP 範囲が設定されています。そのため、ヘルプデスクユーザーは、在席しているとき、または企業 VPN を通じてネットワークに接続しているときにのみ、組織にログインできます。従って、このオプションは、顧客のサイトからアプリケーションにアクセスしようするヘルプデスクユーザーには適していません。
- IP 制限を適用し、更新トークンを緩和 - [Enforce IP restrictions (IP 制限を適用)] と同様に、ユーザープロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。ただし、このオプションでは、接続アプリケーションでアクセストークンの取得に更新トークンが使用される場合、この制限はスキップされます。そもそも、顧客注文状況接続アプリケーションでは更新トークンは使用されません。そのため、このオプションは、最初のオプションと同じく役に立ちません。
- Relax IP restrictions for activated devices (有効化されたデバイスの IP 制限を緩和) - アプリケーションを実行しているユーザーは、次のいずれかの条件を満たす場合に、組織の IP 制限をスキップできます。
- アプリケーションに許可された IP 範囲のリストが存在し、アプリケーションで Web サーバーの OAuth 認証フローが使用されており、このような IP からの要求のみが許可される。
- アプリケーションに許可される IP 範囲のリストが存在しないが、アプリケーションで Web サーバーの認証フローが使用されており、ユーザーが新しいブラウザーまたはデバイスから Salesforce にアクセスした場合に ID 検証を正常に完了している。
- このオプションは、顧客注文状況接続アプリケーションで機能する可能性があります。すべての顧客のサイトに対して許可された IP 範囲のリストを作成することはあまり現実的ではありませんが、接続アプリケーションでは Web サーバーフローが使用されます。ヘルプデスクユーザーは、モバイルデバイスから Salesforce 組織にログインすることで、顧客のサイトからアプリケーションを実行できます。
- Relax IP restrictions (IP 制限の緩和) - ユーザーは組織の IP 制限なしでこのアプリケーションを実行できます。このオプションを使用すると、ヘルプデスクユーザーは顧客のサイトから顧客注文状況アプリケーションを実行できるようになりますが、Salesforce に対して ID 検証を行う必要はありません。認証で提供されるセキュリティを維持する必要があるため、接続アプリケーションにはこのオプションを使用しないようにします。
-
[Relax IP restrictions for activated devices (有効化したデバイスの IP 制限を緩和)] を選択します。ヘルプデスクユーザーは、Salesforce 組織に対して ID 検証を行えば、どこからでも顧客注文状況アプリケーションを実行できます。
-
[Save (保存)] をクリックし、接続アプリケーションに正しいアクセスポリシーが割り当てられていることを確認します。
![顧客注文状況接続アプリケーションに割り当てられた [OAuth policies (OAuth ポリシー)]。](https://res.cloudinary.com/hy4kyit2a/f_auto,fl_lossy,q_70/learn/projects/build-a-connected-app-for-api-integration/manage-access-to-your-connected-app/images/ja-JP/253d0386decf37e760fd1d0543d49cf6_kix.ja4e0cv5v9dn.png)
成果
これで、次の場合にのみ接続アプリケーションを使用できるように正常に設定できました。
- ユーザーに [Custom: Support Profile (カスタム: サポートプロファイル)] プロファイルが割り当てられている。
- アプリケーションへの初回のアクセス時に、ユーザーが組織に対して ID 検証を行う。
皆さんのおかげで、ヘルプデスクユーザーが顧客注文状況 Web サイトにアクセスできるようになりました。これで、接続アプリケーションのエキスパートに一歩近づきましたね。
リソース