接続アプリケーションへのアクセスを管理する

この情報を使用して、接続アプリケーションを管理する作業に取りかかりましょう。

1. [Permitted Users (許可されているユーザー)] ポリシーを設定します。[Permitted Users (許可されているユーザー)] ポリシーは、接続アプリケーションの実行をユーザーが事前承認されるかどうかを定義します。[Admin approved users are pre-authorized (管理者が承認したユーザーは事前承認済み)] オプションでは、関連付けられたプロファイルを持つユーザーのみがアプリケーションにアクセスできます。このユーザーは最初にアプリケーションの実行を承認する必要はありません。[All Users may self-authorize (すべてのユーザーは自己承認可能)] オプションでは、サインインに成功すると、組織内のすべてのユーザーがアプリケーションの実行を承認できるようになります。しかし、アプリケーションを実行するのは、事前承認されたユーザーのみにする必要があります。
   1. [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに「Connected Apps (接続アプリケーション)」と入力し、[Manage Connected Apps (接続アプリケーションを管理する)] を選択します。
   2. [Customer Order Status (顧客注文状況)] 接続アプリケーションの横にある [Edit (編集)] をクリックします。
   3. [OAuth policies (OAuth ポリシー)] で [Permitted Users (許可されているユーザー)] ドロップダウンをクリックし、[Admin approved users are pre-authorized (管理者が承認したユーザーは事前承認済み)] を選択します。
   4. [Save (保存)] をクリックします。
2. サポートプロファイルを [Customer Order Status (顧客注文状況)] 接続アプリケーションに割り当てます。先ほど、顧客注文状況接続アプリケーションの使用について、システム管理者が許可したユーザーは事前承認されることを定義しました。次は、事前承認されたユーザーを定義する必要があります。事前承認されたユーザーはプロファイルまたは権限セットを使用して定義できます。このステップでは [Custom: Support Profile (カスタム: サポートプロファイル)] を使用します。これは、Trailhead Playground にすでに設定されています。顧客注文状況接続アプリケーションを使用するには、このプロファイルに事前承認を設定する必要があります。
   1. [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに「Connected Apps (接続アプリケーション)」と入力し、[Manage Connected Apps (接続アプリケーションを管理する)] を選択します。
   2. [Customer Order Status (顧客注文状況)] 接続アプリケーションをクリックします。
   3. [Profiles (プロファイル)] までスクロールして、[Manage Profiles (プロファイルを管理する)] をクリックします。
   4. 表示リストで、[Custom: Support Profile (カスタム: サポートプロファイル)] を見つけて、チェックボックスをオンにします。
   5. [Save (保存)] をクリックします。 これで、[Custom: Support Profile (カスタム: サポートプロファイル)] を持つすべてのユーザーが顧客注文状況接続アプリケーションの使用を事前承認されました。

1. [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに「Connected Apps (接続アプリケーション)」と入力し、[Manage Connected Apps (接続アプリケーションを管理する)] を選択します。
2. [Customer Order Status (顧客注文状況)] 接続アプリケーションの横にある [Edit (編集)] をクリックします。
3. [OAuth policies (OAuth ポリシー)] で、[IP Relaxation (IP 制限の緩和)] ドロップダウンをクリックします。選択できるオプションは次のとおりです。
   • Enforce IP restrictions (IP 制限を適用) - ユーザープロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。ヘルプデスクユーザーのプロファイルには、会社のネットワークへのアクセスを制限する IP 範囲が設定されています。そのため、ヘルプデスクユーザーは、在席しているとき、または企業 VPN を通じてネットワークに接続しているときにのみ、組織にログインできます。従って、このオプションは、顧客のサイトからアプリケーションにアクセスしようするヘルプデスクユーザーには適していません。
   • IP 制限を適用し、更新トークンを緩和 - [Enforce IP restrictions (IP 制限を適用)] と同様に、ユーザープロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。ただし、このオプションでは、接続アプリケーションでアクセストークンの取得に更新トークンが使用される場合、この制限はスキップされます。そもそも、顧客注文状況接続アプリケーションでは更新トークンは使用されません。そのため、このオプションは、最初のオプションと同じく役に立ちません。
   • Relax IP restrictions for activated devices (有効化されたデバイスの IP 制限を緩和) - アプリケーションを実行しているユーザーは、次のいずれかの条件を満たす場合に、組織の IP 制限をスキップできます。
     • アプリケーションに許可された IP 範囲のリストが存在し、アプリケーションで Web サーバーの OAuth 認証フローが使用されており、このような IP からの要求のみが許可される。
     • アプリケーションに許可される IP 範囲のリストが存在しないが、アプリケーションで Web サーバーの認証フローが使用されており、ユーザーが新しいブラウザーまたはデバイスから Salesforce にアクセスした場合に ID 検証を正常に完了している。
   • このオプションは、顧客注文状況接続アプリケーションで機能する可能性があります。すべての顧客のサイトに対して許可された IP 範囲のリストを作成することはあまり現実的ではありませんが、接続アプリケーションでは Web サーバーフローが使用されます。ヘルプデスクユーザーは、モバイルデバイスから Salesforce 組織にログインすることで、顧客のサイトからアプリケーションを実行できます。
   • Relax IP restrictions (IP 制限の緩和) - ユーザーは組織の IP 制限なしでこのアプリケーションを実行できます。このオプションを使用すると、ヘルプデスクユーザーは顧客のサイトから顧客注文状況アプリケーションを実行できるようになりますが、Salesforce に対して ID 検証を行う必要はありません。認証で提供されるセキュリティを維持する必要があるため、接続アプリケーションにはこのオプションを使用しないようにします。
4. [Relax IP restrictions for activated devices (有効化したデバイスの IP 制限を緩和)] を選択します。ヘルプデスクユーザーは、Salesforce 組織に対して ID 検証を行えば、どこからでも顧客注文状況アプリケーションを実行できます。
5. [Save (保存)] をクリックし、接続アプリケーションに正しいアクセスポリシーが割り当てられていることを確認します。

皆さんのおかげで、ヘルプデスクユーザーが顧客注文状況 Web サイトにアクセスできるようになりました。これで、接続アプリケーションのエキスパートに一歩近づきましたね。