Modification de l'accès API à des applications connectées

En quoi consiste cette modification ?

À compter du 10 septembre 2014, seuls les utilisateurs qui ont l'autorisation « API activée » activée dans leur profil pourront accéder aux applications connectées identifiées, qui comprennent :

• Applications téléchargeables Salesforce1 pour appareils iOS et Android

• Salesforce pour Outlook

• Connect pour Outlook

• Connect pour Office

Cet article présente les prochaines modifications du comportement et les messages d'erreur spécifiques.

 

Cette modification peut également affecter un sous-ensemble d'applications connectées créées par nos partenaires. Pour une liste complète de ces applications, consultez la liste des applications affectées jointe à cet article de la base de connaissances. Pour les applications connectées de partenaires, nous vous invitons à contacter le fournisseur de l'application afin de déterminer l'impact possible de cette modification sur le comportement des applications.

Qu'est-ce qui justifie cette modification ?

Au mois d'octobre 2013, nous avons introduit une mise à jour du programme d'ajout d'API à la liste blanche afin de permettre à salesforce.com et à nos partenaires d'intégrer certaines applications à des éditions Salesforce (Professional, Group et Contact Manager) qui ne prennent pas en charge l'accès API. Dans le cadre de ce programme, la sécurité des applications est rigoureusement examinée. Lorsqu'elles sont approuvées, un ID client de liste blanche leur est attribué, qui identifie l'application en tant que point de terminaison approuvé et autorisé à établir une connexion API. [Pour plus d'informations sur le programme d'ajout d'API à la liste blanche, reportez-vous à notre documentation ISV.]

Lors d'un examen de routine de notre architecture produit, nous avons détecté que des appels API provenant de ces points de terminaison approuvés ne respectaient pas les autorisations utilisateur « API activée » pour les éditions qui prennent en charge l'accès API (éditions Enterprise, Unlimited et Performance).

En raison de ce comportement, l'accès API était accordé aux utilisateurs indépendamment des paramètres de leur profil. Ils disposaient ainsi d'un niveau d'accès supérieur à celui qui leur avait été explicitement octroyé. Nous n'avons cependant aucun témoignage de clients affectés par cette situation.

Pour corriger ce problème et garantir la cohérence de l'accès des utilisateurs avec les autorisations que vous avez activées, nous imposons à ces applications de respecter les autorisations de profil pour l'ensemble des API de données salesforce.com dans les éditions Enterprise, Unlimited et Performance.

À compter du 10 septembre 2014, l'autorisation « API activée » doit être activée dans le profil des utilisateurs qui souhaitent accéder à ces applications connectées spécifiques.

Pourquoi cette modification concerne-t-elle uniquement un sous-ensemble d'applications connectées ?

Cette optimisation s'applique uniquement aux applications qui ont reçu un ID client d'API en liste blanche dans le cadre de notre programme d'ajout à la liste blanche. Ce programme était destiné à permettre aux éditions qui ne prennent pas en charge l'accès API à utiliser des applications dépendantes d'API, notamment l'application mobile Salesforce1, en attribuant un ID client d'API en liste blanche. Pour plus d'informations sur le programme d'ajout à la liste blanche, reportez-vous à la documentation suivante : http://www.salesforce.com/us/developer/docs/packagingGuide/index_Left.htm#StartTopic=Content/dev_packages_api_access.htm

Cette modification ne s'applique pas aux applications qui n'ont pas été contrôlées et ajoutées à la liste blanche dans le cadre de ce programme.

Quelles sont les applications Salesforce affectées par cette modification ?

Nous avons effectué des tests complets avec cette modification sur nos applications clientes. À ce jour, les applications connues impactées par cette optimisation sont les suivantes :

• Applications téléchargeables Salesforce1 pour appareils iOS et Android

• Salesforce pour Outlook

• Connect pour Outlook

• Connect pour Office

Nous n'avons détecté aucune autre application connectée salesforce.com affectée.

Les applications de partenaires et d'éditeurs de logiciels sont-elles affectées par cette modification ?

La liste des applications partenaires concernées par cette optimisation est jointe à cet article de la base de connaissances. Nous vous invitons à contacter le fournisseur de toute application spécifique afin de déterminer si elle est affectée par cette modification.

Pourquoi recevons-nous une notification limitée de cette modification ?

Chez salesforce.com, la confiance est notre première valeur. Dans cette optique, nous avons privilégié la publication de cette mise à jour afin de garantir la cohérence de l'accès des utilisateurs avec les autorisations activées.

Application mobile Salesforce1

Quel sera le nouveau comportement de l'application mobile Salesforce1 pour les utilisateurs ? *

* Notez que ce comportement s'applique à partir de la version 6.1 des applications téléchargeables pour Android et iOS. Les utilisateurs qui tentent d'exécuter des activités dépendantes d'API avec des versions antérieures des applications téléchargeables affichent le message d'erreur générique suivant : « Désolé, nous avons rencontré une erreur inattendue ». La publication de la version 6.1 est prévue pour le mois de septembre 2014. La date peut changer.

** Avec une configuration Professional Edition ou Group Edition standard. Nous invitons les clients PE et GE qui ont un accès API supplémentaire à lire la question correspondante ci-dessous qui présente l'action recommandée.

*** Les utilisateurs externes de Chatter avec l'API activée constateront un changement de comportement. Reportez-vous à la question correspondante ci-dessous qui présente la nouvelle expérience utilisateur.

Quelles sont les versions de Salesforce1 impactées par cette modification ?

Cette modification s'applique aux applications téléchargeables pour les appareils iOS et Android. L'application navigateur mobile n'est pas affectée, car elle ne s'appuie pas sur la même architecte d'API. 

Salesforce pour Outlook

Quel changement de comportement les utilisateurs vont-ils constater ?

Les utilisateurs qui travaillent avec les éditions Enterprise, Unlimited et Performance dans Salesforce pour Outlook v2.3.0 et supérieures pourront se connecter uniquement si l'autorisation « API activée » est activée dans leur profil. Les utilisateurs sans accès qui tentent de se connecter recevront le message d'erreur suivant : « API_Currently_Disabled : l'API est désactivée pour cet utilisateur ».

Si les utilisateurs sont déjà connectés lors de l'entrée en vigueur de cette modification, les enregistrements définis pour la synchronisation entre Salesforce et Outlook ne seront pas synchronisés, et ils ne pourront pas accéder à leurs paramètres dans la barre d'état système tant que leur administrateur n'aura pas activé l'autorisation « API activée ». Le message d'erreur affiché indiquera l'impossibilité d'exécuter la synchronisation.

Connect pour Outlook

Quel changement de comportement les utilisateurs vont-ils constater ?

Les utilisateurs qui travaillent avec les éditions Enterprise, Unlimited et Performance pourront se connecter à une version de Connect pour Outlook uniquement si l'autorisation « API activée » est activée dans leur profil. Les utilisateurs sans accès qui tentent de se connecter recevront le message d'erreur suivant : « Échec de la connexion à Salesforce.com. Une erreur s'est produite en essayant de contacter Salesforce.com ».

Si les utilisateurs sont déjà connectés lors de l'entrée en vigueur de cette modification, les enregistrements définis pour la synchronisation entre Salesforce et Outlook ne seront pas synchronisés tant que leur administrateur n'aura pas activé l'autorisation « API activée ». Le message d'erreur affiché indiquera l'impossibilité d'exécuter la synchronisation.

Connect pour Office

Quel changement de comportement les utilisateurs vont-ils constater ?

Les utilisateurs qui travaillent avec les éditions Enterprise, Unlimited et Performance pourront se connecter à une version de Connect pour Office uniquement si l'autorisation « API activée » est activée dans leur profil. Les utilisateurs sans accès qui tentent de se connecter recevront le message d'erreur suivant : « Une erreur interne du serveur s'est produite lors du traitement de votre requête ». Notez que le message d'erreur indique l'URL spécifique à laquelle l'utilisateur tente de se connecter.

Si les utilisateurs sont déjà connectés lors de l'entrée en vigueur de cette modification, les enregistrements définis pour la synchronisation entre Salesforce et Office ne seront pas synchronisés tant que leur administrateur n'aura pas activé l'autorisation « API activée ». Le message d'erreur affiché indiquera l'impossibilité d'exécuter la synchronisation.

Je suis client(e) de Group Edition ou Professional Edition. En quoi cette modification ne concerne-t-elle ?

Cette mise à jour ne change pas le comportement des applications connectées présentes dans la liste blanche pour l'édition Group ou Professional dans laquelle les autorisations « API activée » et « Profils personnalisables » sont désactivées (paramètres par défaut de ces éditions). Si vous avez les DEUX autorisations activées dans votre organisation, suivez les actions recommandées ci-dessus.

J'ai des utilisateurs externes de Chatter, avec l'accès API activé, qui utilisent l'application téléchargeable Salesforce1 pour Android. Quel changement de comportement vont-ils constater ?

Si l'autorisation « API activée » est activée, ils constateront les modifications suivantes :

• Les utilisateurs peuvent recevoir le message d'erreur « Aucun élément récemment visualisé » en tentant de consulter une liste de groupes, de groupes archivés, etc. Cette liste n'est pas affichée, car la liste Récemment utilisés (MRU) n'est pas disponible pour ces utilisateurs. L'impact devrait être minimal, car la grande majorité des utilisateurs externes appartiennent à un seul groupe. Nous recommandons d'utiliser le menu des applications pour accéder à des groupes. Notre équipe technique prépare des messages d'erreur plus explicites pour la prochaine mise à jour de l'application pour Android.

• Pour les utilisateurs d'Android qui réalisent une nouvelle publication, l'utilisation de l'icône Personne+ (utilisée pour ajouter une @mention) ne fonctionne pas. Pour référencer une équipe ou une personne, utilisez à la place la fonctionnalité @mention à l'aide de l'éditeur de texte, comme avec Salesforce pour ordinateur de bureau.

Comment puis-je obtenir des informations supplémentaires sur les pratiques recommandées par salesforce.com en matière de sécurité des données ?

Pour en savoir plus sur la sécurité, nous vous invitons à lire notre documentation relative à la sécurité de l'accès aux données ou de vous reporter à Salesforce Security Workbook (disponible uniquement en anglais) pour consulter les didacticiels correspondants.