接続アプリケーションの API アクセスの変更

変更点は?

2014 年 9 月 10 日以降、「API の有効化」プロファイル権限が有効なユーザ以外は、特定された次のような接続アプリケーションにアクセスできなくなります。

• iOS および Android の Salesforce1 ダウンロード可能アプリケーション

• Salesforce for Outlook

• Connect for Outlook

• Connect for Office

予想される動作の変更と具体的なエラーメッセージについては、このナレッジ記事で後述します。

 

この変更は、パートナーが作成した一部の接続アプリケーションにも影響を与える可能性があります。該当するアプリケーション完全なリストについては、このナレッジ記事に添付された影響を受けるアプリケーションのリストを確認してください。パートナーの接続アプリケーションの場合、この変更がアプリケーションの動作に与える影響について、各アプリケーションプロバイダに詳細を問い合わせることをお勧めします。

この変更の理由は?

2013 年 10 月、更新された API ホワイトリスト登録プログラムが導入され、salesforce.com とパートナーは、特定のアプリケーションを、API アクセスがサポートされない一部の Salesforce エディション (Professional Edition、Group Edition、および Contact Manager Edition) に統合できるようになりました。ホワイトリスト登録プログラムでは、アプリケーションに対して徹底したセキュリティレビューが実施され、承認されれば、ホワイトリストに登録されたクライアント ID がアプリケーションに付与されます。この ID によって、アプリケーションは API 接続を確立可能な承認済みエンドポイントとして識別されます。[この API ホワイトリスト登録プログラムの詳細は、ISV 向けドキュメントを参照してください。]

定期的な製品アーキテクチャレビューで、API アクセスがサポートされるエディション (Enterprise Edition、Unlimited Edition、および Performance Edition) において、これらの承認済みエンドポイントから行われた API コールが「API の有効化」ユーザ権限に従っていないことが判明しました。

この動作により、ユーザは、そのプロファイル設定に関係なく API アクセス権を得て、明示的に付与されたアクセス権よりも広い範囲にアクセスできてしまいます。この動作がお客様に悪影響を及ぼした形跡は認められていません。

この問題に対処し、ユーザのデータアクセスとシステム管理者が有効化した権限とに一貫性をもたせるために、今後、これらのアプリケーションには、Enterprise Edition、Unlimited Edition、および Performance Edition において、すべての salesforce.com データ API に関するプロファイル権限を遵守することが要求されます。

2014 年 9 月 10 日以降、ユーザが引き続きこれらの特定の接続アプリケーションにアクセスできるようにするには、「API の有効化」プロファイル権限を有効にする必要があります。

この問題が一部の接続アプリケーションのみに適用される理由は?

この機能強化は、ホワイトリスト登録プログラムの一環として、ホワイトリストに登録された API クライアント ID を付与されているアプリケーションにのみ適用されます。このプログラムの目的は、ホワイトリストに登録された API クライアント ID を付与することによって、API アクセスがサポートされていないエディションで API を利用するアプリケーション (Salesforce1 モバイルアプリケーションなど) を使用できるようにすることでした。ホワイトリスト登録プログラムの詳細は、こちらのドキュメント (http://www.salesforce.com/us/developer/docs/packagingGuide/index_Left.htm#StartTopic=Content/dev_packages_api_access.htm) を参照してください。

レビュー対象外で、プログラムの一環としてホワイトリストに登録されたアプリケーションには、この変更による影響はありません。

この変更で影響を受ける Salesforce アプリケーションは?

salesforce.com では、この変更に対するクライアントアプリケーションの徹底したテストを実施しました。現時点で、この機能強化によって影響を受けることが判明したアプリケーションは次のとおりです。

• iOS および Android の Salesforce1 ダウンロード可能アプリケーション

• Salesforce for Outlook

• Connect for Outlook

• Connect for Office

• Chatter Desktop

• Chatter Messenger (接続アプリケーションではありませんが、「APIの有効化」をONにする必要があります。）

その他の salesforce.com 接続アプリケーションに影響が及んだ形跡はありません。

この変更で影響を受けるパートナーおよび ISV アプリケーションは?

この機能強化により影響を受けるパートナーアプリケーションのリストがこのナレッジ記事に添付されています。アプリケーションプロバイダに問い合わせて、特定のアプリケーションがこの変更によって影響を受けるかどうかを確認することをお勧めします。

この変更が特別に通知された理由は?

salesforce.com は、信頼を最大の価値としています。その一環として、ユーザのアクセス権と有効化された権限とに一貫性を持たせるため、この更新のリリースを優先しました。

Salesforce1 モバイルアプリケーション

Salesforce1 モバイルアプリケーションユーザにとって、この変更による動作の変化は*?

* この動作が有効になるのは、Android および iOS 用ダウンロード可能アプリケーションのバージョン 6.1 のリリース以降です。それより前のバージョンのダウンロード可能アプリケーションを使用するユーザが、API を利用する操作を実行しようとすると、汎用的なエラー「予期しないエラーが発生しました。バージョン 6.1 は、2014 年 9 月のリリースを予定していますが、変更される可能性もあります。」が表示されます。

** 標準の Professional Edition または Group Edition の設定を想定しています。API アクセス権を追加した PE および GE のお客様は、下記の推奨作業に関する質問を確認してください。

*** 「API の有効化」権限を持つ Chatter 外部ユーザの場合も、同様に動作が変更されます。下記のユーザ操作性の変更に関する質問を確認してください。

この変更による影響を受ける Salesforce1 のバージョンは?

この変更は、iOS および Android デバイス用の Salesforce1 ダウンロード可能アプリケーションに適用されます。モバイルブラウザアプリケーションは、同じ API アーキテクチャを使用していないため、影響を受けません。  

Salesforce for Outlook

この動作の変更によるユーザへの影響は?

Salesforce for Outlook v2.3.0 以降で Enterprise Edition、Unlimited Edition、および Performance Edition を使用するユーザは、「API の有効化」プロファイル権限が有効であれば、問題なくログインできます。アクセス権のないユーザがログインしようとすると、「API_Currently_Disabled: API はこのユーザに対して無効化されています。」というエラーメッセージが表示されます。

変更適用時にすでにログイン中であったユーザの場合、システム管理者が「API の有効化」権限を有効化するまで、Salesforce と Outlook 間で同期するように設定されたレコードが同期せず、システムトレイから自分の設定にアクセスできなくなります。同期を正常に完了できないという固有のエラーメッセージが表示されます。

Connect for Outlook

この動作の変更によるユーザへの影響は?

Enterprise Edition、Unlimited Edition、および Performance Editionを使用するユーザは、「API の有効化」プロファイル権限が有効であれば、どのバージョンの Connect for Outlook にもログインできます。アクセス権のないユーザがログインしようとすると、「Salesforce.com にログインできませんでした。Salesforce.com と通信するときにエラーが発生しました。」というエラーメッセージが表示されます。

変更適用時にすでにログイン中であったユーザの場合、システム管理者が「API の有効化」権限を有効化するまで、Salesforce と Outlook 間で同期するように設定されたレコードが同期しなくなります。同期を正常に完了できないという固有のエラーメッセージが表示されます。

Connect for Office

この動作の変更によるユーザへの影響は?

Enterprise Edition、Unlimited Edition、および Performance Editionを使用するユーザは、「API の有効化」プロファイル権限が有効であれば、どのバージョンの Connect for Office にもログインできます。アクセス権のないユーザがログインしようとすると、「要求の処理中に内部サーバエラーが発生しました。」というエラーメッセージが表示されます。エラーメッセージには、ユーザが接続しようとした具体的な URL が表示されます。

変更適用時にすでにログイン中であったユーザの場合、システム管理者が「API の有効化」権限を有効化するまで、Salesforce と Office 間で同期するように設定されたレコードが同期しなくなります。同期を正常に完了できないという固有のエラーメッセージが表示されます。

私は Group Edition または Professional Edition のユーザです。この変更による影響は?

Group Edition または Professional Edition で「API の有効化」権限および「カスタマイズ可能なプロファイル」権限が無効な場合 (これらのエディションのデフォルト)、この更新により、ホワイトリストに登録された既存の接続アプリケーションの動作が変更されることはありません。組織でこれらの権限が両方とも有効になっている場合、上記の推奨作業に従ってください。

API アクセスが有効で、Android 用の Salesforce1 ダウンロード可能アプリケーションを使用している Chatter 外部ユーザがいます。この動作の変更による影響は?

「API の有効化」権限が有効な場合、次のような変更点があります。

• ユーザが、グループやアーカイブ済みグループなどのリストを確認しようとすると、「最近参照したデータはありません」というエラーメッセージが表示される場合があります。これらのユーザは [最後に使用] (MRU) リストを使用できないため、このリストは表示されません。外部ユーザの大半が 1 つのグループのみに属している場合、影響は最小限で済みます。推奨される回避策は、アプリケーションメニューを使用してグループにアクセスすることです。弊社の技術チームでは、次回の Android アプリケーションの更新に向け、よりわかりやすいエラーメッセージの実装に取り組んでいます。  

• Android ユーザの場合、[人+] アイコン (@メンションの追加に使用) を使用して新規投稿を行うことができません。代わりに、Salesforce デスクトップの場合と同様に、テキストエディタ内の @メンション機能を使用して、チームまたは人を参照してください。

salesforce.com が推奨するデータセキュリティ実践方法に関する詳細な情報を入手するには?

セキュリティに関する詳細は、データアクセスのセキュリティ のドキュメントを参照してください。