Ändring i API-åtkomst för anslutna applikationer

Vad innebär ändringen?

Efter 10 september 2014 kommer endast användare med "API-aktiverad"-profilbehörigheten aktiverad att ha tillgång till de identifierade anslutna apparna inklusive:

• Salesforce1 nedladdningsbara appar för iOS- och Android-enheter

• Salesforce for Outlook

• Connect for Outlook

• Connect for Office

För mer information om förväntade förändringar i beteende och specifika felmeddelanden, läs igenom denna artikel.

 

Denna ändring kan även påverka en underuppsättning appar skapade av våra partners. En komplett lista över alla dessa applikationer hittar du i listan över påverkade appar, som bifogas till denna kunskapsartikel. När det gäller partneranslutna appar uppmanar vi dig att kontakta leverantören för ytterligare information om hur denna förändring kan påverka appens beteende.

Varför denna förändring?

I oktober 2013 införde vi ett uppdaterat API vitlistningsprogram för att låta salesforce.com och våra partners integrera vissa appar med vissa Salesforce-versioner (Professional, Group och Contact Manager) som inte stöder API-åtkomst. Som en del av detta program genomgår appar en grundlig säkerhetsöversyn och om de godkänns får de ett vitlistat klient-ID som identifierar appen som en godkänd ändpunkt som kan upprätta en API-anslutning. För mer information om detta API-vitlistningsprogram, vänligen se vår ISV-dokumentation.

Under en rutinmässig granskning av produktarkitektur fann vi att API-anrop med ursprung från dessa godkända ändpunkter inte följde användarbehörigheten "API-aktiverad" för versioner som har stöd för API-åtkomst (versionerna Enterprise, Unlimited och Performance).

Detta beteende ledde till att användare ges tillgång till API oavsett profilinställningar, vilket skapar möjlighet för dem att ha större tillgång än vad som uttryckligen beviljas. Vi har inga bevis för att kunderna hr påverkats negativt av detta beteende.

I syfte att åtgärda detta problem och säkerställa att en användares åtkomst till data är förenlig med de behörigheter du har aktiverat kräver vi nu att dessa appar respekterar profilbehörigheterna för alla salesforce.com-data API:er i versionerna Enterprise, Unlimited och Performance.

Från och med den 10 september 2014 måste "API-aktiverad" profilbehörigheten aktiveras för att säkerställa att användarna fortsatt kan ha tillgång till dessa anslutna appar.

Varför gäller detta problem endast en underuppsättning anslutna appar?

Denna förbättring gäller endast appar som har beviljats ett vitlistat API-klient-ID som en del av vårt vitlistningsprogram. Programmets syfte var att låta versioner som inte stöder API-åtkomst använda API-beroende appar, såsom mobilappen Salesforce1, genom att tilldela ett vitlistat API-klient-ID. Läs igenom den här dokumentationen för mer information om vitlistningsprogrammet: http://www.salesforce.com/us/developer/docs/packagingGuide/index_Left.htm#StartTopic=Content/dev_packages_api_access.htm

Appar som inte har granskats och vitlistats som en del av programmet påverkas inte av denna förändring.

Vilka Salesforce-program kommer att påverkas av denna förändring?

Vi har gjort noggranna tester av våra klientappar gentemot denna förändring. De för närvarande kända apparna som påverkas av denna förbättring är följande:

• Salesforce1 nedladdningsbara appar för iOS- och Android-enheter

• Salesforce for Outlook

• Connect for Outlook

• Connect for Office

Vi har inga bevis på att andra salesforce.com-anslutna appar påverkas.

Vilka parter- och ISV-program kommer att påverkas av denna förändring?

En lista över partnerprogram som kommer att påverkas av denna förbättring bifogas till denna kunskapsartikel. Vi rekommenderar att du kontaktar appleverantören för att avgöra om en specifik app berörs av denna förändring.

Varför får vi kännedom om denna förändring med relativt kort notis?

För oss på salesforce.com är förtroende vårt 1:a värde. Med det i åtanke, prioriterade vi att släppa denna uppdatering för att göra användarnas åtkomst överensstämmande med de aktiverade behörigheterna.

Salesforce1 mobilapp

Vilket nytt beteende kan Salesforce1 mobilapp-användare förvänta sig i och med denna förändring*?

*Observera att detta beteende kommer att börja i och med lanseringen av version 6.1 av de nedladdningsbara apparna för Android och iOS. Användare med tidigare versioner av nedladdningsbara applikationer kommer att se följande allmänna felmeddelande när de försöker utföra API-beroende aktiviteter: "Hoppsan, vi stötte på oväntat fel, beklagar". Version 6.1 är planerad att släppas i september 2014. Datum kan komma att ändras.

**Förutsätter Professional eller Group Edition-version. PE & GE-kunder som har lagt till API-åtkomst, läs frågan nedan som gäller rekommenderade åtgärder.

***Chatter External-användare med API-aktiverad kommer också att uppleva en viss förändring i beteende. Läs frågan nedan som gäller förändrad användarupplevelse.

Vilka versioner av Salesforce1 påverkas av denna förändring?

Denna ändring gäller den nedladdningsbara appen för iOS- och Android-enheter. Den mobila webbläsarappen påverkas inte eftersom den inte förlitar sig på samma API-arkitektur.  

Salesforce for Outlook

Vilken förändring i beteende kan mina användare förvänta sig?

Användare som arbetar i versionerna Enterprise, Unlimited och Performance i Salesforce for Outlook v2.3.0 och senare kommer endast att kunna logga in om de har "API-aktiverad" profilbehörighet. Användare utan åtkomst som försöker logga in visas följande felmeddelande: “API_Currently_Disabled: API är avaktiverad för denna användare".

För de användare som redan är inloggade när ändringen träder i kraft kommer poster inställda för synkronisering mellan Salesforce och Outlook inte att synkas, och användare kommer inte att kunna komma åt sina inställningar från systemfältet förrän administratören aktiverar behörigheten "API-aktiverad". Felmeddelandet som visas kommer att specifikt gälla oförmågan att framgångsrikt slutföra synkronisering.

Connect for Outlook

Vilken förändring i beteende kan mina användare förvänta sig?

Användare som arbetar i versionerna Enterprise, Unlimited och Performance kommer endast att kunna logga in några versioner av Connect for Outlook om de har "API-aktiverad" profilbehörighet. Användare utan åtkomst som försöker logga in visas följande felmeddelande: "Det gick inte att logga in på salesforce.com. Ett fel uppstod vid försök att kontakta Salesforce.com".

För de användare som redan är inloggade när ändringen träder i kraft kommer poster inställda för synkronisering mellan Salesforce och Outlook inte att synkas förrän administratören aktiverar behörigheten "API-aktiverad". Felmeddelandet som visas kommer att specifikt gälla oförmågan att framgångsrikt slutföra synkronisering.

Connect for Office

Vilken förändring i beteende kan mina användare förvänta sig?

Användare som arbetar i versionerna Enterprise, Unlimited och Performance kommer endast att kunna logga in några versioner av Connect for Office om de har "API-aktiverad" profilbehörighet. Användare utan åtkomst som försöker logga in visas följande felmeddelande: "Ett internt serverfel uppstod när din begäran skulle hanteras". Observera att felmeddelandet kommer att visa den specifika URL-användaren försöker ansluta till.

För de användare som redan är inloggade när ändringen träder i kraft kommer poster inställda för synkronisering mellan Salesforce och Office inte att synkas förrän administratören aktiverar behörigheten "API-aktiverad". Felmeddelandet som visas kommer att specifikt gälla oförmågan att framgångsrikt slutföra synkronisering.

Jag är Group- eller Professional-versionskund. Hur påverkar ändringen mig?

Denna uppdatering ändrar inte det befintliga vitlistade anslutna appbeteendet för versionerna Group och Professional som har behörigheterna "API-aktiverad" och "Anpassningsbara profiler" avstängda (vilket är standard för dessa versioner). Om du har BÅDA dessa behörigheter aktiverade i din organisation, följ de rekommenderade åtgärderna ovan.

I har External-användare, med API-åtkomst aktiverade, via hjälp av Salesforce1 nedladdningsbars app för Android. Vilken förändring i beteende kommer de se?

Om behörigheten "API-aktiverad" är aktiverat, kommer de se följande ändringar:

• Användare kan se felmeddelandet "Inga nyligen visade objekt" när de försöker se sin lista över grupper, arkiverade grupper, etc. Denna lista visas inte på grund av att "Senast använt"-listan inte är tillgänglig för dessa användare. Påverkan bör vara minimal med tanke på att den stora majoriteten av External-användare bara hör till en enda grupp. Den rekommenderade lösningen är att använda appmenyn för att komma åt grupper. Våra tekniska team kommer att arbeta med att implementera mer beskrivande felmeddelanden för nästa Android-appuppdatering.  

• För Android-användarna som gör ett nytt inlägg, kommer inte Person+ikonen (används för att lägga till ett @omnämnande) att fungera. Använd i stället den @omnämnande-funktionen i textredigeraren för att hänvisa till en grupp eller person så som du gör på fasta versionen av Salesforce.

Hur kan jag få mer information om salesforce.com's rekommenderade datasäkerhetspraxis?

Om du vill lära dig mer om säkerhet rekommenderar vi att du dig läser vår dokumentation om att säkra tillgång till data eller använda instruktionerna i Salesforce Security Workbook.