Microsoft Edge ブラウザリリース 86 は、SameSite Cookie の動作を変更し、Salesforce インテグレーションに影響を与える可能性があります

この変更による影響:

これらの SameSite の変更により、組織に変更を加える必要がある場合があります。

1. Cookie は、組織のコミュニティ、ポータル、サイト、Outlook または Gmail インテグレーションなどを含む非セキュアな (HTTP) ブラウザアクセスでは機能しません。 代わりに HTTPS を使用してください。
2. Cookie に依存するカスタムインテグレーションは、Microsoft Edge では機能しなくなる可能性があります。この変更は、クロスドメイン通信、および iframe を使用したインテグレーションに特に影響しますが、これらに限定されません。


必要な対応:

1. HTTP の代わりに HTTPS を使用する

組織で HTTPS アクセスを必要とするには、[設定] メニューで下記のセッションの設定が有効になっていることを確認します。これらの設定はデフォルトで有効になっていますが、組織で HTTPS が必要であることを確認する必要があります。

[設定] から、クイック検索ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。

セキュアな接続 (HTTPS) が必要

Salesforce にログインまたはアクセスするために HTTPS が必要かどうかを決定します。
2020 年 5 月 1 日に、Salesforce にアクセスするために HTTPS 接続を必要とする「セキュアな HTTPS 接続が必要」重要な更新を実施しました。

すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要

サードパーティドメインへの接続に HTTPS が必要かどうかを決定します。

これらの設定のいずれかが無効になっている場合、Edge ユーザは Edge 86 のリリース後に機能が動作しない可能性があります。


コミュニティ、ポータル、またはサイトで HTTPS アクセスを必要とする場合:

a. [設定] からクイック検索ボックスに「サイト」と入力し、[サイト] を選択します。
b. 編集したいサイトをクリックし、[セキュアな接続 (HTTPS) が必要] チェックボックスが選択されていることを確認します。
 

Winter ’21 では、認証されたリクエストに対して HTTP 接続が許可されなくなったため、この設定を削除しました。 詳細については、リリースノートを参照してください。


Salesforce Classic Canvas 接続アプリケーションがHTTPS で動作するかどうかを確認するには:

a. Salesforce Classicの[設定]から、クイック検索ボックスに「キャンバスアプリケーションのプレビューア」と入力し、[キャンバスアプリケーションのプレビューア] を選択します。
b. 確認するアプリケーションをクリックします。アプリケーションが読み込まれる場合、URL が既に HTTPS を使用するように設定されていることを意味します。アプリケーションがプレビューアに読み込まれない場合は、キャンバスアプリケーションの URL とコールバック URL を更新して HTTPS を使用します。

 
Canvas 接続アプリケーションを HTTPS に更新するには:

a. Salesforce Classicで、[設定] | [作成] | [アプリケーション] をクリックします。
b. 更新する Canvas 接続アプリケーションを選択します。
c. [キャンバスアプリケーション URL] 項目で、URL を更新して HTTPS を使用します。
d. [コールバック URL] 項目で、HTTPS を使用するように URL を更新します。
e. [保存] をクリックします。
f. [キャンバスアプリケーションのプレビューア] に戻り、アプリケーションが期待どおりに開くことを確認します。

注: HTTPS URL に初めて移動したときは、タブを閉じてから再度開き、ブラウザの履歴をクリアします。


LiveMessage 管理パッケージをアップグレードする
 

他の機能と同様に LiveMessage (Salesforce Classic) では、組織のセキュリティ設定で [セキュアな接続 (HTTPS) が必要] および [すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要] が必要です。

Edge 86 リリースは、管理パッケージのバージョン 4.46 以降でサポートされています。組織に古いバージョンがインストールされている場合は、ここで最新バージョンにアップグレードしてください。
 

2. インテグレーションによって所有・設定される Cookie に依存するカスタム Salesforce インテグレーションをテストする

Edge 86 のリリース前に、インテグレーションによって所有・設定される Cookie に依存するカスタム Salesforce インテグレーションをテストしてください。Sandboxでテストします。不具合が見つかった場合は、クロスドメイン通信に使用される Cookie の SameSite 属性を更新して、明示的に SameSite=None; Secure に設定します。Apex で Cookie を設定する場合は、 Cookie() コンストラクタメソッドの新しい SameSite 属性を使用します。

Edge がこれらの変更を公開する前に、SameSite の動作がサイトまたは Cookie に与える影響をテストするには、edge://flags に移動します。「SameSite by default cookies」および「Cookies without SameSite must be secure」テストを有効にします。詳細については、この Chromium ブログ投稿 (英語) を参照してください。Winter '21 の修正は、Edge 86 以降に適用されます。

注意: Cookie をテストする際には、それぞれの Cookie の安全性に最も効果が高い SameSite 値はどれかを判別してください。Cookie がファーストパーティのコンテキストでのみアクセスされるように意図されている場合、SameSite=Lax または SameSite=Strict を適用して外部アクセスを遮断できます。SameSite=Lax を明示的に設定することは、ブラウザのデフォルト動作に依存しないことを意味します。

Edge 86 のリリース後にインテグレーションで問題が発生した場合は、修正を実装する間、影響を受けていないブラウザ、モバイルアプリ、または古いバージョンの Edge を一時的に使用できます。


Lightning Experience や Salesforce Classic のセールスやサービスへの影響:

弊社は、Web 全体のプライバシーとセキュリティを改善するための継続的な取り組みをサポートします。Salesforce は、Salesforce によって設定された Cookie の SameSite 属性を更新しました。修正は Winter '21 で行われ、Edge 86 以降に適用されます。

最新バージョンの Microsoft Edge を使用して Sandbox でテストすることをお勧めします。新しい情報が出てきたら、この記事を更新します。


リソース

• Microsoft Edge: Site compatibility-impacting changes coming to Microsoft Edge (英語)
• Chromium Project: SameSite Updates (英語)
• Chromium ブログ: Developers: Get Ready for New SameSite=None; Secure Cookie Settings (英語)
• Chrome Platform Status: Cookies default to SameSite=Lax (英語)
• Chrome Platform Status: Reject insecure SameSite=None cookies (英語)
• web.dev: SameSite cookies explained (英語)
• textslashplain.com: Same-Site Cookies By Default (英語)
• ietf.org: Incrementally Better Cookies (英語)
• ナレッジ記事: Google Chrome ブラウザリリース 84 は SameSite Cookie の動作を変更し、Salesforce インテグレーションに影響を与える可能性があります
• ナレッジ記事: Firefox Changes to SameSite Cookie Behavior Can Break Salesforce Integrations