Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

Commerce Cloud B2C プラットフォームの Account Manager の /tokeninfo および /dw/oauth2 エンドポイントの廃止予定に関する通知

公開日: Apr 13, 2026
説明

当初の公開日: 2024 年 2 月 5 日 | 最終更新日: 2024 年 9 月 25 日

お客様のデータの秘密性、完全性、可用性は、お客様のビジネスにとって不可欠であり、Salesforce はお客様のデータの保護に真摯に取り組んでいます。この記事では、廃止が予定されている Commerce Cloud Account Manager の 2 つのエンドポイントについて説明します。

解決策

1. /tokeninfo エンドポイントの代わりに /dwsso/oauth2/introspect を使用する

Commerce Cloud Account Manager エンドポイント /tokeninfo (https://account.demandware.com/dwsso/oauth2/tokeninfo) では、UUID アクセストークンまたは取得したトークンメタデータ (有効期限のタイムスタンプ、スコープなど) の有効性を確認します。UUID アクセストークンは一連の数字であるため、次のような応用が可能です。

このエンドポイントでは、トークンを URL パラメーターとして渡す必要があります。URL 内の秘密情報は、ユーザーのブラウザー、Web サーバー、2 つのエンドポイント間のフォワードプロキシサーバーまたはリバースプロキシサーバーなど、さまざまな場所で記録される可能性があります。URL は画面に表示したり、ブックマークしたり、メールに含めたりすることもできます。オフサイトリンクをたどった場合、Referrer ヘッダーを通じて第三者に開示される可能性があります。UUID アクセストークンを URL に配置すると、攻撃者や特権を持たないユーザーが UUID を取得するリスクが高まります。このエンドポイントは認証を必要としないため、誰でもこのエンドポイントを使用してアクセストークンに関する情報を取得できます。

現在 /tokeninfo エンドポイントを使用している場合は、/dwsso/oauth2/introspect (https://account.demandware.com/dwsso/oauth2/introspect) エンドポイントに置き換えることを強くお勧めします。このエンドポイントは RFC 7662 で規定されるセキュアな代替手段となります。このエンドポイントでは、通常は記録されないリクエスト本文に UUID アクセストークンが含まれます。さらに、認証済みクライアントのみがこのエンドポイントを使用できます。セキュリティレベルを強化するために、API クライアントは自身のトークンに対してのみイントロスペクションを実行でき、組織外では情報を共有できません。

 

日時: 2025 年 3 月 1 日をもって /tokeninfo エンドポイントは廃止され、Salesforce はこのエンドポイントのサポートを終了します。

例:

POST https://account.demandware.com/dwsso/oauth2/introspectAuthorization:Basic YXBpQ2xpZW50SWQ6YXBpQ2xpZW50UGFzc3dvcmQ=Content-Type: application/x-www-form-urlencodedtoken={accessToken}


API クライアントで認証にパスワードではなく JSON Web トークン (JWT) を使用する場合、次のようにリクエストする必要があります。

POST https://account.demandware.com/dwsso/oauth2/introspectContent-Type: application/x-www-form-urlencodedclient_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&client_assertion={signedJWT}&token={accessToken}

 

2. /dw/oauth2 エンドポイントの代わりに /dwsso/oauth2 を使用する


Commerce Cloud Account Manager エンドポイント /dw/oauth2 (https://account.demandware.com/dw/oauth2) は /dwsso/oauth2 (https://account.demandware.com/dwsso/oauth2) へのリダイレクトのみを行っています。そのため、/dw/oauth2 エンドポイントは廃止されます。

/dw/oauth2 エンドポイントの正式な廃止計画はこれから発表されます。今から /dwsso/oauth2 エンドポイントの使用を開始することを強く推奨します。

注意: B2C Commerce プラットフォームで提供されているエンドポイント /dw/oauth2/access_token はサポートされており、引き続き使用できます。

その他のリソース
ナレッジ記事番号

000927357

 
読み込み中
Salesforce Help | Article