Salesforce サイトのセキュリティ

認証済みアクセスにはすべて HTTPS が必要です。セキュアでない (HTTP) サイト URL でサイトにログインするユーザーは、セキュアな (HTTPS) URL にリダイレクトされます。IP またはログイン時間に基づいて制限を設定するには HTTPS が必須です。

Salesforce ではすべてのサイトへの HTTPS 接続が必要であり、HTTP 要求は自動的にアップグレードされます。カスタムドメインを使用してサイトを提供する場合、接続を確保するために、HTTPS を介してドメインを提供するオプションのいずれかを選択することをお勧めします。[一時的な非 HTTPS ドメインを使用します] オプションは、HTTPS でドメインを保護できるようにする前にドメインを設定する場合にのみ選択します。たとえば、CNAME が別のサービスを参照している DNS を設定したり、サブドメインを追加したりする場合です。

これらの動作と共有設定は、ユーザーがアクセスするサイトに影響します。

警告

• [共有設定] 設定ページでサイトの「参照」アクセス権を与えたオブジェクトについては、デフォルトの外部アクセス権を「非公開」に設定することをお勧めします。こうすると、サイトにアクセスするユーザーが参照および編集できるのは、サイトに関連するデータのみになります。
• また、すべてのリストビューの表示の安全を図ることをお勧めします。リストビューの表示を [特定のユーザーグループに表示] に設定し、共有するグループを指定します。表示を [すべてのユーザーに表示] に設定したリストビューは、サイトの一般ユーザーにも表示されます。リストビューを一般ユーザーと共有するには、一般ユーザー用の新しい公開グループを作成し、グループに対して表示可とします。オブジェクトの共有を非公開とすると、リストビューが表示可能かどうかにかかわらず、一般ユーザーにはそのレコードは表示されません。

• [一時的な非 HTTPS ドメインを使用します] HTTPS オプションが選択されているカスタムドメインでは、ユーザーが HTTPS ではなく HTTP を使用して接続すると、接続タイムアウトが発生する可能性があります。
• [一時的な非 HTTPS ドメインを使用します] HTTPS オプションが選択されているカスタムドメインをユーザーが開いた場合、ユーザーはサイトの優先 HTTPS カスタムドメインにリダイレクトされます。サイトに優先 HTTPS カスタムドメインがない場合、ユーザーは組織の my.salesforce-sites.com ドメインにリダイレクトされます。Sandbox 組織および Developer Edition 組織では、組織の my.salesforce-sites.com ドメインが使用されます。たとえば、www.example.com を HTTP のみのカスタムドメインとして登録したとします。URL が HTTPS にアップグレードされ、HTTPS 対応カスタムドメインがサイトにリンクされていない場合、URL は https://MyDomainName.my.salesforce-sites.com に変更されます。詳細は、「Salesforce サイトのログインおよび登録設定の管理」を参照してください。
• 認証ユーザーおよび非認証ユーザーには、Apex 例外など、特定の条件のさまざまなエラーメッセージが表示される場合があります。
• 静的リソースのキャッシュ設定は、ゲストユーザーのプロファイルが IP 範囲またはログイン時間に基づいて制限されている Salesforce サイトを介してアクセスする場合は、非公開に設定されます。ゲストユーザープロファイル制限のあるサイトでは、ブラウザー内でのみ静的リソースをキャッシュします。また、以前は無制限であったサイトに制限が設定されると、Salesforce キャッシュおよび中間キャッシュから静的リソースが解放されるまでに最大 45 日かかる場合があります。
• ゲストユーザーは、Salesforce サイトで作成するレコードの所有者にはなりません。代わりに、Salesforce サイトでゲストユーザーがレコードを作成すると、そのレコードの所有者は、サイトのデフォルトのレコード所有者に割り当てられます。