接続アプリケーションの使用事例

API インテグレーションを使用したデータへのアクセス

接続アプリケーションを使用して、外部アプリケーションの代わりに Salesforce データへのアクセスを要求できます。接続アプリケーションがアクセスを要求するためには、OAuth 2.0 プロトコルを使用して Salesforce API に統合されている必要があります。OAuth 2.0 は、トークンの交換を通してアプリケーション間の安全なデータ共有を認証するオープンプロトコルです。開発者と独立系ソフトウェアベンダー (ISV) は、OAuth 認証フローを使用してアプリケーションを Salesforce API と統合します。これらの認証フローによって、ユーザーがあるアプリケーションで作業しながら、別のアプリケーションのデータを参照できるようになります。

API インテグレーション用の接続アプリケーションの設定についての詳細は、「API インテグレーション用の OAuth 設定の有効化」を参照してください。

サービスプロバイダーと Salesforce 組織の統合

Salesforce が ID プロバイダーとして機能する場合、接続アプリケーションを使用してサービスプロバイダーと Salesforce 組織を統合することができます。これらの方法のいずれかを使用して、サービスプロバイダーの接続アプリケーションを設定します。

また、SAML 2.0 を使用する接続アプリケーションを使用して、サービスプロバイダーと Salesforce 組織を統合することもできます。サービスプロバイダーまたは ID プロバイダーがフローを開始する場合は、Salesforce が SAML シングルサインオン (SSO) をサポートします。

たとえば、ユーザー認証に SAML 2.0 を実装したカスタムの Your Benefits (従業員福利厚生) という Web アプリケーションを構築したとします。ユーザーが各自の Salesforce ログイン情報を使用して、このアプリケーションにログインできるようにしたいと考えています。この SSO フローを設定するには、Your Benefits (従業員福利厚生) Web アプリケーションを接続アプリケーションとして設定します。Salesforce 組織を、この接続アプリケーションの SAML ID プロバイダーとして定義します。これでユーザーが各自の Salesforce ログイン情報を使用して、Your Benefits (従業員福利厚生) アプリケーションにログインできるようになります。

SAML SSO 用の接続アプリケーションの設定についての詳細は、「SAML 2.0 を使用した接続アプリケーションとしてサービスプロバイダーを統合」を参照してください。

また、OpenID Connect を使用する接続アプリケーションを使用して、サービスプロバイダーと Salesforce 組織を統合することもできます。このオプション使用する場合、サービスプロバイダーは OpenID Connect トークンを受け入れる必要があります。

たとえば、ユーザーが Salesforce 組織から直接、OpenID Connect を受け入れる外部の Wellness Tracker (健康追跡) アプリケーションにサインオンできるようにするとします。そのために、Wellness Tracker (健康追跡) アプリケーション用の接続アプリケーションを作成します。接続アプリケーションでは、OAuth 設定を有効にし、[一意の識別子へのアクセスを許可 (openid)] 範囲を選択して、ID トークンを設定します。この設定は、サービスプロバイダーと Salesforce 組織を統合することによって Wellness Tracker (健康追跡) アプリケーションの SSO フローを有効にします。

OpenID Connect SSO 用の接続アプリケーションの設定についての詳細は、「OpenID Connect を使用した接続アプリケーションとしてサービスプロバイダーを統合」を参照してください。

サードパーティアプリケーションへのアクセスの管理

システム管理者はセキュリティポリシーを設定して、サードパーティアプリケーションが組織からアクセス可能なデータを制御できます。システム管理者はまた、誰がサードパーティアプリケーションを使用できるかも定義できます。

たとえば、組織のユーザーが出張を手配できるサードパーティアプリケーションをインストールするとします。接続アプリケーションの [管理者が承認したユーザーは事前承認済み] を選択すると、特定のユーザープロファイルをこのアプリケーションに割り当てることができます。そして、このユーザープロファイルのあるユーザーのみがこのアプリケーションにアクセスできます。また、一定の期間後にこの出張手配アプリケーションによる Salesforce データへのアクセスを取り消す更新トークンポリシーを設定することもできます。

サードパーティアプリケーションを管理するセキュリティポリシーを設定する以外に、こうしたアプリケーションを Salesforce 組織からアンインストールすることや、必要に応じてブロックすることも可能です。

接続アプリケーションの管理についての詳細は、「接続アプリケーションへのアクセスの管理」を参照してください。

外部 API ゲートウェイの認証の提供

外部 API ゲートウェイでホストされているリソースを保護するために、Salesforce を独立した OAuth 認証サーバーとして機能させることができます。リソースサーバーが、OpenID Connect 動的クライアント登録を使用して、Salesforce にクライアントアプリケーションを接続アプリケーションとして自動的に作成します。そうすると、Salesforce がこれらの接続アプリケーションに、サードパーティサービスがホストする保護されたリソースへのアクセスを承認します。

たとえば、Salesforce を、MuleSoft の Anypoint Platform 上でホストされる API ゲートウェイの OAuth 認証サーバーとして機能させることができます。リソースサーバーである MuleSoft の Anypoint Platform は、クライアントアプリケーションを接続アプリケーションとして動的に作成できます。これらの接続アプリケーションが、API ゲートウェイによって保護されているデータへのアクセス要求を Salesforce に送信できます。要求を受信した Salesforce は、接続アプリケーションを認証し、API ゲートウェイによって保護されているデータへのアクセスを許可できます。

OpenID Connect 動的クライアント登録についての詳細は、「外部 API ゲートウェイの OpenID Connect 動的クライアント登録」を参照してください。

接続アプリケーションの作成と管理に関する各役割

接続アプリケーションでの作業方法を理解することは重要です。

• 接続アプリケーションの開発者 — Salesforce の開発者と ISV は、接続アプリケーションとして Salesforce データにアクセス可能な API インテグレーションまたは外部アプリケーションを構築します。開発者は組織向けの接続アプリケーションを構築できますが、他の Salesforce 組織もそのアプリケーションをインストールして使用できます。
• 接続アプリケーションのシステム管理者 — Salesforce システム管理者は、Salesforce 組織の接続アプリケーションのインストールとアンインストールのほか、必要に応じてブロックを行います。またシステム管理者は、アプリケーションに権限やポリシーを設定して、接続アプリケーションを誰が使用でき、そのアプリケーションにどこからアクセスできるかを明示的に定義します。これらの権限やポリシー (プロファイルを含む)、権限セット、IP 範囲制限、多要素認証 (MFA) によって組織のセキュリティが強化されます。

また、組織が接続アプリケーションの所有者であるかコンシューマーであるかを理解します。

• 接続アプリケーションの所有者 — 接続アプリケーションの所有者として Salesforce 組織はアプリケーションを構築します。アプリケーションの特性を編集し、そのアクセスポリシーを管理できます。たとえば、Salesforce 組織のデータにアクセスするために接続アプリケーションで提供する必要がある情報の種別 (クライアントの秘密など) を決定します。
• 接続アプリケーションのコンシューマー — 接続アプリケーションのコンシューマーとして組織はアプリケーションを AppExchange マーケットプレイスからインストールしたり、サードパーティベンダーの Web サイトから管理パッケージとしてインストールします。アプリケーションのアクセスポリシーのみを編集でき、たとえば、誰がアプリケーションを使用できるかや、アプリケーションがリモートの場所からデータにアクセスできるかどうかを決定します。