連線的應用程式使用個案
有四個組織可以實作連線應用程式的主要使用個案。您可以使用連線的應用程式將外部應用程式與 Salesforce API 整合,例如 Web 型的應用程式,這種應用程式會從 Salesforce 組織中提取訂單狀態資料。您也可以使用連線應用程式來整合服務提供者與 Salesforce 組織,並設定安全性原則來控制第三方應用程式可以存取組織中的哪些資料。而且您可以設定連線應用程式來提供外部 API 閘道的授權,例如在 MuleSoft 的 Anypoint 平台上主控的 API 閘道。
必要版本
| 提供版本:Salesforce Classic 與 Lightning Experience |
可在下列版本建立連線的應用程式:Group、Essentials、Professional、Enterprise、Performance、Unlimited 及 Developer Edition 可在下列版本安裝連線的應用程式:所有版本 |
使用 API 整合存取資料
您可以使用連線應用程式來代表外部應用程式,要求存取 Salesforce 資料。針對要求存取之連線的應用程式,必須使用 OAuth 2.0 通訊協定將其與 Salesforce API 整合。OAuth 2.0 是一種開放式通訊協定,可透過權杖交換來授權安全資料共用。開發人員和獨立軟體廠商 (ISV) 會使用 OAuth 授權流程來整合其應用程式與 Salesforce API。這些授權流程可讓使用者在一個應用程式中作業,但可從另一個應用程式中看見資料。
如需為 API 整合設定連線之應用程式的詳細資訊,請參閱為 API 整合啟用 OAuth 設定。
整合服務提供者與 Salesforce 組織
當 Salesforce 作為身分提供者時,您可以使用連線應用程式來整合服務提供者與 Salesforce 組織。使用其中一個方法來為服務提供者設定連線應用程式。
您可以使用連線應用程式搭配 SAML 2.0,以整合服務提供者與 Salesforce 組織。在服務提供者或身分提供者起始流程時,Salesforce 支援 SAML 單一登入 (SSO)。
例如,您建立自訂的「您的優惠」Web 應用程式,此應用程式會實作 SAML 2.0 來進行使用者驗證。您希望使用者能夠使用本身的 Salesforce 認證來登入此應用程式。若要設定此 SSO 流程,請將「您的優惠」Web 應用程式設定為連線的應用程式。定義 Salesforce 組織成為連線之應用程式的 SAML 身分提供者。您的使用者現在即可使用 Salesforce 認證來登入「您的優惠」Web 應用程式。
如需為 SAML SSO 設定連線應用程式的詳細資訊,請參閱使用 SAML 2.0 整合服務提供者作為連線應用程式。
您可以使用連線應用程式搭配 OpenID Connect,以整合服務提供者與 Salesforce 組織。若要使用此選項,服務提供者必須接受 OpenID Connect 權杖。
例如,您希望使用者直接從 Salesforce 組織登入至接受 OpenID Connect 的外部「健康追蹤器」應用程式。因此您會為「健康追蹤器」應用程式建立連線應用程式。針對連線應用程式,您會啟用 OAuth 設定、選取「允許存取唯一的識別碼 (openid)」範圍,然後設定識別碼權杖。此組態透過整合服務提供者與 Salesforce 組織來啟用「健康追蹤器」應用程式的 SSO 流程。
如需為 OpenID Connect SSO 設定連線應用程式的詳細資訊,請參閱使用 OpenID Connect 整合服務提供者作為連線應用程式。
管理針對第三方應用程式進行的存取
管理員可以設定安全性原則來控制第三方應用程式可以存取組織中的哪些資料。管理員也可以定義哪些人可以使用第三方應用程式。
例如,您安裝第三方應用程式,其允許貴組織使用者進行差旅預約。針對連線的應用程式選取「管理員核准的使用者已預先授權」選項,即可將特定的使用者設定檔指派給應用程式。只有擁有此使用者個人資料的使用者才能存取應用程式。您也可以設定重新整理權杖原則,以便在一段時間後撤銷差旅預約應用程式對 Salesforce 資料的存取權限。
除了設定安全性原則來管理第三方應用程式之外,您也可以解除安裝這些應用程式,並在必要時從 Salesforce 組織中封鎖這些應用程式。
如需管理連線之應用程式的詳細資訊,請參閱管理針對連線的應用程式進行的存取。
提供外部 API 閘道的授權
Salesforce 可以作為獨立的 OAuth 授權伺服器,以便保護外部 API 閘道上託管的資源。使用 OpenID Connect 動態用戶端註冊時,資源伺服器可以在 Salesforce 中動態建立用戶端應用程式作為連線的應用程式。Salesforce 然後即可授權這些連線的應用程式存取由第三方服務託管的受保護資源。
例如,對於 MuleSoft 的 Anypoint 平台上託管的 API 閘道,Salesforce 可以作為 OAuth 授權伺服器。MuleSoft 的 Anypoint 平台是資源伺服器,可以動態建立用戶端應用程式作為連線的應用程式。這些連線的應用程式可以向 Salesforce 傳送要求,要求存取受 API 閘道保護的資料。然後,Salesforce 可以對連線的應用程式進行授權,授與這些應用程式存取受到 API 閘道保護的資料所需的權限。
如需 OpenID Connect 動態用戶端註冊的詳細資訊,請參閱外部 API 閘道的 OpenID Connect 動態用戶端註冊。
您參與建立和管理連線的應用程式
您必須瞭解連線應用程式的使用方式。
- 連線應用程式開發人員—身為 Salesforce 開發人員或 ISV,您會建立 API 整合或可作為連線應用程式存取 Salesforce 資料的外部應用程式。身為開發人員,您可以為組織建立連線應用程式,但其他 Salesforce 組織也可以安裝此應用程式來使用。
- 連線應用程式管理員—身為 Salesforce 管理員,您會安裝、取消安裝以及 (在必要時) 封鎖 Salesforce 組織中連線應用程式。身為管理員,您也可以設定應用程式的權限和原則,明確定義哪些人可以使用連線的應用程式以及這些人可以從哪裡存取應用程式。這些權限和原則包括設定檔、權限集、IP 範圍限制和多因素驗證 (MFA),可為您的組織提供額外的安全性。
此外,確保您瞭解組織是否是連線應用程式的擁有者或消費者。
- 連線的應用程式擁有者—作為連線的應用程式擁有者,您的 Salesforce 組織會建立應用程式。您可以編輯應用程式的特性並管理其存取原則。例如,您決定連線的應用程式為了存取 Salesforce 組織中的資料必須提供的資訊類型 (例如用戶端密碼)。
- 連線的應用程式取用者—身為連線的應用程式取用者,您可以從 AppExchange Marketplace 安裝應用程式,也可以從第三方供應商的網站安裝受管理封裝。您只能編輯應用程式的存取原則,例如決定可以使用應用程式的使用者,以及應用程式是否可以從遠端位置存取資料。
