Loading
識別使用者與管理存取
目錄
篩選條件: (0)新增
選取篩選

          沒有結果
          沒有結果
          以下是搜尋小祕訣

          檢查關鍵字的拼字。
          使用較常見的搜尋字詞。
          選取較少篩選條件以擴大您的搜尋。

            搜尋所有 Salesforce 說明
            搜尋所有 Salesforce 說明
            為 API 整合啟用 OAuth 設定

            您位於此處:

            1. Salesforce 說明
            2. 文件
            3. 識別使用者與管理存取

            為 API 整合啟用 OAuth 設定

            您可以使用連線的應用程式來代表外部應用程式要求存取 Salesforce 資料。針對要求存取之連線的應用程式,必須使用 OAuth 2.0 通訊協定將其與 Salesforce API 整合。OAuth 2.0 是一種開放式通訊協定,可透過權杖交換來授權安全資料共用。開發人員或獨立軟體供應商 (ISV) 希望將本身的應用程式與 Salesforce 整合時會使用 OAuth API。這些 OAuth API 可供使用者在一個應用程式中工作,不過可以查看另一個應用程式中的資料。

            必要版本

            提供版本:Salesforce Classic 與 Lightning Experience

            可在下列版本建立連線的應用程式:GroupEssentialsProfessionalEnterprisePerformanceUnlimitedDeveloper Edition

            可在下列版本安裝連線的應用程式:所有版本
            需要的使用者權限
            讀取、建立、更新或刪除連線的應用程式:

            「自訂應用程式」權限和

            「修改所有資料」或「管理已連線的應用程式」權限
            若要更新除了「設定檔」、「權限集」與「服務提供者 SAML 屬性」以外的所有欄位:

            「自訂應用程式」權限和

            「修改所有資料」或「管理已連線的應用程式」權限
            若要更新「設定檔」、「權限集」與「服務提供者 SAML 屬性」: 「自訂應用程式」、「修改所有資料」以及「管理設定檔和權限集」權限
            若要輪替取用者金鑰和取用者密碼: 允許取用者金鑰和密碼輪替
            安裝及解除安裝連線的應用程式:

            「自訂應用程式」權限和

            「修改所有資料」或「管理已連線的應用程式」權限
            安裝及解除安裝已封裝連線的應用程式:

            「下載 AppExchange 封裝」和「自訂應用程式」及

            「修改所有資料」或「管理已連線的應用程式」權限
            備註
            備註 自 Spring ‘26 起,系統會限制建立連線的應用程式。您可以在 Spring ‘26 期間和之後繼續使用現有連線的應用程式。不過,我們建議改用 外部用戶端應用程式。如果您必須繼續建立連線的應用程式,請連絡 Salesforce 支援。

            請參閱 Spring ‘26 中無法再建立新的連線應用程式以取得詳細資料。

            1. 建立連線的應用程式,並完成其基本資訊
            2. 在頁面的 API (啟用 OAuth 設定) 區域中,選取「啟用 OAuth 設定」。
            3. 如果您要針對具有有限輸入或顯示功能的裝置 (例如 TV、家電) 上的外部應用程式設定連線的應用程式,請選取「針對裝置流程啟用」。
              不會在裝置流程中使用回呼 URL。不過,啟用此流程時,回呼 URL 的值預設為預留位置。您可以視需要指定回呼 URL,例如當正在使用此相同用戶進行其他流程時。
            4. 輸入 Salesforce 在 OAuth 期間用於回呼至您應用程式的回呼 URL (端點)。這與 OAuth 重新導向 URI 相同。
              根據您使用的 OAuth 流程而定,此 URL 通常是成功授權後重新導向使用者瀏覽器的目的地 URL。
              由於會使用此 URL 來讓某些 OAuth 流程傳送存取權杖,因此 URL 必須使用安全的 HTTPS 或自訂 URI 方式。
              若您輸入多個回呼 URL,Salesforce 會在執行階段將應用程式指定的回呼 URL 值與「回呼 URL」的其中一個值進行比對。必須要符合其中一個值才能通過驗證。使用分行符號分隔多個回呼 URL。回呼 URL 欄位限制累積 2000 個字元以內。如果您輸入數個 URL,但字元超過此限制,請建立另一個連線的應用程式以管理更多回呼 URL。
            5. 如果您使用的是 JWT OAuth 流程,請選取「使用數位簽名」。如果應用程式使用憑證,請按一下「選取檔案」,然後選取系統上要為 JWT OAuth 流程上載的憑證。
              重要
              重要 憑證限制為 4,000 個字元,且檔案必須小於 4 KB。
            6. 選取要套用至連線之應用程式的 OAuth 範圍。OAuth 範圍會針對連線的應用程式定義權限,在應用程式經過授權後,這些權限將被授與權杖。OAuth 權杖名稱位於括弧中。如需範圍及其描述的清單,請參閱 OAuth 權杖和範圍
            7. 若需要 OAuth 2.0 授權代碼流程其所有支援版本適用的 OAuth 2.0 Proof Key for Code Exchange (PKCE) 擴充功能,請選取「需要所支援授權流程適用的 Proof Key for Code Exchange (PKCE) 擴充功能」。
              此設定需要 Web 伺服器流程、混合式 Web 伺服器流程、「授權代碼和認證流程」,以及「授權代碼和認證流程」的所有變化 (包括無周邊註冊、無周邊無密碼登入和來賓使用者的無周邊身分驗證) 適用的 PKCE。啟用此設定後,系統會針對此連線的應用程式封鎖任何未實作 PKCE 的流程。如需使用 PKCE 保護應用程式安全性的詳細資訊,請參閱 Proof Key for Code Exchange (PKCE) 擴充功能
            8. 若要要求應用程式的用戶端密碼以交換存取權杖,請選取「需要 Web 伺服器流程的密碼」。
              重要
              重要 如果用戶端應用程式無法保密用戶端密碼,則其必須使用 Web 伺服器流程,請取消選取「需要 Web 伺服器流程的密碼」。我們仍會針對您的應用程式產生用戶端密碼,但此設定會指示 Web 伺服器流程不需要存取權杖要求中的 client_secret 參數。我們建議使用使用者代理程式,因為它是比不含密碼的 Web 伺服器流程更安全的選項。
            9. 若要在重新整理權杖和混合式重新整理權杖流程的授權要求中要求用戶端密碼,請選取「需要重新整理權杖流程的密碼」。若您未選取此選項,而應用程式於授權要求時傳送了用戶端密碼,則 Salesforce 仍然會驗證此密碼。
              針對可保護用戶端密碼的 Web 伺服器型應用程式,您可以選取此選項。但針對無法保護用戶端密碼的應用程式 (如行動應用程式或安裝於使用者電腦的應用程式),我們建議您不要選取此選項。
              備註
              備註 針對新的連線應用程式,此選項會自動啟用。針對建立於 Spring ’21 版本前的連線應用程式,此選項無法自動啟用。
            10. 若要設定用戶端認證流程的設定,請參閱 設定 OAuth 2.0 用戶端認證流程的連線應用程式
            11. 若要設定授權代碼和認證流程的設定,請參閱 設定授權代碼和認證流程的連線應用程式
            12. 若要設定權杖交換流程,請參閱 整合權杖交換流程的應用程式
            13. 若要在每次叫用重新整理權杖流程時取得新的重新整理權杖,請選取「啟用重新整理權杖輪替」。
              啟用此設定為安全性最佳作法。啟用此設定後,使用舊重新整理權杖後,權杖會自動失效,因此每個權杖僅會使用一次。如果有人嘗試使用已輪換的重新整理權杖,Salesforce 會使目前的重新整理權杖及任何相關聯的存取權杖無效。
            14. 若要設定 JSON Web 權杖 (JWT) 型存取權杖,請參閱 啟用 JSON Web 權杖 (JWT) 型存取權杖
            15. 若要授權單一連線應用程式自行檢查所有存取並重新整理整個組織內的權杖,請選取「自我檢查權杖」。
              所有連線應用程式依預設可自行檢查自有的權杖。此外,透過動態用戶端註冊端點直接註冊 OAuth 2.0 連線應用程式的 OAuth 用戶端,可以為其本身與其註冊的應用程式檢查權杖。請參閱 OpenID Connect 權杖自我檢查
            16. 若要控制 OAuth 要求處理識別碼權杖的方式,請選取「設定識別碼權杖」。

              若 Oauth 要求包含「允許存取您的唯一識別碼 (openid)」範圍,則傳回的權杖可包含識別碼權杖。

              這樣就會將識別碼權杖永遠包含於存取權杖回應中。

              在啟用主要識別碼權杖設定時,設定在存取與重新整理權杖回應中控制識別碼權杖內容的次要設定。指定這些設定。

              設定 描述
              權杖有效時間 識別碼權杖在發出後的有效時間長度。期間可為 1 到 720 分鐘。預設為 2 分鐘。
              識別碼權杖受眾 識別碼權杖的預期消費者。舉例來說,像是 https://your_service.com 等使用識別碼權杖的目標服務。
              包含標準宣告 包含關於使用者資訊的標準宣告,例如使用者名稱、設定檔、電話號碼以及地址。OpenID Connect 規格會定義要在識別碼權杖中傳回的一組標準宣告。
              包含自訂屬性 若您的應用程式已指定自訂屬性,請將其包含於識別碼權杖中。
              包含自訂權限 若您的應用程式已指定自訂權限,請將其包含於識別碼權杖中。
            17. 如果您要設定應用程式針對連線的裝置發出資產權杖,請選取「啟用資產權杖」,然後指定這些設定。
              設定 描述
              權杖有效時間 資產權杖在發出後的有效時間長度。
              資產簽署憑證 您為簽署資產權杖建立的自我簽署憑證。憑證大小上限為 4 KB。
              資產受眾 資產權杖的預期消費者。舉例來說,像是 https://your_device_backend.com 等連線裝置的後端服務。
              包含自訂屬性 若您的應用程式已指定自訂屬性,請將其包含於資產權杖中。
              包含自訂權限 若您的應用程式已指定自訂權限,請將其包含於資產權杖中。

              務必指定回呼 URL (端點)。例如 https://your_device_backend.com/callback

              選取「存取並管理您的資料 (api)」和「允許存取您的唯一識別碼 (openid)」OAuth 範圍,資產權杖需要這些範圍。

            18. 若要針對 Salesforce 是 OpenID Connect 提供者的使用個案使用單一登出,請選取「啟用單一登出」,然後輸入單一登出 URL 以決定 Salesforce 傳送登出要求的位置。單一登出 URL 必須是開頭為 https:// 的絕對 URL。
              這些設定只是單一登出組態的一部分。若要完成設定單一登出,請設定使用者在登出後重新導向的 URL,並與 OpenID Connect 提供者共用資訊。請參閱使用 Salesforce 作為 OpenID Connect 提供者的 設定 OpenID Connect 單一登出
            19. 完成連線應用程式的所有設定後,儲存您的設定。

            如需設定 OAuth 流程的說明,請參閱 Salesforce 說明中的 OAuth 授權流程

            重要
            重要 開發 OAuth 整合時,請一律在 POST 要求內文或要求標題中傳遞敏感資訊。請勿在 URL 查詢字串中使用 GET 參數傳遞敏感資訊。敏感資訊包括 (但不限於) 使用者名稱、密碼、OAuth 權杖、用戶端密碼,以及任何個人可識別資訊。如需安全性最佳作法的詳細資訊,請參閱《安全編碼指南》中的儲存敏感資料

            另請參照:

             
            正在載入
            Salesforce Help | Article