Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む
ユーザーの識別およびアクセス権の管理
目次
絞り込み条件 (0)追加
絞り込み条件を選択

          結果がありません
          結果がありません
          検索のヒントをいくつかご紹介します

          キーワードの入力ミスがないか確認する。
          より一般的な検索語を使用する。
          絞り込み条件を減らして、検索範囲を広げる。

            Salesforce ヘルプ全体を検索
            Salesforce ヘルプ全体を検索
            接続アプリケーションの OAuth アクセスポリシーの管理

            詳細情報:

            1. Salesforce ヘルプ
            2. ドキュメント
            3. ユーザーの識別およびアクセス権の管理

            接続アプリケーションの OAuth アクセスポリシーの管理

            OAuth 対応の接続アプリケーションの OAuth アクセスポリシーを設定します。このポリシーでは、接続アプリケーションにアクセスできるユーザー、接続アプリケーションに適用する IP 制限、更新トークンが有効である期間を定義します。

            必要なエディション

            使用可能なインターフェース: Salesforce Classic および Lightning Experience の両方

            接続アプリケーションを作成可能なエディション: Group Edition、Essentials Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

            接続アプリケーションをインストール可能なエディション: すべてのエディション
            必要なユーザー権限
            接続アプリケーションを参照、作成、更新または削除する

            「アプリケーションのカスタマイズ」および

            「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
            プロファイル、権限セット、およびサービスプロバイダーの SAML 属性以外のすべての項目を更新する

            「アプリケーションのカスタマイズ」および

            「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
            プロファイル、権限セット、およびサービスプロバイダーの SAML 属性を更新する 「アプリケーションのカスタマイズ」および「すべてのデータの編集」および「プロファイルと権限セットの管理」
            コンシューマー鍵とコンシューマーの秘密を循環する 「コンシューマーキーと秘密の循環の許可」
            接続アプリケーションをインストールおよびアンインストールする

            「アプリケーションのカスタマイズ」および

            「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
            パッケージ化された接続アプリケーションをインストールおよびアンインストールする

            「AppExchange パッケージのダウンロード」および「アプリケーションのカスタマイズ」および

            「すべてのデータの編集」または「接続アプリケーションの管理」のいずれか
            メモ
            メモ Spring '26 以降、接続アプリケーションの作成は制限されます。 Spring '26 以降、既存の接続アプリケーションを引き続き使用できます。 ただし、代わりに外部クライアントアプリケーションを使用することをお勧めします。引き続き接続アプリケーションを作成する必要がある場合は、Salesforce サポートにお問い合わせください。

            詳細については、「Spring '26 で新しい接続アプリケーションを作成できなくなりました」を参照してください。

            1. [設定] から、[クイック検索] ボックスに「接続アプリケーション」と入力し、[接続アプリケーションを管理する] を選択します。
            2. アクセスの設定の対象である接続アプリケーションの横にある [編集] をクリックします。
            3. [OAuth ポリシー] で [許可されているユーザー] ドロップダウンメニューをクリックし、次のいずれかのオプションを選択します。
              • すべてのユーザーは自己承認可能 — デフォルト。組織のすべてのユーザーが、正常にサインインした後、アプリケーションを承認できます。ユーザーはアプリケーションに初めてアクセスするときに、アプリケーションを承認する必要があります。
              • 管理者が承認したユーザーは事前承認済み — 関連付けられたプロファイルまたは権限セットを持つユーザーのみがアプリケーションにアクセスできます。このユーザーは最初にアプリケーションを承認する必要はありません。このオプションを選択した後、各プロファイルの [接続アプリケーションへのアクセス] リストを編集して、アプリケーションのプロファイルを管理します。または、各権限セットの [割り当てられた接続アプリケーション] リストを編集して、アプリケーションの権限セットを管理します。

                Group Edition 組織では、プロファイルを使用して個々のユーザーアクセスを管理することはできません。ただし、接続アプリケーションの OAuth 設定を編集するときに、すべてのユーザーのアクセスを管理できます。

                警告
                警告 [すべてのユーザーは自己承認可能] から [管理者が承認したユーザーは事前承認済み] に切り替えると、ユーザー権限でその接続アプリケーションが特に承認されていないかぎり、アプリケーションを使用しているユーザーはアクセス権を失います。管理パッケージに含まれる接続アプリケーションでは、デフォルトの権限が使用されます。また、ユーザーが「任意の API クライアントを使用」権限を持っている場合は、[許可されているユーザー] 設定が [管理者が承認したユーザーは事前承認済み] に設定されていても、任意の接続アプリケーションにアクセスできます。「任意の API クライアントを使用」権限を使用するときは、注意が必要です。この名前からわかるように、承認に対する制御を放棄することになります。
            4. [IP 制限の緩和] ドロップダウンメニューをクリックし、次のいずれかのオプションを選択して、アプリケーションへのユーザーのアクセスを IP 範囲で制限するかどうかを決定します。
              • IP 制限を適用 — デフォルト。ユーザープロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。
              • IP 制限を適用し、更新トークンを緩和 — ユーザープロファイルに割り当てられた IP 範囲など、組織に対して設定された IP 制限を適用します。ただし、このオプションでは、接続アプリケーションが更新トークンを使用してアクセストークンを取得する場合、この制限はスキップされます。
              • 有効化したデバイスの IP 制限を緩和 — アプリケーションを実行しているユーザーは、次のいずれかの条件を満たす場合に、組織の IP 制限をスキップできます。
                • アプリケーションに許可された IP 範囲のリストが存在し、アプリケーションが Web サーバーの認証フローを使用している。これらの IP からの要求のみが許可されます。
                • アプリケーションに許可される IP 範囲のリストがなく、アプリケーションが Web サーバーの認証フローを使用しており、ユーザーが新しいブラウザーまたはデバイスから Salesforce にアクセスした場合に ID 確認を正常に完了している。
              • IP 制限の緩和 — ユーザーは組織の IP 制限なしでこのアプリケーションを実行できます。
              メモ
              メモ 接続アプリケーションの IP 制限を緩和し、組織が [すべての要求でログイン IP アドレスの制限を適用] を有効にしている場合は、接続アプリケーションへのアクセスが変わる可能性があります。「接続アプリケーションの IP 制限の緩和および IP の継続的な適用」を参照してください。また、IP 制限は、ユーザーのプロファイルで設定されている場合にのみ適用されます。SAML ベアラーアサーションフローと JWT ベアラートークンフローでは、接続アプリケーションポリシーに関係なく、常に IP 制限が適用されます。管理パッケージに含まれる接続アプリケーションでは、デフォルトの IP 制限の緩和設定が使用されます。
            5. ユーザーが Salesforce からログアウトしたときにユーザーを接続アプリケーションサービスプロバイダーから自動的にログアウトするには、[シングルログアウトを有効化] を選択します。
            6. [シングルログアウトを有効化] を選択した場合は、シングルログアウト URL を入力します。ユーザーが Salesforce からログアウトすると、Salesforce はログアウト要求をこの URL に送信します。シングルログアウト URL は、https:// で始まる絶対 URL にする必要があります。
            7. 更新トークンが有効である期間を決定するには、[更新トークンポリシー] を選択します。

              更新トークンを提供する場合、ユーザーはアクセストークンの期限 (セッションタイムアウト値で定義) が切れても再承認することなく OAuth 対応の接続アプリケーションに引き続きアクセスできます。接続アプリケーションは、更新トークンをアクセストークンと交換して新しいセッションを開始します。更新トークンポリシーは、発行された更新トークンの使用時にのみ評価され、ユーザーの現在のセッションに影響を与えることはありません。更新トークンは、ユーザーのセッションが期限切れになったか、使用できないときにのみ必要になります。

              たとえば、1 時間後にトークンが期限切れになるように更新トークンポリシーを設定します。ユーザーがアプリケーションを 2 時間使用する場合、1 時間後にユーザーが再認証を強制されることはありません。ただし、セッションの期限が切れ、クライアントが新しいセッションのための更新トークンの交換を試みた場合、ユーザーは再度認証を要求されます。

              • 更新トークンは取り消されるまで有効 — デフォルト。ユーザーまたは Salesforce システム管理者が取り消さない限り、更新トークンを無期限に使用できます。

                トークンの取り消しは、ユーザーの詳細ページの [OAuth 接続アプリケーション]、または [設定] の [接続アプリケーションの OAuth の利用状況] ページから行います。

              • 更新トークンを直ちに期限切れにする — 更新トークンは直ちに無効になります。ユーザーはすでに発行されている現在のセッション (アクセストークン) を使用できますが、アクセストークンの期限が切れたときに新しいセッションを取得することはできません。
              • 次で使用されていない更新トークンを期限切れにする n — 更新トークンは、指定された期間内で使用されている限り、有効です。たとえば、7 日間に設定されている場合、更新トークンが 7 日以内に新しいセッションのために交換されなければ、次のトークン使用の試行は失敗します。期限切れのトークンは新しいセッションを生成できません。更新トークンが 7 日以内に交換された場合、そのトークンはさらに次の 7 日間有効です。無操作状態の監視期間もリセットされます。
              • 次の時間が経過したら更新トークンを期限切れにする n — 更新トークンは一定期間有効です。たとえば、ポリシーで 1 日に設定されている場合、ユーザーは 24 時間のみ新しいセッションを取得できます。

            接続アプリケーションが、署名要求認証を使用するキャンバスアプリケーションの場合、次のように設定します。

            • [許可されているユーザー] を [管理者が承認したユーザーは事前承認済み] に設定します。
            • [期限切れの更新トークン] を [更新トークンを直ちに期限切れにする] に設定します。
            • プロファイルセットおよび権限セットにより、ユーザーにアクセス権を付与します。
             
            読み込み中
            Salesforce Help | Article