外部クライアントアプリケーション

接続アプリケーションと外部クライアントアプリケーションのどちらも、2 つの異なる種別の有効なユーザーが含まれます。最初のユーザーは、独自の Salesforce 組織で使用するのか、パッケージ化するのかに関係なく、アプリケーションを開発するユーザーです。他のユーザーは、これらの分散アプリケーションを登録する Salesforce 組織で作業するシステム管理者や、独自の組織で開発したアプリケーションを管理しているシステム管理者です。開発者とは異なり、システム管理者は、特定の組織でそれらのアプリケーションがどのように使用されるかに関するポリシーを設定します。これらの 2 つのロールは、ローカルアプリケーションで作業している同じユーザーに割り当てることもできますが、アプリケーションをパッケージ化して、異なる Salesforce 組織に配布するときに、これらのユーザーロールを分離することが重要になります。

開発者権限を持つユーザーは、[設定] タブで一般的なアプリケーション設定を制御します。これらの設定はパッケージ化され、登録者に配布されます。登録者組織のシステム管理者はアプリケーションポリシーを管理します。これらの一意のポリシーはパッケージ化されず、管理者のローカル組織にのみ影響します。登録者組織のシステム管理者はアプリケーション設定を編集できません。

メモ 外部クライアントアプリケーションごとに 1 つの認証プラグインのみを使用することをお勧めします。ユーザープロファイルと権限セットは外部クライアントアプリケーション用に設定され、その外部クライアントアプリケーションのすべてのプラグインに影響します。

OAuth コンシューマーセキュリティ

OAuth 設定には、パッケージ化または配布できない OAuth の秘密などの機密情報が含まれます。OAuth の秘密を配布するセキュリティリスクを回避するために、外部クライアントアプリケーションは OAuth 設定をグローバル OAuth 設定ファイルとローカル OAuth 設定ファイルに分割します。グローバルファイルには OAuth コンシューマーの詳細が含まれ、ローカルファイルで残りの必要な設定を制御します。ローカル設定ファイルには機密情報が含まれませんが、保護されている情報が含まれないグローバル設定ファイルを参照します。

配布状態

外部クライアントアプリケーションは、ローカルにすることも、パッケージ化用に設定することもできます。ローカルアプリケーションは 1 つの Salesforce 組織で開発され、使用されます。パッケージ化可能なアプリケーションは第二世代 (2GP) 管理パッケージを使用してパッケージ化され、登録者組織に配布されます。この違いは、配分状態設定によって決まります。

機密情報が含まれているグローバル OAuth 設定ファイルは、パッケージ化できません。この制限は、ローカル外部クライアントアプリケーションの場合は問題になりません。配布状態が [ローカル] のアプリケーションはパッケージ化できません。また、両方の OAuth 設定ファイルは常に同じ組織に存在します。アプリケーションがパッケージ化されて配布される場合、作業は若干複雑になります。配布済みアプリケーションが認証で OAuth を使用する方法は 2 つあります。配布済みアプリケーションが元のアプリケーションのグローバル OAuth 設定ファイルを参照しているか、新しいグローバル OAuth 設定ファイルが登録者組織で生成されている必要があります。

メモ Sandbox をコピーまたは更新しても、ローカル外部クライアントアプリケーションは新しい Sandbox にコピーされません。Sandbox にコピーされるのは、パッケージ化された外部クライアントアプリケーションのみです。