您在此处:
外部客户端应用程序
外部客户端应用程序是可封装的框架,使第三方应用程序能够使用 API 和安全协议与 Salesforce 集成。外部客户端应用程序提供单点登录 (SSO),并使用 SAML 和 OAuth 协议来授权第三方应用程序。与 Salesforce 集成的第三方应用程序可以在客户成功平台以及其他平台、设备或 SaaS 订阅上运行。
连接的应用程序和外部客户端应用程序都涉及两种不同类型的活动用户。第一类是开发应用程序的用户,无论是在自己的 Salesforce 组织中使用还是打包分发。其他用户是与订阅这些分布式应用程序的 Salesforce 组织一起工作或维护在自己的组织上开发的应用程序的管理员。与开发人员不同,管理员为如何在特定组织中使用这些应用程序制定策略。虽然这两个角色可能属于在本地应用程序上工作的同一个人,但是当应用程序打包并分发到不同的 Salesforce 组织时,分离这些用户角色的重要性变得显而易见。
具有开发人员权限的用户控制“设置”选项卡中的常见应用程序配置。这些设置被打包并分发给订阅者。订阅者组织管理员管理应用程序策略。这些唯一策略永远不会打包,只影响管理员的本地组织。订阅者组织管理员无法编辑应用程序设置。
OAuth 使用者安全性
OAuth 设置包含敏感信息,例如 OAuth 密码,这些密码不得打包或分发。为了避免分发 OAuth 密码的安全风险,外部客户端应用程序将 OAuth 设置分为全局 OAuth 设置文件和本地 OAuth 设置文件。全局文件包含 OAuth 使用者详细信息,本地文件控制其他必要设置。本地设置文件不包含任何敏感信息,但引用包含受保护信息的全局设置文件。
分发状态
外部客户端应用程序可以是本地的,也可以是为打包配置的。本地应用程序在单个 Salesforce 组织中开发和使用。可封装应用程序使用第二代 (2GP) 受管打包功能进行打包,并分发到订阅者组织。此差异由分发状态设置决定。
全局 OAuth 设置文件中的敏感信息意味着该文件永远不能打包。这种限制对于本地外部客户端应用程序来说不是问题。如果应用程序的分发状态是本地,则无法打包,并且两个 OAuth 设置文件始终位于相同组织中。如果应用程序是打包分发的,则会有点复杂。分布式应用程序可以通过两种方式使用 OAuth 进行授权。分布式应用程序必须引用原始应用程序的全局 OAuth 设置文件,或者必须在订阅者组织上生成新的全局 OAuth 设置文件。
- 创建外部客户端应用程序
在应用程序管理器中创建外部客户端应用程序。本地外部客户端应用程序仅在您创建它们的组织上可用。可打包的外部客户端应用程序可以打包,以便分发到其他组织。 - 封装外部客户端应用程序
确定是打包应用程序还是将其保存在本地。当在本地创建和使用时,外部客户端应用程序是一个很好的解决方案。但是,它们在设计时考虑了 2GP 受管打包。与默认情况下可用的连接的应用程序不同,只有封装的应用程序才能部署到其他组织。可以部署包含 OAuth 插件的打包应用程序,以生成它们自己独特的 OAuth 设置,或者,它们可以引用开发应用程序的组织的设置。 - 管理外部客户端应用程序
创建外部客户端应用程序并配置其分发状态后,定义其特定特征。 - 使用元数据 API 创建外部客户端应用程序
开发人员可以在 Salesforce 设置中或使用元数据 API 以编程方式创建外部客户端应用程序。下载外部客户端应用程序后,管理员可以配置特定于其组织需求的策略。
