Esquema de credenciales nombradas

Partes del esquema de credencial nombrada

Comprenda las diferentes partes del esquema de credenciales nombradas.

Importante En Winter ’23, Salesforce presentó una credencial nombrada mejorada que es ampliable, personalizable y más segura. Recomendamos encarecidamente que utilice esta credencial preferida en vez de las credenciales nombradas heredadas, que ya no se actualizan o mejoran.

• Una credencial nombrada especifica un extremo de llamada y un protocolo de transporte HTTP.
• El protocolo de autenticación de una credencial externa y las credenciales de usuario autentican a la persona que llama. Más de una credencial nombrada puede utilizar la misma credencial externa.
• Los principales de credenciales externas se asignan a conjuntos de permisos para autorizarlos a realizar llamadas.
• Las credenciales externas del usuario almacenan tokens cifrados.
• Los proveedores de identidad de autenticación externos obtienen tokens de OAuth para llamadas salientes.

Credenciales nombradas

Una credencial nombrada es una entidad lógica que se puede pensar como una conexión nombrada a un sistema externo. Con credenciales nombradas, no es necesario incrustar una URL física en código de Apex y gestionar tokens de autenticación en almacenes de datos no cifrados. En su lugar, una variable en el código permite a un administrador de Salesforce proporcionar el extremo físico en el momento de la implementación y gestionar credenciales de usuario en el almacenamiento de credenciales cifrado de la organización. La URL de la credencial nombrada se resuelve en tiempo de ejecución en el extremo físico configurado junto con las credenciales para el usuario autorizado que realiza la llamada.

Puede personalizar una credencial nombrada. Por ejemplo, puede definir encabezados HTTP con funciones de fórmula de Salesforce para ajustar valores de encabezado al contexto de usuario de llamada o variables de función de fórmula de sustitución en el cuerpo de la solicitud.

Existen diferentes tipos de credenciales nombradas. Los casos de uso avanzados pueden beneficiarse del almacenamiento de parámetros personalizados, que también se admiten. Un parámetro es esencialmente un par nombre-valor para capturar metadatos arbitrarios y los valores de parámetros se almacenan de forma segura. Una credencial nombrada puede ser uno de estos tipos.

SecuredEndpoint

La credencial nombrada incluye el protocolo de transporte de un extremo como protegido a través de seguridad de capa de transporte (TLS). Este es el tipo de credencial nombrada predeterminada.

PrivateEndpoint

La credencial nombrada envía el tráfico a través de una conexión privada, omitiendo la Internet pública.

Heredado

Una credencial nombrada heredada especifica la URL del extremo de una llamada y sus parámetros de autenticación obligatorios en una sola definición.

Credenciales externas

Las políticas de seguridad a menudo imponen que los detalles de autenticación cambien de forma rotatoria. Una credencial externa encapsula los detalles de cómo se autentica Salesforce en un sistema remoto. Al externalizar la información de autenticación desde el código, no es necesario que los desarrolladores cambien estos detalles para permanecer en conformidad con dichas políticas.

Los proveedores de infraestructura de nube de Hyperscale a menudo albergan muchos sistemas diferentes y se puede utilizar un único conjunto de credenciales para acceder a múltiples sistemas nombrados. Una credencial nombrada alberga una referencia a una credencial externa, y múltiples credenciales nombradas pueden beneficiarse de compartir una credencial externa única. Por ejemplo, una integración de Salesforce puede acceder a las API para Google Drive y Google Calendar con las mismas credenciales.

Los protocolos de autenticación, como OAuth o AWS Signature v4, especifican cómo autenticar con un sistema externo. Por ejemplo, pueden especificar cómo se intercambian las claves de acceso o cómo actualizar claves de acceso caducadas. El protocolo especifica los detalles de implementación gestionados por la plataforma, como cómo se intercambian las claves y cuándo se actualizan. Los parámetros de autenticación se capturan como pares de nombre-valor de credenciales externas. Consulte la documentación de la API para la autenticación de parámetros específicos del protocolo.

Conjuntos de permisos

La plataforma Salesforce admite el uso de conjuntos de permisos para controlar qué usuarios están autorizados para realizar llamadas. Las credenciales externas autentican usuarios y los conjuntos de permisos autorizan usuarios. Vincula una credencial externa a conjuntos de permisos o perfiles de usuario a través de principales de credenciales externas. En tiempo de ejecución, la plataforma garantiza que el usuario tiene el conjunto de permisos antes de acceder al sistema remoto.

Los equipos de desarrollo pueden elegir empaquetar conjuntos de permisos que representan el acceso a un sistema remoto específico, aunque los administradores mantienen la opción de asociar la credencial externa con otros conjuntos de permisos de su elección.

Sugerencia Para aplicar permisos de credenciales al mayor número de usuarios, puede vincular un conjunto de permisos a un principal y luego agregar el conjunto de permisos a un grupo de conjunto de permisos.

Credenciales externas de usuario

Los tokens para llamadas de credenciales nombradas se cifran y almacenan en un objeto de credencial externa de usuario. Cualquier usuario que realice una llamada autenticada también necesita acceso basado en perfiles o conjuntos de permisos a credenciales externas de usuario. La mayoría de los conjuntos de permisos y perfiles estándar tienen acceso al objeto Credenciales externas de usuario de forma predeterminada. Para el perfil de usuario invitado y para algunos conjuntos de permisos y perfiles personalizados, debe asignar permisos de objeto Credenciales externas de usuario manualmente.

Aunque el comportamiento en tiempo de ejecución de credenciales nombradas lee los tokens del objeto de credencial externa de usuario, no hay acceso a los registros de este objeto desde SOQL, Apex o las API. Los tokens se pueden eliminar de forma programática utilizando un método especial en la API de REST de Connect.

Proveedor de identidad de autenticación externo

Una credencial externa que utiliza la autenticación de OAuth 2.0 puede hacer referencia a un proveedor de identidad de autenticación externo, que obtiene los tokens de OAuth necesarios para llamadas salientes a sistemas externos. Para personalizar solicitudes en el extremo de tokens del proveedor de identidad y especificar el arrendatario al que acceder en sistemas de múltiples arrendatarios, puede adjuntar Id. de cuenta o Id. de arrendatario como parámetros de solicitud personalizados.

A diferencia del proveedor de autenticación, que también puede vincular a una credencial externa, puede crear proveedores de identidad de autenticación externos a través de la API de REST de Connect o Apex. Además, puede incluirlos en paquetes gestionados de segunda generación (gestionados 2GP) y paquetes desbloqueados para su distribución entre muchas organizaciones o en entornos de desarrollo, prueba y producción de una organización.