ユーザーの外部ログイン情報の権限の概念
Salesforce システム管理者は、組織のセキュリティと権限の設定に細心の注意を払う必要があります。データアクセスはできるだけ低いレベルに制限しつつ、全員が作業できるようにすることをお勧めします。この戦略は最小権限の原則と呼ばれます。ユーザーの外部ログイン情報を有効にする際に権限セットとプロファイルのいずれを使用する場合でも、次のガイダンスに従って各認証プロトコルに適切なアクセス権を付与します。
必要なエディション
| 使用可能なインターフェース: Salesforce Classic (一部の組織で使用可能) および Lightning Experience の両方 |
| 使用可能なエディション: すべてのエディション |
ユーザーの外部ログイン情報オブジェクトには、外部システムに対して認証を行うために指定ログイン情報で使用される暗号化されたトークンが保存されます。認証済みのコールアウトを実行するユーザーには、外部ログイン情報へのプロファイルベースまたは権限セットベースのアクセス権が必要です。次の表に、各認証プロトコルに必要な権限の概要を示します。認証プロトコルについての詳細は、「Authentication Protocols for Named Credentials」を参照してください。
OAuth 2.0
| OAuth 2.0 のバリエーション | ID 種別 | ロール | アクセスレベル | 理由 |
|---|---|---|---|---|
|
指定ユーザー | コールアウトを行うユーザー | 「すべてのレコードの編集」 | ユーザーは、システム管理者が入力したアクセストークンを使用してコールアウトを実行できます。 コールアウトで期限切れのアクセストークンが使用された場合、「すべて変更」権限によって Salesforce は、コールアウトを実行するユーザーに代わって外部システムから更新トークンを取得し、その新しいトークンで外部ログイン情報のプリンシパルを更新できます。ユーザーは [設定] で指定ログイン情報設定にアクセスしたり更新したりすることはできません。 |
|
ユーザープリンシパルごと | コールアウトを行うユーザー | 参照、作成、編集、削除 | 各ユーザーは、ログイン情報を入力することで、外部システムに対して認証を行ったり、指定ログイン情報を使用してコールアウトを実行したり、必要に応じてアクセス権を取り消したりできます。 |
AWS 署名バージョン 4
| AWS 署名バージョン 4 バリエーション | ID 種別 | ロール | アクセスレベル | 理由 |
|---|---|---|---|---|
| アクセスキーと秘密 | 指定ユーザー | Salesforce システム管理者 | 参照、作成、編集、削除 | 管理者のみが、アクセスキーと秘密を入力して、外部システムに対して認証したり、アクセスを取り消したりできます。 |
| コールアウトを行うユーザー | すべてのレコードの表示 | ユーザーは、システム管理者が入力したアクセスキーと秘密を使用してコールアウトを実行できます。 「すべて表示」権限では、コールアウトを行うユーザーの代わりに外部システムのログイン情報へのアクセス権が Salesforce に付与されます。ユーザーは [設定] で指定ログイン情報設定にアクセスできません。 |
||
|
— | コールアウトを行うユーザー | 「すべてのレコードの編集」 | ユーザーは、システム管理者が入力したアクセストークンを使用してコールアウトを実行できます。 コールアウトで期限切れのアクセストークンが使用された場合、「すべて変更」権限によって Salesforce は、コールアウトを実行するユーザーに代わって外部システムから更新トークンを取得し、その新しいトークンで外部ログイン情報のプリンシパルを更新できます。ユーザーは [設定] で指定ログイン情報設定にアクセスしたり更新したりすることはできません。 |
カスタム認証
カスタム認証プロトコルでは、指定ユーザー ID 種別のみがサポートされます。指定ユーザーでは同じログイン情報または認証設定を組織全体に適用します。
| ロール | アクセスレベル | 理由 |
|---|---|---|
| Salesforce システム管理者 | 参照、作成、編集、削除 | 管理者のみが、アクセストークンまたは API キーを入力して、外部システムに対して認証したり、アクセスを取り消したりできます。 |
| コールアウトを行うユーザー | すべてのレコードの表示 | ユーザーは、システム管理者が入力したアクセストークンを使用してコールアウトを実行できます。 「すべて表示」権限では、コールアウトを行うユーザーの代わりに外部システムのログイン情報へのアクセス権が Salesforce に付与されます。ユーザーは [設定] で指定ログイン情報設定にアクセスできません。 |
基本認証
| ID 種別 | ロール | アクセスレベル | 理由 |
|---|---|---|---|
| 指定ユーザー | Salesforce システム管理者 | 参照、作成、編集、削除 | 管理者のみが、ログイン情報を入力して、外部システムに対して認証したり、アクセスを取り消したりできます。 |
| コールアウトを行うユーザー | すべてのレコードの表示 | ユーザーは、システム管理者が入力したログイン情報を使用してコールアウトを実行できます。 「すべて表示」権限では、コールアウトを行うユーザーの代わりに外部システムのログイン情報へのアクセス権が Salesforce に付与されます。ユーザーは [設定] で指定ログイン情報設定にアクセスできません。 |
|
| ユーザープリンシパルごと | コールアウトを行うユーザー | 参照、作成、編集、削除 | 各ユーザーは、ログイン情報を入力することで、外部システムに対して認証を行ったり、指定ログイン情報を使用してコールアウトを実行したり、必要に応じてアクセス権を取り消したりできます。 |
JWT
| ID 種別 | ロール | アクセスレベル | 理由 |
|---|---|---|---|
| 指定ユーザー | コールアウトを行うユーザー | 「参照」 | 「参照」権限では、指定ログイン情報を使用してコールアウトを実行できるように、追加の認証パラメーターへのアクセス権がユーザーに付与されます。 |
| ユーザープリンシパルごと | コールアウトを行うユーザー | 「参照」 | 「参照」権限では、指定ログイン情報を使用してコールアウトを実行できるように、追加の認証パラメーターへのアクセス権がユーザーに付与されます。 |
認証なし
No Authentication プロトコルでは、指定ユーザー ID 種別のみがサポートされます。指定ユーザーでは同じログイン情報または認証設定を組織全体に適用します。
| ロール | アクセスレベル | 理由 |
|---|---|---|
| コールアウトを行うユーザー | 「参照」 | 「参照」権限では、指定ログイン情報を使用してコールアウトを実行できるように、追加の認証パラメーターへのアクセス権がユーザーに付与されます。 |
