Loading
识别您的用户并管理访问
目录
筛选条件: (0)添加
选择筛选器

          没有结果
          没有结果
          以下是一些搜索提示

          检查关键字的拼写。
          使用更普遍的搜索词。
          选择更少的筛选器,并扩大搜索范围。

            搜索所有 Salesforce 帮助
            搜索所有 Salesforce 帮助
            OAuth 自定义范围

            您在此处:

            1. Salesforce 帮助
            2. 文档
            3. 识别您的用户并管理访问

            OAuth 自定义范围

            外部客户端应用程序可以使用 OAuth 授权协议来访问受保护的资源。作为协议的一部分,OAuth 默认范围微调应用程序访问 Salesforce 中受保护资源的权限。但是,当外部实体托管受保护资源时,这些默认范围是不够的。在这种情况下,Salesforce 扮演 OAuth 身份验证和授权提供者的角色,但它对所保护的资源知之甚少。要定义外部客户端应用程序访问外部实体托管的受保护资源的权限,请创建 OAuth 自定义范围。自定义范围告诉外部实体外部客户端应用程序被授权访问哪些信息。

            所需的 Edition

            适用于 Salesforce Classic 和 Lightning Experience

            外部客户端应用程序可在以下位置创建:GroupEssentialsProfessionalEnterprisePerformanceUnlimitedDeveloper Edition

            外部客户端应用程序可以安装在:所有版本

            通常,要接收分配给外部客户端应用程序的自定义范围,您必须在授权请求中包含 scope 参数。通过 OAuth 2.0 JWT 不记名流,对于预先授权的外部客户端应用程序,自定义范围会自动使用访问令牌返回。有关更多信息,请参见适用于服务器到服务器集成的 OAuth 2.0 JWT 不记名流

            备注
            备注 刷新 Sandbox 时,不包括 OAuth 自定义范围。刷新 Sandbox 后,将自定义范围重新分配到外部客户端应用程序。
            示例
            示例 您希望构建一个客户订单状态 Web 应用程序,从订单系统的 API 获取客户订单的状态。订单系统 API 可以揭示客户的各种信息,例如账单,但是自定义应用程序只需要访问订单状态信息。为了保护订单系统 API 中的其他数据,Salesforce 组织的管理员和 API 提供商管理员会采取以下步骤。

            Salesforce 组织管理员步骤

            1. 创建 order_status Oauth 自定义范围,并描述该范围允许访问的受保护数据(客户订单状态)。
            2. 将 order_status OAuth 自定义范围分配给与客户订单状态 Web 应用程序关联的外部客户端应用程序。

            API 提供商管理员步骤

            1. 在 API 管理解决方案中,应用要求 order_status 范围的策略,以便在订单系统的 API 中访问客户的订单状态。

            自定义范围流

            在 API 管理解决方案和 Salesforce 组织中配置 OAuth 自定义范围后,客户订单状态 Web 应用程序可以成功访问客户的订单状态。以下是它的工作方式。

            1. 客户订单状态 Web 应用程序向订单系统 API 端点发布请求。该请求包含客户端 ID、客户端密码和范围参数。
            2. 面向订单系统 API 的 API 网关截获该调用,并根据与该调用相关联的 OAuth 授权类型向 Salesforce 查询访问令牌。
            3. Salesforce 验证 Web 应用程序的客户端 ID 和客户端密码是否有效,并将访问令牌发送到 API 网关端点。访问令牌中包含 order_status OAuth 自定义范围。
            4. API 网关接收访问令牌并验证以下内容。
              • 访问令牌是否有效。
              • 访问令牌是否具有与其关联的 order_status OAuth 自定义范围。
            5. 成功验证后,API 网关允许客户订单状态 Web 应用程序访问客户的订单状态信息。
            • 创建 Oauth 自定义范围
              要定义外部客户端应用程序可以从外部实体访问的数据的权限,请在 Salesforce 中创建 OAuth 自定义范围。自定义范围告诉外部实体外部客户端应用程序被授权访问哪些信息。
            • 将 OAuth 自定义范围分配到外部客户端应用程序
              在 Salesforce 组织中创建 OAuth 自定义范围后,您可以将其分配给外部客户端应用程序,以设置应用程序的数据访问权限。例如,具有 order_status 自定义范围的外部客户端应用程序具有从外部实体访问订单状态数据的正确权限集。
            • 编辑 Oauth 自定义范围
              您可以更改自定义范围的名称和描述,并更新您的选择以将自定义范围包括在 OpenID Connect 发现端点中。

            另请参阅:

             
            正在加载
            Salesforce Help | Article