Вы находитесь здесь:
Ограничение доступа к API посредством связанных приложений
Вы можете использовать API-контроль доступа для ограничения доступа пользователей к Salesforce API, если они не авторизованы предварительно посредством утвержденного связанного приложения. Связанные приложения интегрируют внешние приложения с Salesforce API. С помощью API Access Control можно заблокировать доступ всех связанных приложений к Salesforce API, а потом утвердить (добавить в список разрешенных) определенные связанные приложения. С помощью профилей и наборов полномочий можно потом предоставить пользователям доступ к утвержденному связанному приложению. Эти пользователи могут получить доступ к API посредством связанного приложения.
Требуемые версии
| Доступно в версиях: Salesforce Classic и Lightning Experience |
| Доступно в версиях: Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition и Developer Edition |
| Необходимые полномочия пользователя | |
|---|---|
| Для чтения, создания, обновления или удаления связанных приложений: | Настройка приложения И либо «Изменение всех данных» ИЛИ «Управление связанными приложениями» |
| Для обновления всех полей, кроме профилей, наборов полномочий и атрибутов SAML поставщика услуг: | Настройка приложения И либо «Изменение всех данных» ИЛИ «Управление связанными приложениями» |
| Для обновления профилей, наборов полномочий и атрибутов SAML поставщика услуг: | «Настройка приложения» И «Изменение всех данных» И «Управление профилями и наборами полномочий» |
| Для ротации ключа пользователя и секрета пользователя: | Разрешить ротацию ключей и секретов пользователя |
| Для установки и удаления связанных приложений: | Настройка приложения И либо «Изменение всех данных» ИЛИ «Управление связанными приложениями» |
| Для установки и удаления пакетных связанных приложений: | Загрузка пакетов AppExchange И настройка приложения И либо «Изменение всех данных» ИЛИ «Управление связанными приложениями» |
Чтобы включить эту функцию, обратитесь за контролем API-доступа в службу поддержки Salesforce.
Salesforce создает связанные приложения для распространенных приложений Salesforce и автоматически устанавливает их в вашей организации. Вы обязаны утвердить эти связанные приложения и предоставить доступ пользователям.
- Введите строку «Контроль доступа API» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Контроль доступа API».
-
Нажмите «Правка», а потом выберите «Для пользователей, допущенных администратором, ограничить API-доступ только разрешенными связанными приложениями».
Всем связанным приложениям, установленным в организации, задано значение «Пользователи, допущенные администратором, предварительно авторизованы». Эта политика ограничивает доступ пользователей к пользователям со связанным профилем или набором полномочий, назначенным приложению. См. Управление политиками доступа OAuth для связанного приложения.
Если вы работаете с потоком носителя JWT, изменение пользовательского интерфейса отражается в API. Однако, при включении параметра организации «Для пользователей, допущенных администратором, ограничить API-доступ только разрешенными связанными приложениями», обновленные политики разрешенных пользователей отображаются только в пользовательском интерфейсе. Поскольку параметр организации переопределяет API, но не изменяет его, новые политики не отображаются в объектах ConnectedApplication. Например, даже если параметр организации задает всем связанным приложениям значение «Пользователи, допущенные администратором, предварительно авторизованы», поле OptionsAllowAdminApprovedUsersOnly в объекте ConnectedApplication может обозначать, что вместо него установлено значение «Все пользователи могут авторизовываться самостоятельно». Используйте политики разрешенных пользователей в пользовательском интерфейсе в качестве источника истины.
Если этот параметр организации отключен, политики разрешенных пользователей одинаковы в пользовательском интерфейсе и API во всех потоках. Дополнительные сведения о доступе к связанному приложению посредством API см. в объекте ConnectedApplication в Руководстве разработчика SOAP API.
-
Чтобы разрешить пользователям страниц с доменами Visualforce переопределять это ограничение и открывать API, выберите «Разрешить страницам Visualforce доступ к API».
Важно! Для работы этого параметра пользователи должны иметь полномочие пользователя «API включен».Данный параметр разрешает вызовы API только из доменов Visualforce. Вызовы API из других доменов недоступны.
Если вы не выберете этот параметр, пользователи не смогут получить доступ к Salesforce API посредством доменов Visualforce. Кроме того, клиентские приложения, вызывающие
getSessionId(), недоступны. - Сохраните изменения.
-
Предоставьте пользователям доступ к связанному приложению, назначив им связанный профиль или набор полномочий, назначенный приложению. См. Управление другими параметрами доступа для связанного приложения.
Связанное приложение теперь утверждено, а пользователи, связанные с профилями или наборами полномочий, назначенными связанному приложению, предварительно авторизованы.
Примечание Если вы добавляете связанные приложения в список разрешенных в вашей организации и не получаете ожидаемых областей, выполните следующие действия:- Введите строку «OAuth» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Использование OAuth связанных приложений».
- В разрешенном связанном приложении нажмите «Блокировать».
- В разрешенном связанном приложении нажмите «Разблокировать».
После включения данного ограничения API Access Control можно утвердить дополнительные связанные приложения.
- Введите строку «Связанные приложения» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Использование OAuth связанных приложений».
- В разделе «Действия», если Разблокировка отключена, связанное приложение не утверждено.
- Чтобы утвердить связанное приложение, установите приложение.
- Предоставьте пользователям доступ к связанному приложению.
