接続アプリケーションの確認

接続アプリケーションについて説明します。

• Connect アプリケーションの管理: 接続アプリケーションの作成を許可 - 制御外
  このセキュリティ設定により、すべてのインターフェースで新しい OAuth 対応接続アプリケーションを定義、登録、またはリリースする組織の機能がグローバルに無効になります。
• API (OAuth 設定の有効化): OAuth 設定コントロールの有効化
  Salesforce 接続アプリケーションで OAuth 設定を有効にすると、アプリケーションでセキュアなトークンベースの認証プロトコルと詳細な範囲を使用できます。
• API (OAuth 設定の有効化): デバイスフローで有効化 - 選択解除済みコントロール
  このセキュリティ設定では、デバイス認証フローの可用性を管理します。これにより、ユーザーはリソースが限られたデバイスで接続アプリケーションを認証できます。
• API (OAuth 設定の有効化): デジタル署名の使用 - 選択済みのコントロール
  このセキュリティ設定では、検証済みの非公開鍵を使用して認証要求に署名するよう接続アプリケーションに要求することで、非対称暗号化の使用を義務付けます。
• API (OAuth 設定の有効化): 接続アプリケーションコントロールに適用する OAuth 範囲の選択
  OAuth 範囲は、接続アプリケーションがユーザーの代わりに実行できるデータとアクションを正確に定義する「トークンの権限」です。
• API (OAuth 設定の有効化): コード交換の証明鍵 (PKCE) 制御が必要
  認証コードをアクセストークンと交換するアプリケーションがそのコードを最初に要求したものと同じになるように、動的に作成される暗号化「コード検証」を使用する OAuth 2.0 セキュリティ拡張。
• API (OAuth 設定の有効化): Web サーバーフロー制御の秘密が必要
  この制御では、クライアントアプリケーションが認証コードをアクセストークンと交換するときに、クライアントの ID を検証するための暗号強度の高いクライアントの秘密を提供する必要があります。
• API (OAuth 設定の有効化): 更新トークンフロー制御の秘密が必要
  この制御では、クライアントの ID を検証するために、機密クライアントアプリケーションが更新トークンを新しいアクセストークンと交換するときにクライアントの秘密を提供する必要があります。
• API (OAuth 設定の有効化): クライアントログイン情報フロー制御の無効化
  この制御には、JWT ベアラーフローや外部クライアントアプリケーション (ECA) などの高保証の証明書ベースの認証方法を使用する、安全でない「クライアントログイン情報」フローの無効化が含まれます。
• API (OAuth 設定の有効化): 認証コードとログイン情報フロー設定の制御
  このコントロールでは、「認証コードとログイン情報フロー」の特定のセキュリティ要件を設定します。
• API (OAuth 設定の有効化): セキュアなトークン交換フロー制御
  このコントロールは、クライアントアプリケーションがサードパーティトークンを Salesforce アクセストークンと交換するときに秘密を提供する必要があるかどうかを決定します。
• API (OAuth 設定の有効化): 更新トークンの循環制御の有効化
  このコントロールは、新しいアクセストークンの取得に使用されるたびに、各更新トークンを無効にして新しいトークンに置き換えます。
• API (OAuth 設定の有効化): 指定ユーザー制御用の JSON Web トークン (JWT) ベースのアクセストークンの発行
  このセキュリティ設定により、Salesforce 認証サーバーは不透明な参照ベースのアクセストークンの発行から、暗号化で署名された自己完結型の JSON Web トークンの発行に移行します。
• API (OAuth 設定の有効化): ID トークン制御の設定
  このセキュリティ設定では、OpenID Connect ID トークンの暗号化の有効期限とデータ構造を定義します。
• API (OAuth 設定の有効化): アセットトークン制御の有効化
  アセットトークンは、Salesforce セッションを特定の物理デバイスまたは「アセット」に直接リンクする特殊な JWT ベースの認証方法です。
• Web アプリケーション設定: SAML を有効にした後、必要なポリシーコントロールを設定する
  このセキュリティ設定では、ID プロバイダーと Web アプリケーション間のセキュリティアサーションマークアップ言語の交換を保護するために必要な暗号署名アルゴリズム、アサーション入力規則、およびサービスプロバイダーエンドポイントを定義します。
• Web アプリケーション設定: 要求署名の検証 - 制御の選択
  このセキュリティ設定により、プラットフォームは、受信したすべての SAML または OAuth 要求のデジタル署名を信頼済み公開証明書に対して検証し、送信者が本物であることを確認する必要があります。
• Web アプリケーション設定: Encrypt SAML Response - Select Control (SAML 応答を暗号化 - 制御を選択)
  このセキュリティ設定は、送信前にサービスプロバイダーから提供された公開鍵を使用して、ユーザー ID と認証属性を含む SAML アサーション全体を暗号化して難読化します。
• Web アプリケーション設定: SAML メッセージの署名アルゴリズム - SHA256 制御の選択
  このセキュリティ設定では、SAML アサーションのデジタル署名を生成するために Secure Hash Algorithm 256 ビットバリエーションを使用することを指定します。
• モバイルアプリケーション設定: モバイル PIN 要件制御
  このセキュリティ設定では、モバイルアプリケーションインターフェースにアクセスする前に、ユーザーに個人識別番号または生体認証番号を入力するように要求することで、ローカル認証の第 2 層を義務付けます。
• キャンバスアプリケーション設定: キャンバス署名要求セキュリティ制御
  このセキュリティ設定によって、キャンバスインテグレーションの認証プロトコルが決まります。
• キャンバスアプリケーション設定: キャンバス SAML 開始制御
  このセキュリティ設定により、認証ハンドシェイクのトリガー方法が決まります。
• 接続アプリケーションの信頼済み IP 範囲の設定: 接続アプリケーションコントロールの信頼済み IP 範囲
  この制御は、検証済みの「許可リスト」IP アドレスの特定のリストに起因する認証要求のみを受け付けるように接続アプリケーションへのアクセスを制限します。
• 接続アプリケーションの OAuth アクセスポリシーの管理: 管理者が承認したユーザーは事前承認済み制御
  この設定により、アプリケーションのアクセスポリシーが「すべてのユーザーは自己承認可能」から、アプリケーションに割り当てられた特定のプロファイルまたは権限セットを持つユーザーのみがログインできる制限されたモデルに変更されます。
• 接続アプリケーションの OAuth アクセスポリシーの管理: IP 緩和制御
  この制御により、接続アプリケーションに発行される OAuth アクセストークンを信頼できる IP 範囲に制限するかどうかが決まります。
• 接続アプリケーションの OAuth アクセスポリシー: シングルおよび SAML ログアウト制御の有効化
  シングルログアウトは、ユーザーが Salesforce または外部 ID プロバイダー (IdP) からログアウトしたときに、Trust サークル内のすべての接続アプリケーションでセッションが同時に終了されるようにするメカニズムです。
• 接続アプリケーションの OAuth アクセスポリシーの管理: 更新トークンの有効期限ポリシー制御
  このポリシーにより、更新トークンは厳密に「1 回限りの使用」になります。つまり、新しいアクセストークンの要求に使用された瞬間に即座に無効になります。
• 接続アプリケーションのセッションポリシーの管理: セッションタイムアウト制御
  この制御では、アクセストークンが期限切れになり、ユーザーまたはシステムが再認証または更新トークンを使用する必要があるまで、アプリケーションセッションをアイドル状態にしておくことができる最大時間を定義します。
• 接続アプリケーションのセッションポリシーの管理: 接続アプリケーションの高保証が必要な制御
  このセキュリティ設定では、特定の接続アプリケーションにアクセスするユーザーは、高保証に分類されたセッションセキュリティレベルを保持する必要があります。
• 接続アプリケーションのモバイルポリシーの管理: モバイル PIN タイムアウト制御
  このセキュリティ設定では、モバイルアプリケーションがインターフェースをロックし、ユーザーに再認証を要求するまでの無操作状態の最長期間を定義します。
• 接続アプリケーションのモバイルポリシーの管理: モバイル PIN の複雑さの制御
  このセキュリティ設定では、モバイルインターフェースのロックを解除するために 8 桁以上の数値シーケンスを要求することで、ローカルアプリケーションアクセスに特定の暗号エントロピーレベルを義務付けます。
• 接続アプリケーションの他のアクセス設定の管理: プロファイルの管理コントロール
  このセキュリティ設定では、定義済みの管理プロファイルを接続アプリケーションのメタデータに対応付けて、アプリケーションへのアクセスを承認された特定のユーザーコホートを定義します。
• 接続アプリケーションの他のアクセス設定の管理: 権限セットの管理コントロール
  このセキュリティ設定により、Salesforce システム管理者は対象権限セットを接続アプリケーションに対応付けることで、アプリケーションへのアクセスを特定のユーザーに制限できます。
• 接続アプリケーションのユーザープロビジョニング: ユーザープロビジョニング制御の有効化
  このセキュリティ設定により、Salesforce と外部アプリケーション間のユーザー ID 情報の交換が自動化されます。