Salesforceの統合

ここでは、Identity Security Posture Management(ISPM)をSalesforceテナントに統合する手順について説明します。

サーバー証明書ファイルをダウンロードする

  1. Identity Security Posture Managementコンソールで[Settings(設定)][Sources gallery(ソースギャラリー)]に移動します。

  2. [Salesforce]を選択します。

  3. [Source Name(ソース名)]フィールドに値を入力します。

  4. [Generate server.crt(server.crtを生成)]をクリックします。

  5. [Download server.crt(server.crtをダウンロード)]をクリックします。

信頼済みIP範囲にISPM IPを追加する

統合を成功させるには、これらのISPM IPアドレスを信頼済みIP範囲に含める必要があります。

  • 18.98.16.160/27

  • 3.44.64.96/27

  • 3.40.0.96/27

  • 13.52.68.184

  • 54.193.209.206

  • 13.57.96.208

  • 184.72.14.192

  • 13.57.65.107

  • 13.57.96.250

  1. 左のメニューから[Settings(設定)][Security(セキュリティ)]に移動します。

  2. [Network Access(ネットワークアクセス)]をクリックします。信頼済みIP範囲ページが開きます。

  3. 上記のIPのそれぞれにルールを作成します。

    1. [New(新規)]をクリックします。

    2. [Start IP Address(開始IPアドレス)][End IP Address(終了IPアドレス)]にIPを設定します。

    3. 説明を追加します。たとえば、「ISPM IP 1」などです。

  4. ISPM IPアドレスのそれぞれについて、1~3の手順を行います。

権限セットを作成する

  1. Salesforceテナントで、[Settings(設定)][Setup(セットアップ)]に移動します。

  2. [ADMINISTRATION(管理)]で、[Users(ユーザー)][Permission Sets(権限セット)]を選択します。[Permission Sets(権限セット)]のページが開きます。

  3. [New(新規)]をクリックします。[Create(作成)]の画面が開きます。

  4. [Enter permission set information(権限セット情報の入力)]セクションで、[Label(ラベル)]として「ISPM SFDC integration permission」と入力します。

  5. 任意。説明を入力します。

  6. [Select the type of users who will use this permission set(この権限セットを使用するユーザーの種類を選択)]セクションで、[License(ライセンス)][None(なし)]に設定します。

  7. [Save(保存)]をクリックします。

  8. [System(システム)]セクションまで下にスクロールして、[System Permissions(システム権限)]を選択します。[ISPM SFDC integration permission]ページが開きます。

  9. [Edit(編集)]をクリックして、システム権限を変更します。

  10. 以下のシステム権限を選択します。

    • API Enabled(APIが有効)。このシステム権限は、ISPMに対し、すべてのSalesforce.com APIへのアクセスを許可します。

    • View Setup and Configuration(セットアップおよび構成の表示)

    • View All Data(すべてのデータの表示)

    • Manage MFA in API(APIでのMFAを管理する)

    • Manage MFA in API(APIでのMFAを管理する)

    • 任意。Customize Application(アプリケーションをカスタマイズする)。このシステム権限により、ISPMは[Unauthorized Salesforce Apps Installed by Users(ユーザーがインストールした未認可のSalesforceアプリ)]を検出できます。

    権限を選択すると、他のシステム権限が自動的に選択される場合があります。「Salesforceシステム権限」を参照してください。

  11. 任意。ISPMが接続アプリや外部クライアントアプリ(ECA)を含むSalesforceワークロードIDを検出できるように、次のシステム権限を選択します。

    • Manage Connected Apps(接続済みアプリを管理)

    • Modify Metadata Through Metadata API Functions(メタデータAPI関数を使用したメタデータを変更)

    • View all External Client Apps(すべての外部クライアントアプリを表示)

    • View all External Client Apps, view their settings, and edit their policies(すべての外部クライアントアプリを表示、設定を表示、ポリシーを編集)

    • View Roles and Role Hierarchy(ロールおよびロール階層を表示)

    • Customize Application(アプリケーションをカスタマイズする)

      ワークロードIDは限定早期アクセスリリースです。詳しくは、カスタマーサポートマネージャーまたはアカウントエグゼクティブにお問い合わせください。

  12. [View All Profiles(すべてのプロファイルの表示)]ユーザー権限を選択します。

  13. [Save(保存)]をクリックします。[Permission Changes Confirmation(権限変更の確定)]の画面が開きます。

  14. 選択した権限を確認し、[Save(保存)]をクリックします。

権限セットを割り当てる

  1. Salesforceテナントで、[Settings(設定)][Setup(セットアップ)]に移動します。

  2. [ADMINISTRATION(管理)]で、[User(ユーザー)][Users(ユーザー(ユーザー)]を選択します。

  3. ISPM統合に使用するユーザーアカウントを選択します。このアカウントにはSalesforceのユーザーライセンスが必要です。

  4. [Permission Set Assignments(権限セットの割り当て)]セクションに移動します。

  5. [Edit Assignment(割り当てを編集)]をクリックします。

  6. [Identity Security Posture Management SFDC integration permission(Identity Security Posture Management SFDC統合権限)]セットを見つけます。

  7. [Add(追加)]をクリックします。

  8. [Enabled Permission Sets(有効化された権限セット)]セクションに表示されていることを確認します。

  9. [Save(保存)]をクリックします。

外部クライアントアプリを作成する

  1. Salesforceテナントで、[Settings(設定)][Setup(セットアップ)]に移動します。

  2. [Platform tools(プラットフォームツール)]で、[Apps(アプリ)] [External Client App Manager(外部クライアントアプリケーションの管理者)]に移動します。

  3. [New External Client App(新規外部クライアントアプリケーション)]をクリックします。

  4. [Basic Information(基本情報)]セクションに移動し、以下のフィールドに値を入力します。

    1. [External Client App Name(外部クライアントアプリケーション名)]:アプリの名前を入力します(例:ISPM SFDC Integration)。

    2. [API Name(API参照名)]:このフィールドは自動的に入力されます。この値をそのまま残します。

    3. [Contact Email(連絡先メール)]:メールアドレスを入力します。

    4. [Distribution State(配布状態)][Local(ローカル)]を選択します。

  5. [API (Enable OAuth Settings)(API(OAuth設定の有効化))]セクションに移動し、以下のフィールドに値を入力します。

    1. [Enable OAuth(OAuthの有効化)]チェックボックスを選択します。

    2. [Callback URL(コールバックURL)]フィールドにhttp://localhost:1717/OauthRedirectと入力します。

    3. [OAuth Scopes(OAuth範囲)]に以下のOAuthスコープを追加します。

      1. Manage user data via APIs (api)(API(api)によるユーザーデータの管理)

      2. Manage user data via Web browsers (web)(Webブラウザ(web)によるユーザーデータの管理)

      3. Perform requests at any time(常時リクエスト実行)(refresh_token、offline_access)

    4. [Flow Enablement(フローの有効化)]セクションに移動します。

      1. [Enable JWT Bearer Flow(JWTベアラーフローの有効化)]を選択します。

      2. 先ほどISPMコンソールからダウンロードしたサーバー証明書ファイル(server.crt)をアップロードします。

    5. [Security(セキュリティ)]セクションに移動して、以下のチェックボックスが選択されていることを確認します。

      • Require Secret for Web Server Flow(Webサーバーフローの秘密が必要)

      • Require Secret for Refresh Token Flow(更新トークンフローの秘密が必要)

    6. [Create(作成)]をクリックします。

    7. 外部クライアントアプリのページで[Settings(設定)]タブに移動します。

    8. [OAuth Settings(OAuth設定)]で、[Consumer Key and Secret(コンシューマーキーと秘密)]フィールドをクリックし、コンシューマーキーの値をコピーします。この値を安全な場所に保管します。

  6. [Policies(ポリシー)]タブに移動し、[Edit(編集)]をクリックします。

  7. [OAuth Policies(OAuthポリシー)]セクションに移動して以下の手順を実行します。

    1. [Permitted Users(許可済みユーザー)]フィールドを[Admin approved users are pre-authorized(管理者が承認したユーザーは事前承認済み)]に設定します。

    2. [Select Permission Sets(権限セットの選択)]フィールドで、先ほど作成した権限セットを選択します。

    1. [App Authorization(アプリ認可)]サブセクションで以下の操作を行います。

      1. [Refresh token is valid until revoked(更新トークンは取り消されるまで有効)]を選択します。

      2. [IP Relaxation(IP制限の緩和)][Enforce IP restrictions(IP制限を適用)]に設定します。

    2. [Save(保存)]をクリックします。

パラメーターをISPMと共有する

  1. Identity Security Posture Managementコンソールで[Settings(設定)][Sources gallery(ソースギャラリー)]に移動します。

  2. [Salesforce]を選択します。

  3. 権限セットを割り当てたユーザーのユーザー名を入力します。

  4. 先ほどコピーしたコンシューマーキーを入力します。

  5. [Submit(送信)]をクリックします。

Salesforceシステム権限

SalesforceIdentity Security Posture Management(ISPM)の統合時に、権限セットに含める特定のシステム権限を選択すると、Salesforceによって自動的に追加の権限が選択されます。

システム権限 自動的に選択された追加のシステム権限
View Setup and Configuration(セットアップおよび構成の表示) View Roles and Role Hierarchy(ロールおよびロール階層を表示)
View All Data(すべてのデータの表示)
  • Read and View All on all standard and custom objects(すべての標準およびカスタムオブジェクトの読み取りと表示)
  • View Setup and Configuration(セットアップおよび構成の表示)
  • View Event Log Files(イベントログファイルの表示)
  • View Dashboards in Public Folders(パブリックフォルダーのダッシュボードの表示)
  • View Reports in Public Folders(パブリックフォルダーのレポートの表示)
  • View Login Forensics Events(ログインフォレンジックイベントの表示)
  • View Real-Time Event Monitoring Data(リアルタイムイベントモニタリングデータの表示)
Manage MFA in API(APIでのMFAを管理する)
  • Manage Users(ユーザーの管理)
  • Reset User Passwords and Unlock Users(ユーザーパスワードのリセットおよびユーザーのロック解除)
  • View All Users(すべてのユーザーの表示)
  • Manage Profiles and Permission Sets(プロファイルおよび権限セットの管理)
  • Assign Permission Sets(権限セットの割り当て)
  • Manage Roles(ロールの管理)
  • Manage IP Addresses(IPアドレスの管理)
  • Manage Sharing(共有の管理)
  • View Setup and Configuration(セットアップおよび構成の表示)
  • Manage Internal Users(内部ユーザーの管理)
  • Manage Password Policies(パスワードポリシーの管理)
  • Manage Login Access Policies(ログインアクセスポリシーの管理)
  • Manage MFA in Users Interface(ユーザーインターフェイスでのMFAを管理する)
Customize Application(アプリケーションをカスタマイズする)
  • View Setup and Configuration(セットアップおよび構成の表示)
  • Manage Custom Permissions(カスタム権限を管理する)