Salesforceの統合

ここでは、Identity Security Posture Management（ISPM）をSalesforceテナントに統合する手順について説明します。

サーバー証明書ファイルをダウンロードする
信頼済みIP範囲にISPM IPを追加する
権限セットを作成する
権限セットを割り当てる
外部クライアントアプリを作成する
パラメーターをISPMと共有する

サーバー証明書ファイルをダウンロードする

Identity Security Posture Managementコンソールで［Settings（設定）］［Sources gallery（ソースギャラリー）］に移動します。
［Salesforce］を選択します。
［Source Name（ソース名）］フィールドに値を入力します。
［Generate server.crt（server.crtを生成）］をクリックします。
［Download server.crt（server.crtをダウンロード）］をクリックします。

信頼済みIP範囲にISPM IPを追加する

統合を成功させるには、これらのISPM IPアドレスを信頼済みIP範囲に含める必要があります。

18.98.16.160/27
3.44.64.96/27
3.40.0.96/27
13.52.68.184
54.193.209.206
13.57.96.208
184.72.14.192
13.57.65.107
13.57.96.250

左のメニューから［Settings（設定）］［Security（セキュリティ）］に移動します。
［Network Access（ネットワークアクセス）］をクリックします。信頼済みIP範囲ページが開きます。
上記のIPのそれぞれにルールを作成します。
1. ［New（新規）］をクリックします。
2. ［Start IP Address（開始IPアドレス）］と［End IP Address（終了IPアドレス）］にIPを設定します。
3. 説明を追加します。たとえば、「ISPM IP 1」などです。
ISPM IPアドレスのそれぞれについて、1～3の手順を行います。

権限セットを作成する

Salesforceテナントで、［Settings（設定）］［Setup（セットアップ）］に移動します。
［ADMINISTRATION（管理）］で、［Users（ユーザー）］［Permission Sets（権限セット）］を選択します。［Permission Sets（権限セット）］のページが開きます。
［New（新規）］をクリックします。［Create（作成）］の画面が開きます。
［Enter permission set information（権限セット情報の入力）］セクションで、［Label（ラベル）］として「ISPM SFDC integration permission」と入力します。
任意。説明を入力します。
［Select the type of users who will use this permission set（この権限セットを使用するユーザーの種類を選択）］セクションで、［License（ライセンス）］を［None（なし）］に設定します。
［Save（保存）］をクリックします。
［System（システム）］セクションまで下にスクロールして、［System Permissions（システム権限）］を選択します。［ISPM SFDC integration permission］ページが開きます。
［Edit（編集）］をクリックして、システム権限を変更します。

以下のシステム権限を選択します。

システム権限	注記
API Enabled（APIが有効）	このチェックボックスを選択して、Salesforce.com APIにアクセスします。
View Setup and Configuration（セットアップおよび構成の表示）	［View Roles and Role Hierarchy（ロールおよびロール階層の表示）］権限が自動的に選択されます。
View All Data（すべてのデータの表示）	以下の権限は自動的に選択されます。 Read and View All on all standard and custom objects（すべての標準およびカスタムオブジェクトの読み取りと表示） View Setup and Configuration（セットアップおよび構成の表示） View Event Log Files（イベントログファイルの表示） View Dashboards in Public Folders（パブリックフォルダーのダッシュボードの表示） View Reports in Public Folders（パブリックフォルダーのレポートの表示） View Login Forensics Events（ログインフォレンジックイベントの表示） View Real-Time Event Monitoring Data（リアルタイムイベントモニタリングデータの表示）
Manage MFA in API（APIでのMFAを管理する）	以下の権限は自動的に選択されます。 Manage Users（ユーザーの管理） Reset User Passwords and Unlock Users（ユーザーパスワードのリセットおよびユーザーのロック解除） View All Users（すべてのユーザーの表示） Manage Profiles and Permission Sets（プロファイルおよび権限セットの管理） Assign Permission Sets（権限セットの割り当て） Manage Roles（ロールの管理） Manage IP Addresses（IPアドレスの管理） Manage Sharing（共有の管理） View Setup and Configuration（セットアップおよび構成の表示） Manage Internal Users（内部ユーザーの管理） Manage Password Policies（パスワードポリシーの管理） Manage Login Access Policies（ログインアクセスポリシーの管理） Manage MFA in Users Interface（ユーザーインターフェイスでのMFAを管理する）
Customize Application（アプリケーションをカスタマイズする）	任意。このシステム権限により、ISPMは［Unauthorized Salesforce Apps Installed by Users（ユーザーがインストールした未認可のSalesforceアプリ）］を検出できます。このシステム権限を選択した場合、以下の権限は自動的に選択されます。 View Setup and Configuration（セットアップおよび構成の表示） Manage Custom Permissions（カスタム権限を管理する）

以下のユーザー権限を選択します。
- View All Profiles（すべてのプロファイルの表示）
［Save（保存）］をクリックします。［Permission Changes Confirmation（権限変更の確定）］の画面が開きます。
選択した権限を確認し、［Save（保存）］をクリックします。

権限セットを割り当てる

Salesforceテナントで、［Settings（設定）］［Setup（セットアップ）］に移動します。
［ADMINISTRATION（管理）］で、［User（ユーザー）］［Users（ユーザー（ユーザー）］を選択します。
ISPM統合に使用するユーザーアカウントを選択します。このアカウントにはSalesforceのユーザーライセンスが必要です。
［Permission Set Assignments（権限セットの割り当て）］セクションに移動します。
［Edit Assignment（割り当てを編集）］をクリックします。
［Identity Security Posture Management SFDC integration permission（Identity Security Posture Management SFDC統合権限）］セットを見つけます。
［Add（追加）］をクリックします。
［Enabled Permission Sets（有効化された権限セット）］セクションに表示されていることを確認します。
［Save（保存）］をクリックします。

外部クライアントアプリを作成する

Salesforceテナントで、［Settings（設定）］［Setup（セットアップ）］に移動します。
［Platform tools（プラットフォームツール）］で、［Apps（アプリ）］［External Client App Manager（外部クライアントアプリケーションの管理者）］に移動します。
［New External Client App（新規外部クライアントアプリケーション）］をクリックします。
［Basic Information（基本情報）］セクションに移動し、以下のフィールドに値を入力します。
1. ［External Client App Name（外部クライアントアプリケーション名）］：アプリの名前を入力します（例：ISPM SFDC Integration）。
2. ［API Name（API参照名）］：このフィールドは自動的に入力されます。この値をそのまま残します。
3. ［Contact Email（連絡先メール）］：メールアドレスを入力します。
4. ［Distribution State（配布状態）］：［Local（ローカル）］を選択します。
［API (Enable OAuth Settings)（API（OAuth設定の有効化））］セクションに移動し、以下のフィールドに値を入力します。
1. ［Enable OAuth（OAuthの有効化）］チェックボックスを選択します。
2. ［Callback URL（コールバックURL）］フィールドにhttp://localhost:1717/OauthRedirectと入力します。
3. ［OAuth Scopes（OAuth範囲）］に以下のOAuthスコープを追加します。
  1. Manage user data via APIs (api)（API（api）によるユーザーデータの管理）
  2. Manage user data via Web browsers (web)（Webブラウザ（web）によるユーザーデータの管理）
  3. Perform requests at any time（常時リクエスト実行）（refresh_token、offline_access）
4. ［Flow Enablement（フローの有効化）］セクションに移動します。
  1. ［Enable JWT Bearer Flow（JWTベアラーフローの有効化）］を選択します。
  2. 先ほどISPMコンソールからダウンロードしたサーバー証明書ファイル（server.crt）をアップロードします。
5. ［Security（セキュリティ）］セクションに移動して、以下のチェックボックスが選択されていることを確認します。
  - Require Secret for Web Server Flow（Webサーバーフローの秘密が必要）
  - Require Secret for Refresh Token Flow（更新トークンフローの秘密が必要）
6. ［Create（作成）］をクリックします。
7. 外部クライアントアプリのページで［Settings（設定）］タブに移動します。
8. ［OAuth Settings（OAuth設定）］で、［Consumer Key and Secret（コンシューマーキーと秘密）］フィールドをクリックし、コンシューマーキーの値をコピーします。この値を安全な場所に保管します。
［Policies（ポリシー）］タブに移動し、［Edit（編集）］をクリックします。
［OAuth Policies（OAuthポリシー）］セクションに移動して以下の手順を実行します。
1. ［Permitted Users（許可済みユーザー）］フィールドを［Admin approved users are pre-authorized（管理者が承認したユーザーは事前承認済み）］に設定します。
2. ［Select Permission Sets（権限セットの選択）］フィールドで、先ほど作成した権限セットを選択します。
1. ［App Authorization（アプリ認可）］サブセクションで以下の操作を行います。
  1. ［Refresh token is valid until revoked（更新トークンは取り消されるまで有効）］を選択します。
  2. ［IP Relaxation（IP制限の緩和）］を［Enforce IP restrictions（IP制限を適用）］に設定します。
2. ［Save（保存）］をクリックします。

パラメーターをISPMと共有する

Identity Security Posture Managementコンソールで［Settings（設定）］［Sources gallery（ソースギャラリー）］に移動します。
［Salesforce］を選択します。
権限セットを割り当てたユーザーのユーザー名を入力します。
先ほどコピーしたコンシューマーキーを入力します。
［Submit（送信）］をクリックします。