OAuthとRESTの統合を構成する
このトピックではOAuthを介した認証向けに、REST APIを使用してSalesforce統合を設定する方法を説明します。
OAuth認証にREST APIを使用するようにSalesforceアプリ統合を構成できます。SalesforceでREST APIリソースにアクセスするには、事前に安全な訪問者として承認される必要があります。この承認には、接続アプリとOAuth 2.0認証フローを使用します。「接続アプリとOAuth 2.0を介した承認」を参照してください。
はじめに
- Salesforceで管理者アカウントを作成します。Salesforce REST統合で使用するOAuthコンシューマーキーとコンシューマーシークレットを作成するには、このアカウントが必要です。
- Salesforceでカスタムユーザープロファイルを作成します。これは、SOAP統合とREST統合の両方に必要です。「Salesforceプロビジョニングの有効化」を参照してください。
- Salesforceで接続アプリを作成し、API統合のOAuth設定を有効にします。
接続アプリを作成するには、「接続アプリの基本設定の構成」の手順を実行します。
OAuth設定を有効にするには、「API統合向けにOAuth設定を有効にする」の手順を実行します。次の設定を使用します。
- Enable for Device Flow(デバイスフローを有効化):無効
- コールバックURL: https://system-admin.okta.com/admin/app/generic/oauth20redirect
- Use digital signatures(デジタル署名を使用):無効
- 選択したOAuthスコープ:
- API(api)によるユーザーデータの管理
- Perform requests at any time(常時リクエスト実行)(refresh_token、offline_access)
- サポート対象の認証フローでProof Key for Code Exchange(PKCE)拡張機能が必要:無効
- Webサーバーフローでシークレットが必要:有効
- Require Secret for Refresh Token Flow(リフレッシュトークンフローでシークレットが必要):有効
- Enable Client Credentials Flow(クライアント資格情報フローが有効):無効
- Introspect All Tokens(すべてのトークンを内観):無効
- IDトークンを設定:無効
- Enable Asset Tokens(アセットトークンを有効化):無効
- Enable Single Logout(シングルログアウトを有効化):無効
- [All users may self-authorize(すべてのユーザーが自己認証できる)]を選択します。[Save(保存)]をクリックします。 に移動します。
- 接続アプリを使用する前に、変更内容が有効になるまで最大で10分待ちます。
- Salesforceで[API統合向けにOAuth設定を有効にする]の[Consumer Key(コンシューマーキー)]と[Consumer Secret(コンシューマーシークレット)]をメモします。これらの値は、Oktaでプロビジョニングを構成する際に必要になります。
- コンシューマーキーとコンシューマーシークレットが表示される[Salesforce]ページで[Manage(管理)]をクリックします。[Refresh Token Policy(トークンリフレッシュトークン)]が[Refresh token is valid until revoked(トークン更新が撤回されるまで有効)]に設定されていることを確認します。
OAuthとRESTの統合を構成する
既存の顧客向け:
この機能を有効化した後でも、プロビジョニング関連のすべての操作でSOAP資格情報(管理者ユーザー名およびパスワード)が引き続き使用されます。SOAP資格情報を構成していない場合、またはOAuth資格情報を構成する次の手順を完了していない場合、いかなるプロビジョニング操作を行っても無効なAPI資格情報エラーが生じます。
- Admin Consoleで に移動します。
- 次を入力します。
- OAuthコンシューマーキー: Salesforce OAuth設定のコンシューマーキー
- OAuthコンシューマーシークレット:Salesforce OAuth設定のコンシューマーシークレット
- [Authenticate with Salesforce.com(Salesforce.comで認証する)]をクリックします。
- 新しいSalesforce.comのウィンドウで、接続されたOAuthアプリの作成に使用した管理者ユーザー名とパスワードを入力します。過去にSOAP資格情報を入力していれば、それを再入力する必要はありません。
- [Allow(承認)]をクリックして接続アプリへのアクセスを許可します。
- [Save(保存)]をクリックします。
これで、Salesforce統合が実行されました。以前にSOAP資格情報(管理者パスワードおよびユーザー名)を使用していた場合は、この機能を無効化して戻ることができます。