セールスフォース側のセキュリティ設定について

セールスフォースへAPIでアクセスするベストプラクティスについて解説します。

本コンテンツのほか、セールスフォース社による次の内容も参考にしてください。
http://trust.salesforce.com/trust/jp/practices/

一般的な設定

SkOnDemandからAPIでアクセスするにあたっては、データ連携専用のプロファイルを作成し、そこにユーザーを割り当てる方法が推奨されます。新規にプロファイルを作成した場合は、次の設定を行います。

システム権限の「APIの有効化」をONにします。
オブジェクト設定で、APIでアクセスさせたいオブジェクトに対して必要な権限を設定します。権限には、参照、作成、編集、削除、すべて表示、すべて変更の6種類がありますが、参照しか行わないのであれば参照だけをONにする、というように権限は最小限に設定します。

また、APIアクセスを行う場合には、次のいずれかの設定が必須です。

セキュリティートークンの発行
セキュリティトークンはパスワードとつなげて利用する20文字以上の非常に長い文字列です。これを利用することで、パスワード単体に比べて安全性が非常に高くなります。セキュリティトークンの設定へは、私の設定＞個人用＞私のセキュリティトークンのリセットからアクセスできます。なお、このメニューがない場合は、次のヘルプドキュメントをご確認ください。
https://help.salesforce.com/HTViewSolution?id=000003783&language=en_US
ネットワークホワイトリストの設定
連携サーバーのグローバルIPアドレスをホワイトリスト（安全なIPアドレス）としてセールスフォースに登録します。
ホワイトリスト設定は、設定＞管理＞セキュリティのコントロール＞ネットワークアクセスで行えます。

さらに、不正なログイン試行（ブルートフォース攻撃、パスワード総当たり攻撃）に対して、より強固な設定にするために、次の設定を検討してください。

パスワード（およびセキュリティトークン）を定期的に変更する
アカウントのロックアウトのポリシーを強化する
設定＞管理＞セキュリティのコントロール＞パスワードポリシーに、アカウントをロックするまでの試行回数やロックアウトする時間を設定できます。なお、この設定はAPIアクセスだけではなく、ブラウザからの通常ログインにも適用される点にご注意ください。

プロファイルには、さらにセキュリティを強化する設定がありますので、加えて利用すると、さらにセキュリティを強化できます。

SkyOnDemandにログインし、連携サーバー管理から対象のサーバーをクリックすると、「IPアドレス」欄にグローバルIPアドレスが表示されています。

なお、このグローバルIPアドレスは恒久的に固定ではありません。恒久的に固定することを希望される場合は、有償オプション設定が必要となりますので営業までお問い合わせください。