Download - 1 power night2014_imaoka
![Page 1: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/1.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
Secure Coding: External App Integration
![Page 2: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/2.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
自己紹介
2
salesforcec.com認定資格ほか
著書 主な業務 導入コンサル アーキテクチャーデザイン Apex、VF開発 テクニカルライティング
株式会社テラスカイ
取締役 ソリューション本部 部長 今岡 純二
![Page 3: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/3.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
3
SFDCと連携する 外部アプリ開発経験ありますか?
![Page 4: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/4.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
4
外部アプリのSFDCへの接続情報は安全に管理されていますか?
![Page 5: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/5.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
連携の目的&ポイント
5
外部アプリと連携してSFDCの機能を拡張
SFDCユーザとの対応付けが必要
SFDCのセキュリティモデルに準じたACL
![Page 6: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/6.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
6
外部アプリと連携する時 どうしてます?
IDとパスワードを保持してません?
![Page 7: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/7.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
7
OAuthを使いましょう!
![Page 8: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/8.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
API / OAuth
8
OAuthでアクセストークンを受け取る
トークンはパスワードを扱うのと同等に大事
![Page 9: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/9.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
9
Consumer Secretは 安全に保存されてます?
![Page 10: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/10.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
10
カスタム設定を使いましょう Secure Credential Storage
カスタム設定で保護できる
外部システムのAPIキーのようなものの設定に使う
![Page 11: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/11.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
SFDCの重要な情報の扱い
11
OAuthで統合する場合、トークンを厳重に管理
セキュアストレージを使う
外部アプリでID、パスワードを保存しない
OAuthのスコープは最小限にする
トークンをログに出力しない
![Page 12: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/12.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
12
その他は?
![Page 13: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/13.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
外部アプリもセキュアに
13
安全なコーディングガイドラインに従うこと
Webアプリケーションの脆弱性を知る
• Cross-Site Scripting(XSS)
• SOQL Injection
• Cross-Site Request Forgery(CSRF)
• Remote Code Execution(RCE) など
![Page 14: 1 power night2014_imaoka](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a2c6571a28ab72158b47b5/html5/thumbnails/14.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
14
ありがとうございました