More Related Content
Similar to 1 power night2014_imaoka
Similar to 1 power night2014_imaoka (20)
1 power night2014_imaoka
- 1. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
Secure Coding: External App Integration
- 2. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
自己紹介
2
salesforcec.com認定資格ほか
著書
主な業務
導入コンサル
アーキテクチャーデザイン
Apex、VF開発
テクニカルライティング
株式会社テラスカイ
取締役 ソリューション本部 部長 今岡 純二
- 3. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
3
SFDCと連携する 外部アプリ開発経験ありますか?
- 4. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
4
外部アプリのSFDCへの接続情報は 安全に管理されていますか?
- 5. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
連携の目的&ポイント
5
外部アプリと連携してSFDCの機能を拡張
SFDCユーザとの対応付けが必要
SFDCのセキュリティモデルに準じたACL
- 6. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
6
外部アプリと連携する時 どうしてます?
IDとパスワードを保持してません?
- 8. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
API / OAuth
8
OAuthでアクセストークンを受け取る
トークンはパスワードを扱うのと同等に大事
- 9. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
9
Consumer Secretは 安全に保存されてます?
- 10. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
10
カスタム設定を使いましょう
Secure Credential Storage
カスタム設定で保護できる
外部システムのAPIキーのようなものの設定に使う
- 11. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
SFDCの重要な情報の扱い
11
OAuthで統合する場合、トークンを厳重に管理
セキュアストレージを使う
外部アプリでID、パスワードを保存しない
OAuthのスコープは最小限にする
トークンをログに出力しない
- 13. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
外部アプリもセキュアに
13
安全なコーディングガイドラインに従うこと
Webアプリケーションの脆弱性を知る
•Cross-Site Scripting(XSS)
•SOQL Injection
•Cross-Site Request Forgery(CSRF)
•Remote Code Execution(RCE) など
- 14. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
14
ありがとうございました