secure coding external app integration
DESCRIPTION
Dreamforce'2014で参加したセッションの簡単な報告TRANSCRIPT
![Page 1: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/1.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
Secure Coding: External App Integration
Dreamforce’2014
TerraSky Power Night
![Page 2: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/2.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
自己紹介
2
salesforcec.com認定資格ほか
著書 主な業務 導入コンサル アーキテクチャーデザイン Apex、VF開発 テクニカルライティング
株式会社テラスカイ
取締役 ソリューション本部 部長 今岡 純二
![Page 3: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/3.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
3
SFDCと連携する外部アプリ開発経験ありますか?
![Page 4: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/4.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
4
外部アプリのSFDCへの接続情報は安全に管理されていますか?
![Page 5: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/5.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
連携の目的&ポイント
5
外部アプリと連携してSFDCの機能を拡張
SFDCユーザとの対応付けが必要
SFDCのセキュリティモデルに準じたACL
![Page 6: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/6.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
6
外部アプリと連携する時どうしてます?
IDとパスワードを保持してません?
![Page 7: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/7.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
7
OAuthを使いましょう!
![Page 8: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/8.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
API / OAuth
8
OAuthでアクセストークンを受け取る
トークンはパスワードを扱うのと同等に大事
![Page 9: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/9.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
9
Consumer Secretは安全に保存されてます?
![Page 10: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/10.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
10
カスタム設定を使いましょうSecure Credential Storage
カスタム設定で保護できる
外部システムのAPIキーのようなものの設定に使う
![Page 11: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/11.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
SFDCの重要な情報の扱い
11
OAuthで統合する場合、トークンを厳重に管理
セキュアストレージを使う
外部アプリでID、パスワードを保存しない
OAuthのスコープは最小限にする
トークンをログに出力しない
![Page 12: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/12.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
12
その他は?
![Page 13: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/13.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
外部アプリもセキュアに
13
安全なコーディングガイドラインに従うこと
Webアプリケーションの脆弱性を知る
•Cross-Site Scripting(XSS)
•SOQL Injection
•Cross-Site Request Forgery(CSRF)
•Remote Code Execution(RCE) など
![Page 14: Secure coding external app integration](https://reader036.vdocuments.net/reader036/viewer/2022062710/55987d841a28ab057e8b45da/html5/thumbnails/14.jpg)
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
14
ありがとうございました