Salesforce Data Cloud への接続

Salesforce Data Cloud は、OAuth 標準による認証をサポートしています。

OAuth

AuthScheme をOAuth に設定します。

デスクトップアプリケーション

CData は、デスクトップでの認証を簡略化する埋め込みOAuth アプリケーションを提供します。

また、Salesforce Data Cloud コンソールで設定および登録するカスタムOAuth アプリケーションを介してデスクトップから認証することもできます。詳しくは、カスタムOAuth アプリの作成 を参照してください。

接続する前に、次のプロパティを設定します。

• InitiateOAuth：GETANDREFRESH。InitiateOAuth を使えば、繰り返しOAuth の交換を行ったり、手動でOAuthAccessToken を設定する必要はなくなります。
• OAuthClientId（カスタムアプリケーションのみ）：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントID。
• OAuthClientSecret（カスタムアプリケーションのみ）：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントシークレット。

接続すると、本製品 はデフォルトブラウザでSalesforce Data Cloud のOAuth エンドポイントを開きます。ログインして、アプリケーションにアクセス許可を与えます。

以下のように本製品 がOAuth プロセスを完了します。

• コールバックURL からアクセストークンを取得します。
• 古いトークンの期限が切れたときは、新しいアクセストークンを取得します。
• OAuthSettingsLocation にOAuth 値を保存し、接続間で永続化します。

Web アプリケーション

Web 経由で認証する場合は、カスタムOAuth アプリの作成 で説明するようにSalesforce Data Cloud にカスタムOAuth アプリケーションを作成および登録する必要があります。それから本製品 を使用してOAuth トークンの値を取得および管理します。

このセクションでは、OAuth アクセストークンの取得方法、本製品 にOAuth アクセストークンを自動的に更新させる方法、OAuth アクセストークンを手動で更新する方法について説明します。

OAuth アクセストークンの取得：

1. OAuthAccessToken を取得するには、次の接続プロパティを設定します。

   • OAuthClientId：カスタムOAuth アプリケーション設定のクライアントId。
   • OAuthClientSecret：カスタムOAuth アプリケーション設定のクライアントシークレット。

2. ストアドプロシージャを呼び出し、OAuth 交換を完了します。
   • GetOAuthAuthorizationUrl ストアドプロシージャを呼び出します。CallbackURL インプットをカスタムOAuth アプリケーション設定で指定したコールバックURL に設定します。必要に応じて、Scope パラメータを設定してカスタム権限をリクエストします。ストアドプロシージャがOAuth エンドポイントのURL を返します。
   • ステップ1でストアドプロシージャが返したURL に移動します。ログインしてWeb アプリケーションを認可します。コールバックURL にリダイレクトされます。
   • GetOAuthAccessToken ストアドプロシージャを呼び出します。AuthMode インプットをWEB に設定します。Verifier インプットを、コールバックURL のクエリ文字列のcode パラメータに設定します。必要に応じて、Scope パラメータを設定してカスタム権限をリクエストします。

アクセストークンとリフレッシュトークンの取得後、データに接続し、OAuth アクセストークンを自動または手動でリフレッシュすることが可能です。

OAuth アクセストークンの自動リフレッシュ

本製品 がOAuth アクセストークンを自動的にリフレッシュするようにするには、最初のデータ接続で次のパラメータを設定します。

• InitiateOAuth：REFRESH。
• OAuthClientId：カスタムOAuth アプリケーション設定のクライアントId。
• OAuthClientSecret：カスタムOAuth アプリケーション設定のクライアントシークレット。
• OAuthAccessToken：GetOAuthAccessToken によって返されたアクセストークン。
• OAuthRefreshToken：GetOAuthAccessToken によって返されたリフレッシュトークン。
• OAuthSettingsLocation：本製品 がOAuth トークン値を保存する場所。これは接続間で維持されます。

次回のデータ接続では、本製品 はOAuthSettingsLocation からOAuthAccessToken およびOAuthRefreshToken の値を取得します。

OAuth アクセストークンの手動リフレッシュ：

データ接続時に手動でOAuth アクセストークンをリフレッシュするために必要な値は、OAuth リフレッシュトークンのみです。

はじめに、RefreshOAuthAccessToken ストアドプロシージャを使用し、GetOAuthAccessToken によって返されたExpiresIn パラメータ値が経過した後に手動でOAuthAccessToken をリフレッシュします。

次に、以下のプロパティを設定します。

• OAuthClientId：カスタムOAuth アプリケーション設定のクライアントId。
• OAuthClientSecret：カスタムOAuth アプリケーション設定のクライアントシークレット。

ここでRefreshOAuthAccessToken を呼び出し、OAuthRefreshToken にGetOAuthAccessToken によって返されたOAuth リフレッシュトークンを指定します。新しいトークンが取得できたら、OAuthAccessToken プロパティにRefreshOAuthAccessToken によって返された値を設定します。これで新規接続が開かれます。

最後に、OAuth リフレッシュトークンを保存してOAuth アクセストークンの有効期限が切れた後に手動でリフレッシュできるようにします。

ヘッドレスマシン

ヘッドレスマシンのユーザーアカウントでOAuth を使用するように本製品 を設定するには、インターネットブラウザに対応した別の端末で認証する必要があります。

次のいずれかを実行します。

• オプション1：OAuthVerifier 値を取得します（後述の「Verifier code を取得および交換」参照）。
• オプション2：ブラウザに対応したマシンに本製品 をインストールし、通常のブラウザベースのフローで認証後にOAuth 認証値を転送します（後述の「OAuth 設定を転送」参照）。

オプション1：Verifier code を取得および交換

Verifier code を取得するには、OAuth Authorization URL で認証する必要があります。

インターネットブラウザに対応したマシンから認証してOAuthVerifier 接続プロパティを取得する方法は次のとおりです。

1. 以下のオプションから選択します。
   • 埋め込みOAuth 認証情報を使用する場合は、Salesforce Data Cloud OAuth エンドポイント をクリックし、ブラウザでエンドポイントを開きます。
   • カスタムOAuth アプリケーションを使用するには、以下のプロパティを設定し、認証URL を作成します。
     • InitiateOAuth：OFF。
     • OAuthClientId：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントId。
     • OAuthClientSecret：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントシークレット。
     次に、適切なCallbackURL を指定してGetOAuthAuthorizationURL ストアドプロシージャを呼び出します。ストアドプロシージャによって返されたURL をブラウザで開きます。

2. ログインして、本製品 にアクセス許可を与えます。すると、verifier code を含むコールバックURL にリダイレクトされます。
3. verifier code の値を保存します。後ほどこれをOAuthVerifier 接続プロパティに設定します。

次に、OAuth verifier code をOAuth リフレッシュトークンおよびアクセストークンと交換する必要があります。次のプロパティを設定します。

ヘッドレスマシンでは、次の接続プロパティを設定してOAuth 認証値を取得します。

• InitiateOAuth：REFRESH。
• OAuthVerifier：verifier code。
• OAuthSettingsLocation：暗号化されたOAuth 認証値を指定された場所に永続化。
• OAuthClientId（カスタムアプリケーションのみ）：カスタムOAuth アプリケーション設定のクライアントId。
• OAuthClientSecret（カスタムアプリケーションのみ）：カスタムOAuth アプリケーション設定のクライアントシークレット。

OAuth 設定ファイルが生成されたら、次の接続プロパティをリセットします。

• InitiateOAuth：REFRESH。
• OAuthSettingsLocation：暗号化されたOAuth 認証値が保存される場所。アクセストークンの自動リフレッシュを有効にするために、この場所が本製品 に読み書きのアクセス許可を与えることを確認してください。
• OAuthClientId（カスタムアプリケーションのみ）：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントId。
• OAuthClientSecret（カスタムアプリケーションのみ）：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントシークレット。

オプション2：OAuth 設定を転送

ヘッドレスマシンでの接続に先立ち、インターネットブラウザに対応したデバイスでインストールして本製品 の接続を作成する必要があります。上述の「デスクトップアプリケーション」の説明に従って、接続プロパティを設定します。

「デスクトップアプリケーション」の手順を完了すると、生成された認証値は、OAuthSettingsLocation で指定された場所に暗号化されて書き込まれます。デフォルトのファイル名はOAuthSettings.txt です。

接続テストに成功したら、OAuth 設定ファイルをヘッドレスマシンにコピーします。

ヘッドレスマシンでは、次のプロパティを設定します。

• InitiateOAuth：REFRESH。
• OAuthSettingsLocation：OAuth 設定ファイルの場所。アクセストークンの自動リフレッシュを有効にするために、この場所が本製品 に読み書きのアクセス許可を与えることを確認してください。
• OAuthClientId（カスタムアプリケーションのみ）：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントId。
• OAuthClientSecret（カスタムアプリケーションのみ）：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントシークレット。

OAuth パスワードグラント

次の手順に従いパスワードグラントオプションを設定します。

1. パスワードグラント種別で認証を行う場合は、AuthScheme をOAuthPassword に設定します。
2. 上記のWeb またはデスクトップ認証セクションで指定されたすべてのプロパティを設定します。
3. User およびPassword をログインクレデンシャルに設定します。

Note： セッションの設定 -> ログイン時のIP アドレスとセッションをロックするを有効にしている場合、本製品 の使用中にIP アドレスが変更されないことを確認してください。 本製品 使用中にIP が変更された場合、Salesforce Data Cloud から"INVALID_SESSION_ID" エラーが返され、本製品 はデータを取得できなくなります。 このエラーが表示された場合は、Salesforce Data Cloud 管理者にこの設定を無効にするよう依頼するか、本製品 を使用するインスタンスに固定IP を必ず設定してください。 その後、接続をリセットして本製品 を使い続けます。

OAuth クライアントグラント

OAuth クライアントグラントを使用するには、以下の手順に従います。

1. クライアントグラント種別で認証を行う場合は、AuthScheme をOAuthClient に設定します。
2. 上記のWeb またはデスクトップ認証セクションで指定されたすべてのプロパティを設定します。

OAuth PKCE

OAuth PKCE 認証を設定するには、以下の手順に従います。

1. PKCE で認証を行う場合は、AuthScheme をOAuthPKCE に設定します。
2. InitiateOAuth：GETANDREFRESH に設定。InitiateOAuth を使うと、OAuth 交換の繰り返しや、手動でのOAuthAccessToken 設定を避けられます。
3. OAuthClientId：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントId。
4. OAuthClientSecret：カスタムOAuth アプリケーションの登録時に割り当てられたクライアントシークレット。
5. PKCEVerifier：GetOAuthAuthorizationUrl ストアドプロシージャの実行により生成されるPKCE code verifier。

OAuthJWT

AuthScheme をOAuthJWT に設定します。

OAuthJWT コンシューマーキーを取得するには：

1. Salesforce.com にログインします。
2. 設定で、クイック検索ボックスにApps を入力し、表示されるリンクをクリックしてアプリを作成します。表示されたページの接続アプリケーションセクションで、新規をクリックします。
3. ユーザーがアプリケーションにログイン認証をする際に表示されるアプリケーション名を入力します。連絡先E メールアドレスも入力します。
4. OAuth 設定の有効化をクリックし、コールバックURL ボックスに値を入力します。この値はこの認証方式では必要ありませんが、Salesforce UI で設定されている必要があります。Callback URL は次の形式になります：
   

   http://localhost:8019/src/oauthCallback.rst

5. デジタル署名を使用を有効にします。
6. 証明書をアップロードします。
7. アプリがユーザーに要求するアクセス許可の範囲を選択します。
8. アプリケーション名をクリックしてアプリケーションの情報ページを開きます。OAuth コンシューマーキーが表示されます。

OAuth アプリケーション作成後、次の接続プロパティを設定します。

• InitiateOAuth：GETANDREFRESH。
• OAuthJWTCert：JWT 証明書のストア。
• OAuthJWTCertType：OAuthJWTCert で指定された証明書ストアの種類。
• OAuthJWTCertPassword：JWT 証明書ストアのパスワード。
• OAuthJWTIssuer：OAuth クライアントID。
• OAuthJWTSubject：接続されたOAuth アプリで設定された、許可されたユーザープロファイルのユーザー名（E メールアドレス）。

Note： このフローではリフレッシュトークンは発行されません。