secure coding external app integration
DESCRIPTION
Dreamforce'2014で参加したセッションの簡単な報告TRANSCRIPT
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
Secure Coding: External App Integration
Dreamforce’2014
TerraSky Power Night
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
自己紹介
2
salesforcec.com認定資格ほか
著書 主な業務 導入コンサル アーキテクチャーデザイン Apex、VF開発 テクニカルライティング
株式会社テラスカイ
取締役 ソリューション本部 部長 今岡 純二
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
3
SFDCと連携する外部アプリ開発経験ありますか?
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
4
外部アプリのSFDCへの接続情報は安全に管理されていますか?
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
連携の目的&ポイント
5
外部アプリと連携してSFDCの機能を拡張
SFDCユーザとの対応付けが必要
SFDCのセキュリティモデルに準じたACL
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
6
外部アプリと連携する時どうしてます?
IDとパスワードを保持してません?
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
7
OAuthを使いましょう!
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
API / OAuth
8
OAuthでアクセストークンを受け取る
トークンはパスワードを扱うのと同等に大事
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
9
Consumer Secretは安全に保存されてます?
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
10
カスタム設定を使いましょうSecure Credential Storage
カスタム設定で保護できる
外部システムのAPIキーのようなものの設定に使う
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
SFDCの重要な情報の扱い
11
OAuthで統合する場合、トークンを厳重に管理
セキュアストレージを使う
外部アプリでID、パスワードを保存しない
OAuthのスコープは最小限にする
トークンをログに出力しない
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
12
その他は?
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
外部アプリもセキュアに
13
安全なコーディングガイドラインに従うこと
Webアプリケーションの脆弱性を知る
•Cross-Site Scripting(XSS)
•SOQL Injection
•Cross-Site Request Forgery(CSRF)
•Remote Code Execution(RCE) など
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.
14
ありがとうございました