Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

Secure Coding: External App Integration

Dreamforce’2014

TerraSky Power Night

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

自己紹介

2

salesforcec.com認定資格ほか

著書 主な業務 導入コンサル アーキテクチャーデザイン Apex、VF開発 テクニカルライティング

株式会社テラスカイ

取締役 ソリューション本部 部長 今岡 純二

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

3

SFDCと連携する外部アプリ開発経験ありますか？

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

4

外部アプリのSFDCへの接続情報は安全に管理されていますか？

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

連携の目的＆ポイント

5

外部アプリと連携してSFDCの機能を拡張

SFDCユーザとの対応付けが必要

SFDCのセキュリティモデルに準じたACL

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

6

外部アプリと連携する時どうしてます？

IDとパスワードを保持してません？

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

7

OAuthを使いましょう！

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

API ／ OAuth

8

OAuthでアクセストークンを受け取る

トークンはパスワードを扱うのと同等に大事

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

9

Consumer Secretは安全に保存されてます？

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

10

カスタム設定を使いましょうSecure Credential Storage

カスタム設定で保護できる

外部システムのAPIキーのようなものの設定に使う

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

SFDCの重要な情報の扱い

11

OAuthで統合する場合、トークンを厳重に管理

セキュアストレージを使う

外部アプリでID、パスワードを保存しない

OAuthのスコープは最小限にする

トークンをログに出力しない

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

12

その他は？

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

外部アプリもセキュアに

13

安全なコーディングガイドラインに従うこと

Webアプリケーションの脆弱性を知る

•Cross-Site Scripting(XSS)

•SOQL Injection

•Cross-Site Request Forgery（CSRF）

•Remote Code Execution（RCE） など

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

14

ありがとうございました