接続アプリケーションを作成した後、ユーザーがログインできる信頼済み IP 範囲を指定できます。また、OAuth と SAML を使用してシングルサインオンを行うアプリケーションを含め、すべての OAuth クライアントアプリケーションに IP 制限の緩和を適用できます。
以下の投稿を日本語訳しておきます。
組織の設定はすべてのリクエストに対して IP 制限を強制することであり、アプリは IP 制限を強制するように指定されています。
ただし、テストでは、トークンなどを取得するために IP 範囲外からアプリにアクセスできることが示されています。
強制を有効にして信頼できる IP 範囲を設定すると、その範囲内からの接続以外は接続が行われないことを期待していました。
これについては、Salesforce サポートとのディスカッションからさらに最新情報を入手できます。
接続されたアプリについて話す場合、ここには IP 範囲の 2 つの場所、プロファイルとアプリがあります。
私たちが行ったことは、アプリ レベルで IP 範囲を設定することであり、これは実際にアクセスを制限するために何かを行うと思われるかもしれません。
Salesforce の提案に従って、定義された接続されたフロー ユーザーのプロファイルに IP 範囲を適用しましたが、結果はブロックされました。
ここで問題となるのは、接続できる IP アドレスを制限していない場合、管理対象アプリの信頼できる IP 範囲は実際に何をするのかということです。
記事: https://help.salesforce.com/s/articleView?id=sf.connected_app_edit_ip_ranges.htm&type=5
「接続アプリケーションを作成した後、ユーザーがログインできる信頼できる IP 範囲を指定できます。」
また、信頼できる IP 範囲を入力する手順も説明します。
ただし、この例で示されているように、実際には IP 範囲は制御されません。これは非常に混乱を招くものであり、徹底的に調査、テスト、質問をしていない顧客にとっては、ロックダウンされていると考えて制限を実装している可能性があります。また、非常に危険です。さらに危険なのは、実際にはプロファイルのみを利用するため、プロファイルが変更されたり、他の目的で拡張されたりした場合、API アクセスも拡張されることです。これが完全な部分として理解されていない場合、顧客の構成によっては、気付かないうちにデータが公開される可能性があります。
私は、信頼できる IP 範囲が実際に何をするのか (もしあれば) について詳しく尋ねました。これにより、API をロックダウンするために、私たちが何をしているのか、より適切に実装する必要があるのかを理解できるようになります。
結論としてはIPアドレスの範囲指定はプロファイルでの設定が必要みたいです。
- 接続アプリケーション「Salesforce Connector」のOAuthポリシーで「許可されているユーザー」を「管理者が承認したユーザーは事前承認済み」に変更する
- 変更すると、接続アプリケーション「Salesforce Connector」の詳細ページに「プロファイル」や「権限セット」のセクションが表示されるので、そこにプロファイルや権限セットを追加する
と設定すると、追加したプロファイルや権限セットを割り当てされたユーザーだけが、「Salesforce Connector」にアクセスできるようになります。
ご参考資料:https://help.salesforce.com/s/articleView?id=sf.connected_app_manage_oauth.htm&type=5
(引用)
"管理者が承認したユーザーは事前承認済み — 関連付けられたプロファイルまたは権限セットを持つユーザーのみがアプリケーションにアクセスできます。このユーザーは最初にアプリケーションを承認する必要はありません。このオプションを選択した後、各プロファイルの [接続アプリケーションへのアクセス] リストを編集して、アプリケーションのプロファイルを管理します。または、各権限セットの [割り当てられた接続アプリケーション] リストを編集して、アプリケーションの権限セットを管理します。"