Goals and Objectives Summary Implications

• Las siguientes políticas de OAuth están disponibles para cada aplicación conectada habilitada por OAuth. – Usuarios autorizados determina quién puede iniciar la aplicación.

• Todos los usuarios pueden autorizarse: Valores predeterminados. Todos los usuarios en la organización pueden autorizar la aplicación por sí mismos. Esta configuración significa que cada usuario debe aprobar la aplicación la primer vez que accede a ella.

• Los usuarios aprobados por el administrador se han autorizado previamente. El acceso está limitado a aquellos usuarios con un perfil o conjunto de permisos especificados, pero estos usuarios no necesitan aprobar la aplicación antes de poder acceder a ella. En Group Edition, esta configuración evita el acceso a la aplicación para todos los usuarios. Gestione perfiles desde la aplicación modificando la lista Acceso de aplicación conectada de cada perfil (excepto en Group Edition). Gestione conjuntos de permisos desde la aplicación modificando la lista Aplicaciones conectadas asignadas del conjunto de permisos.

PRECAUCIÓN: Si cambia de Todos los usuarios pueden autorizarse a Los usuarios aprobados por el administrador se han autorizado previamente, cualquier persona que esté utilizando actualmente la aplicación en este momento pierde su acceso a menos que el usuario pertenezca a un conjunto de permisos o perfil que haya especificado para la aplicación.

Nota: Si el perfil o el conjunto de permisos del usuario tiene el permiso de usuario “Usar cualquier cliente de API” activado, se puede omitir la política Los usuarios aprobados por el administrador se han autorizado previamente. Este permiso de usuario está disponible solo si está activado el permiso de organización “Solo aplicaciones aprobadas por el administrador”. El permiso de usuario “Usar cualquier cliente de API” permite que un usuario que no esté aprobado por el administrado acceda y ejecute la aplicación, incluso si la configuración de la aplicación conectada requiere usuarios aprobados por el administrador y el permiso de organización “Solo aplicaciones aprobadas por el administrador” está activado. Este esquema de permisos permite que usuarios específicos, como contratistas a corto plazo, accedan a una aplicación conectada temporalmente.

– Restricciones de direcciones IP hace referencia a las restricciones de direcciones IP a las que están sujetos los usuarios de la aplicación conectada. Los intervalos de IP funcionan con aplicaciones conectadas habilitadas por OAuth, no aplicaciones conectadas habilitadas por SAML. Un administrador puede seleccionar si reforzar u omitir estas restricciones seleccionando una de las siguientes opciones.

• Reforzar restricciones de direcciones IP: Valores predeterminados. Un usuario que ejecuta la aplicación está sujeto a las restricciones de direcciones IP de la organización, como los intervalos de direcciones IP establecidos en el perfil de usuario.

• Flexibilizar las restricciones de direcciones IP con segundo factor: Un usuario que ejecuta esta aplicación omite las restricciones de direcciones IP de la organización si una de estas condiciones es verdadera: – La aplicación cuenta con intervalos de direcciones IP con lista blanca y está utilizando el flujo de autenticación OAuth

del servidor Web. Solo se permiten las solicitudes procedentes de las direcciones IP con lista blanca.

– La aplicación no cuenta con una lista blanca de intervalos de direcciones IP, está utilizando el flujo de autenticación OAuth del servidor Web o del usuario-agente y el usuario ha completado correctamente la confirmación de identidad. • Flexibilizar restricciones de direcciones IP: Un usuario que ejecuta esta aplicación conectada no

Nota: Si la opción Configuración de la sesión Activar intervalos de dirección IP de inicio de sesión en cada solicitud está activada, afectará al comportamiento de relajación de IP. Para obtener más información, consulte Relajación de IP de la aplicación conectada y Conformidad continua de dirección IP en la página 178.

– Política de testigos de actualización especifica el periodo de validez de un token de actualización. La aplicación conectada habilitada por OAuth utiliza los token de actualización para obtener sesiones nuevas sin solicitar al usuario que proporcione sus credenciales. La aplicación conectada simplemente intercambia el token de actualización por una sesión nueva. Mediante las políticas de tokens de actualización, los administradores controlan durante cuánto tiempo se utiliza un token de actualización. Las opciones son las siguientes.

• El testigo de actualización es válido hasta su revocación. Esta configuración es el comportamiento predeterminado. Especifica que el token se utiliza de forma indefinida, a menos que se revoque por el usuario o administrador. Revoque los tokens en la página de detalles de un usuario en Aplicaciones conectadas de OAuth o en el informe de uso de aplicaciones conectadas de OAuth.

• Hacer caducar inmediatamente el testigo de actualización. Esta opción especifica que el token deja de ser válido de inmediato. El usuario puede utilizar la sesión actual (token de acceso) generada, pero no puede usar el token de actualización para obtener una nueva sesión.

• Hacer caducar el testigo de actualización si no se utiliza para n. Esta opción invalida el token si no se usa para la cantidad de tiempo especificada. Por ejemplo, si el valor del campo indica 7 días y el token de actualización no se intercambia por una sesión nueva en siete días, el siguiente intento de uso del token es fallido. El token ha caducado y ya no puede generar nuevas sesiones. Si el token de actualización se usa correctamente antes de 7 días, se restablece la supervisión del periodo de inactividad y el token es válido durante otros 7 días.

• Hacer caducar el testigo de actualización después de n. Esta opción invalida el token de actualización después de una cantidad de tiempo fija. Por ejemplo, si la política establece 1 día, el token de actualización se puede utilizar para obtener sesiones nuevas durante 24 horas. Pasadas 24 horas, no se puede utilizar el token.

Se puede mantener la sesión de un usuario mediante el uso. Su periodo de validez se define por el valor de tiempo de espera para la configuración de sesión de la aplicación conectada, el perfil de usuario o la organización (en este orden). La Política

de testigos de actualización solo se evalúa durante el uso del token de actualización generado y no afecta a la sesión actual del usuario. Los tokens de actualización solo son obligatorios cuando la sesión de un usuario ha caducado o ya no está disponible. Por ejemplo, si establece la Política de testigos de actualización en Hacer caducar el testigo de actualización después de 1 hora y el usuario utiliza la aplicación durante 2 horas, no se le exigirá la autenticación después de una hora. Se solicitará al usuario volver a realizar la autenticación cuando la sesión haya caducado y el cliente intente intercambiar sus tokens de actualización por una sesión nueva.

– El valor de tiempo de espera solo está disponible para aplicaciones conectadas habilitadas por OAuth. Este valor establece el vencimiento de los tokens de acceso para la sesión de la aplicación conectada. Si no establece un valor o Ninguno está seleccionado (el valor predeterminado), Salesforce utiliza el valor de tiempo de espera en el perfil del usuario. Si el perfil no tiene ningún valor establecido, Salesforce utiliza el valor de tiempo de espera en la configuración de sesión de la organización. – Los permisos actuales de la aplicación conectada también se enumeran aquí.

Si su aplicación conectada es una aplicación de lienzo que utiliza una autenticación por solicitud firmada, asegúrese de lo siguiente: – Establezca Usuarios permitidos como Los usuarios aprobados por el administrador se han

autorizado previamente.

– Establezca Caducar tokens de actualización como La primera vez que utilizan esta aplicación.

• La política a nivel de sesión está disponible para todas las aplicaciones conectadas. Seleccione Sesión de alta seguridad obligatoria para que el usuario introduzca un token basado en tiempo durante el inicio de sesión para acceder a la aplicación. • Hay información básica disponible para todas las aplicaciones conectadas. Sin embargo, si su aplicación es una aplicación de lienzo, estos valores de campo no se utilizarán. Por el contrario, se utilizará la URL de aplicación de lienzo especificada cuando se creó la aplicación conectada.

– URL de inicio se utiliza si la aplicación conectada utiliza un inicio de sesión único. En este caso, establezca la URL de la página donde el usuario iniciará el proceso de autenticación. Esta ubicación aparece también en el menú de conmutación de aplicaciones.

– URL de inicio de Mobile se utiliza para dirigir los usuarios a una ubicación específica cuando se accede a la aplicación desde un dispositivo móvil.

• La configuración de aplicación de Mobile está disponible para cualquier aplicación conectada móvil que refuerza la protección de pin.

– Solicitar PIN después de especifica cuánto tiempo puede transcurrir mientras la aplicación está inactiva antes de la aplicación se bloquee y solicite el PIN antes de continuar. Los valores disponibles son ninguno (sin bloqueo), 1, 5, 10 y 30 minutos. Esta política solo se cumple si se establece el valor de Longitud de PIN correspondiente. El cumplimiento de la política es responsabilidad de la aplicación conectada. Las aplicaciones creadas con el SDK de Salesforce Mobile pueden establecer el cumplimiento de esta política o la aplicación puede leer la política con el servicio UserInfo y cumplirla.

Nota: Esta opción no invalida la sesión de un usuario. Cuando la sesión caduca debido a la inactividad, esta política solo requiere que el usuario introduzca un PIN para seguir utilizando la sesión actual.

– Longitud de Pin establece la longitud del número de identificación enviado para la confirmación de la autenticación. La longitud puede ser de 4 a 8 dígitos, ambos incluidos.

• Hay atributos personalizados disponibles para todas las aplicaciones conectadas. Los desarrolladores pueden establecer metadatos personalizados de SAML o atributos personalizados de OAuth para una aplicación conectada. Los administradores pueden eliminar o modificar aquellos atributos o agregar atributos personalizados. Los atributos eliminados, modificados o agregados por administradores sustituyen los atributos establecidos por los desarrolladores. Para obtener más información, consulte Modificar, empaquetar o eliminar una aplicación conectada en la página 175

Gestor de aplicación conectada personalizada

Personalice el comportamiento de una aplicación conectada con Apex. Cree una clase que amplía la clase ConnectedAppPlugin de Apex y asóciela con una aplicación conectada. La clase puede admitir nuevos protocolos de autenticación o responder a atributos de usuario de una forma que beneficia a un proceso comercial.

El complemento se ejecuta en nombre de una cuenta de usuario. En el campo Ejecutar como, seleccione el usuario para el complemento. Si el usuario no está autorizado para la aplicación conectada, utilice el método autorizar para hacerlo. Para obtener más información, consulte la clase ConnectedAppPlugin en la Guía del desarrollador del código Apex de Force.com.

CONSULTE TAMBIÉN

Modificar una aplicación conectada