見出し画像

[Winter '25] 気になるリリースをピックアップ ~ID・アクセス管理~


はじめに

こんにちは、荒武です。
Winter '25のリリースノートから気になるリリースをピックアップするシリーズ記事となります。
この記事では自分がWinter '25のリリースノートの中からIDとアクセス管理関連で気になったトピックをピックアップして紹介します。
今回私がピックアップしたのは以下の4つになります。

  • 認証コールアウトを実行できるユーザーの簡単な制御

  • ヘッドレス登録フローの機能強化の最大限の活用

  • 個々の JWT ベースのアクセストークンの取り消し

  • より多くのログイン方法のユーザーへの提供

認証コールアウトを実行できるユーザーの簡単な制御

(英題) Control Who Can Perform Authenticated Callouts with Ease

これまでは、指定ログイン情報を用いて認証を行う場合、外部ログイン情報プリンシパルと外部ログイン情報オブジェクト権限の割当を手動で行う必要がありました。しかし、このアップデートでほとんどの標準権限セットおよびプロファイルでデフォルトでユーザーの外部ログイン情報オブジェクトにアクセスできるようになります。ゲストユーザープロファイルと既存のカスタム権限セットおよびプロファイルの場合は、引き続き手動でユーザーの外部ログイン情報オブジェクトへのアクセス権を付与する必要があるようです。

(Summer'24)標準ユーザーのプロファイル。参照・作成・編集・削除が無効になっている
(Winter'25)標準ユーザーのプロファイル。参照・作成・編集・削除が有効になっている

ヘッドレス登録フローの機能強化の最大限の活用

(英題) Be an Early Adopter of a Headless Identity Draft Standard

ヘッドレスIDを用いるとOAuth 2.0 for First-Party Applicationsドラフト標準に準拠した認証のユーザー名とパスワードによるログイン、パスワードレスログイン、登録フローを利用することができるようです。

補足) OAuth 2.0 for First-Party Applicationsはネイティブアプリ向けのブラウザを介さない認証を提供するための仕組みのようです

個々の JWT ベースのアクセストークンの取り消し

(英題) Revoke Individual JWT-Based Access Tokens

これまではセキュリティ上の理由により、組織内のすべてのトークンを一斉に取り消すことしかできませんでしたが、このアップデートからゲスト・名前付きユーザーのアクセストークンのリボークが個別で可能になるようです。

より多くのログイン方法のユーザーへの提供

(英題) Give Users More Ways to Log In

ヘッドレスなユーザーの検索機能を使用するとユーザーが任意の識別子でログインできる方法の提供が可能になるようです。たとえば、ショッピングアプリにアクセスしたユーザーに注文番号でのログインを促し、Salesforceは注文番号に関連付けられたユーザーを見つけ、そのユーザーの確認済みメールアドレスまたは電話番号にワンタイムパスワード(OTP)を送信するといった仕組みが可能になるみたいです。
カスタムログインの実装はAuth.HeadlessUserDiscoveryHandler クラスを実装する Apex ハンドラーを用いて行うようです。

おわりに

いかがでしたでしょうか。今回も様々なリリースがありましたね。個人的にはそもそもヘッドレスIDの存在を知らなかったのでもう少し深堀りしてみたいなと思いました。