こんにちは、クラウドフロントTのかわしんです。
年が明けてまだ日が浅いですが、みなさま新年いかがお過ごしでしょうか。
新年早々ではありますが、2月にはSalesforceを使用している方は要チェックのイベント、Salesforceメジャーアップデートが控えています。
ということで、今回はまだ日本語版の公開がされていないSpring'23のダイジェスト記事の要約をご紹介しようと思います。
Salesforceを活用している担当者の方は参考にして頂ければ幸いです。
※記載内容の信頼性については十分注意をしておりますが、正確性について保証するものではありません。
また以下ダイジェストのすべての項目は網羅しておりませんのでご注意ください。
元の記事はこちら ↓
help.salesforce.com
- ・新規発表された機能(Spring23では未適用)
- ・Spring23で適用される機能
- Experience Cloud サイトで Apex によって取得されたナビゲーションメニューへのユーザーアクセス権限の適用(Apply User Access Permissions to Navigation Menus Retrieved by Apex in Experience Cloud Sites)
- Experience Cloud ゲストユーザに詳細なフロー権限を要求する(Require Granular Flow Permissions for Experience Cloud Guest Users)
- ユーザーの個人情報の保護を強化する(Enable Stronger Protection for Your Users’ Personal Information)
- コンテンツ スニッフィング保護を有効にする(Enable Content Sniffing Protection)
- SAML シングル サインオン フレームワークのアップグレード(Upgrade SAML Single Sign-On Framework)
- Visualforce ページでのクロスサイト スクリプティングを防止する(Escape the label attribute of apex:inputField elements to prevent cross-site scripting in Visualforce)
- REST API を介したユーザー コンテキストでのフローの実行(Run Flows in User Context via REST API)
- ・Spring23で自動有効化されるリリース
・新規発表された機能(Spring23では未適用)
AuraサイトをGA4に移行する(Migrate Aura Sites to Google Analytics 4 )
2023年7月1日に終了するGoogle Analytics ユニバーサルアナリティクス (UA) から Google Analytics 4 (GA4) への移行に備えて、すべてのAuraサイトのJavaScriptライブラリが analytics.js から gtag.js へアップグレードされるという内容です。
2023年7月1日にGoogleがUAを停止した後もAuraサイトの分析データを収集し続けるために、Experience cloudでは、各Auraサイトがgtag.jsライブラリとG-IDを使用する必要があります。
GA4への移行を完了するには、各AuraサイトのGoogleアナリティクストラッキングIDをUA-IDからG-IDに手動更新が必要になります。
この更新は次回のSummer'23での適用を予定しています。
イベントログファイル生成のオプトイン(Opt In for Event Log File Generation)
イベントログファイル生成と配信のオプトイン・オプトアウトを選択可能となったアップデートです。従来は、イベントログファイルはデフォルトで取得していましたが、今後はEvent Monitoringアドオンサブスクリプションを持たないインスタンスでは、ログファイルの生成が自動的に無効になります。
LightningアプリケーションのCSRFトークンのセキュリティ強化(Security Enhancements for CSRF Tokens for Lightning Apps)
Lightning Platform内では、従来からCSRF攻撃を防ぐため、対CSFRトークンを発行しており、
すべてのページに非表示形式項目としてランダムな文字列が設定され、ページを読み込んだ際にアプリケーションが文字列の正当性を確認しない限りコマンドを実行することができないというCSRFトークンによるセキュリティ対策がなされていました。
今回のアップデートで、上記のトークンをLightningアプリケーションごとに異なるトークンとすることで、トークンの有効性がより限定的となりセキュリティ強化に繋がります。
CSRFに関する説明は以下から参照ください ↓
developer.salesforce.com
この更新は次回のSummer'23での適用を予定しています。
日本語のカタカナスタイルの変更の準備(Review the Japanese Katakana Style Change)
外国語のカタカナ翻訳の基準が現行のJISスタイルから1991年内閣府告示指令スタイルに置き換わる変更です。
この更新はWinter'24での適用を予定しています。
・Spring23で適用される機能
Experience Cloud サイトで Apex によって取得されたナビゲーションメニューへのユーザーアクセス権限の適用(Apply User Access Permissions to Navigation Menus Retrieved by Apex in Experience Cloud Sites)
この変更により、メンバーである Experience Cloud サイトのナビゲーションメニューへのユーザーのアクセスが制限されます。
カスタム コンポーネントで Apex コントローラを使用して NavigationLinkSet または NavigationMenuItem オブジェクトをクエリするときに、既存のユーザ アクセス権限が適用されるため、サイトのセキュリティが向上します。
ちなみにナビゲーションメニューとは以下の部分になります。
Experience Cloud ゲストユーザに詳細なフロー権限を要求する(Require Granular Flow Permissions for Experience Cloud Guest Users)
外部ゲストユーザに対して、「フローを実行」権限が廃止されます。
Salesforce はWinter '22 ですでに、新しい組織のゲスト ユーザーおよび Experience Cloud 外部ユーザー プロファイルに対するフローの実行権限を廃止しています。Spring '23 では、すべての組織のゲスト ユーザ プロファイルから実行フローを削除します。この変更により、フローを実行するための明示的なゲスト ユーザー権限が必要になるため、サイトのセキュリティが向上します。
ユーザーの個人情報の保護を強化する(Enable Stronger Protection for Your Users’ Personal Information)
拡張個人情報管理を有効にして、ポータル ユーザーやコミュニティ ユーザーなどの外部ユーザーが他のユーザーの個人情報にアクセスできないようにします。
「拡張個人情報管理」権限を有効にすると、次の項目が外部ユーザから見えなくなります。
自己紹介・住所・別名・会社名・部署・ディビジョン・メール・送信者のメールアドレス・メール送信者の名前・メールの署名・従業員番号・内線・Fax・マネージャ・モバイル・SAML 統合 ID・電話・役職・ユーザの写真のバッジテキストのフロート表示・ユーザ名
コンテンツ スニッフィング保護を有効にする(Enable Content Sniffing Protection)
コンテンツ スニッフィングは、ファイル内のコンテンツを使用して、ファイルの Multipurpose Internet Mail Extensions (MIME) タイプを自動的に判別する手法です。
今回のアップデートにより、X-Content-Type-Options: nosniffHTTP ヘッダーが Salesforce のすべてのページに追加されます。この変更により、サーバーがリソースのメタデータを提供しない限り、Salesforce からアクセスされる外部コンテンツが読み込まれなくなります。また、ユーザが Salesforce から外部コンテンツや Web サイトにアクセスするときに、ブラウザが他のファイルの種類を装ったスクリプトを読み込むのを防ぐことができます。
コンテンツスニッフィングの説明・脆弱性などは以下などを参照ください。
techblog.gmo-ap.jp
SAML シングル サインオン フレームワークのアップグレード(Upgrade SAML Single Sign-On Framework)
Salesforceが定期的に行なっているメンテナンスの一環として、SAML フレームワークのアップグレードを行います。
リリースノートには、一部のシングル サインオン (SSO) URL がエンコードされるようになりました。サービス プロバイダーが開始する SSO の場合、ID プロバイダーの URL とアサーション コンシューマー サービス (ACS) の URL がエンコードされます。すべてのシングル ログアウト設定で、シングル ログアウト エンドポイントとリレー状態パラメータがエンコードされます。既存のすべての SAML ベースの統合が影響を受ける可能性があります。との記載があるため、SFDCとサードパーティのSAMLシステムを統合している場合は、入念なテストが必要になります。
Visualforce ページでのクロスサイト スクリプティングを防止する(Escape the label attribute of apex:inputField elements to prevent cross-site scripting in Visualforce)
Visualforce ページに対するクロスサイト スクリプティング (XSS) 攻撃で悪意のあるコードが実行されるのを防ぐために、
この更新を有効にすると、既にエスケープしたラベル属性が二重にエスケープされます。二重エスケープ属性は、Visualforce ページで正しく表示されません。
REST API を介したユーザー コンテキストでのフローの実行(Run Flows in User Context via REST API)
REST API を介して実行されるフローは、実行中のユーザーのプロファイルと権限セットを使用して、フローのオブジェクト権限と項目レベルのアクセスを決定します。
以前は、フローが REST API を介して実行されると、フローはシステム コンテキストで実行されました。システム コンテキストで実行されるフローには、すべてのデータにアクセスして変更する権限があります。
今回の更新により、フローは REST API を介して認証されたユーザーのコンテキストで実行されます。フローが REST API を介して実行される場合、実行中のユーザーのプロファイルと権限セットによって、フローのオブジェクト権限と項目レベルのアクセスが決定されます。
この更新により、アクセス権のないユーザーがレコードを意図せず作成または編集できるようになるのを防ぐことで、Salesforce のセキュリティが向上します。
・Spring23で自動有効化されるリリース
拡張ドメインの展開(Deploy Enhanced Domains)
拡張ドメインを使用すると、Salesforce が組織用にホストする URL に会社固有の [私のドメイン] 名が含まれます。一貫したドメイン形式により、ユーザー エクスペリエンスが向上し、カスタム コードと API 呼び出しで使用する URL が標準化されます。
Salesforce が Winter '24 でこの更新を適用するまで、この機能を無効にすることができます。Summer '22 以降で作成された組織は、デフォルトで拡張ドメインを取得します。
MFA自動化(MFA Auto-Enablement: Find Out When and How Your Org Is Affected)
2022 年 2 月 1 日の時点で、Salesforce は、すべてのお客様が Salesforce 製品にアクセスする際に多要素認証 (MFA) を使用することを要求しています。
組織で MFA が有効になると、UI にログインするプロセスが変わります。ユーザーは、ユーザー名とパスワードを入力した後、認証アプリ、セキュリティキー、組み込みの認証システムなどの MFA 検証方法を使用して ID を検証する必要があります。ユーザーがまだ確認方法を登録していない場合は、このリリース更新が有効になった後に次回ログインするときに、確認方法を登録するように求められます。
