Dit artikel beschrijft de best practice voor het integreren van (API) only accounts en hoe je deze kunt configureren.
The English version of this article can be found here.
Waarom API-Only licenties gebruiken voor integratie gebruikersaccounts?
Kostenbesparingen
Door gebruik te maken van de vijf specifieke gratis API-only Salesforce-licenties voor integraties, kun je het gebruik van de normale Salesforce-licenties hiervoor vermijden. Hierdoor kan je deze normale licenties optimaal inzetten voor alleen je (applicatie) eindgebruikers. Deze API-Only licenties zijn beschikbaar voor alle instances met een Enterprise, Unlimited, Performance of Developer Edition. Voor details, zie Salesforce Help.
Beveiliging
Het gebruik van deze API-Only licenties biedt de mogelijkheid om specifieke gebruikers voor integraties alleen toegang te geven tot gegevens (objecten & velden) die nodig zijn voor de integratie. Je kan vijf verschillende gebruikers aanmaken en als je specifieke permissieset aanmaakt elk van deze integratiegebruikers alleen toegang geven tot de data die benodigt is voor de integratie. Daarnaast heeft het gebruik van de API-only licentie ook als bijkomstigheid dat onbedoeld gebruik van de applicatie door integratiegebruikers wordt voorkomen aangezien gebruikers met deze API-only licentie geen toegang hebben tot Salesforce via de schermen(GUI).
Stappen om deze API-Only licenties te gebruiken
1. Maak een account aan met een normale licentie, genereer en genereer het wachtwoord.
2. Reset het security token (via de login als-functie) om een security token te ontvangen en bewaar deze op een geschikte plek. Deze stap is benodigd zodat je:
a. Automatisch een nieuw beveiligingstoken ontvangt wanneer het wachtwoord is gewijzigd (op het mail adres van het integratie-account;
b. Het beveiligingstoken later tot je beschikking hebt wanneer dat nodig is zonder het beveiligingstoken opnieuw in te stellen en daarmee geforceerd wordt om het wachtwoord te wijzigen voor alle integraties die de inloggegevens gebruiken van deze integratiegebruiker.
3. Maak een aangepast ‘integration only’ profiel met de licentie ‘Salesforce Integration’.
a. Geef GEEN toegang tot objecten op dit profiel, hiervoor gebruik je een permissie set. En indien benodigd kan je voor de verschillende integratiegebruikers een specifieke permissie set aanmaken als ze verschillende rechten dienen te krijgen.
b. Pas een wachtwoorduitzondering toe die niet verloopt op dit profiel. Niets vervelender dan een integratie die niet meer werkt omdat het wachtwoord is verlopen. Wees voorzichtig: als goede security practice moet je dit wachtwoord regelmatig wijzigen, dit kan je beter je als een terugkerende wijziging beheren waardoor je meer controle hebt over het verlopen van het wachtwoord.
4. Wijs het nieuwe aangepaste ‘Integration Only’ profiel toe aan de toepasselijke gebruikersaccount(s).
Hiervoor dien je op het gebruikersaccount eerst de licentie te wijzigen in ‘Salesforce Integration’ en vervolgens kan je het profiel ‘Integration Only’ selecteren.
5. Maak een custom permissie set aan voor toegang tot objecten en/of velden. Dit heeft twee redenen:
a. Om toegang te kunnen verlenen tot standaardobjecten als Account, Contact, Lead. Dit is momenteel onmogelijk met het standaard Salesforce-integratieprofiel.
b. Mogelijkheid om verschillende gebruikers of groepen toegang te geven door specifieke aanvullende permissiesets te maken voor elke afzonderlijke set toegangsrechten.
Heel belangrijk: je moet de licentie ‘SALESFORCE API INTEGRATION’ aan deze permissie set toewijzen om toegang tot standaardobjecten te kunnen instellen!
6. Wijs de permissie set toe aan de betreffende integratie gebruikersaccounts.
Conclusie
Door deze configuratie van profielen en permissie sets toe te passen, kun je:- Gebruikmaken van de API-only licentie en de potentiële kostenbesparing,
- Het ‘least privilege’-principe toepassen voor toegangsrechten;
- Servicestoringen van integraties veroorzaakt door verlopen wachtwoorden/beveiligingstokens voorkomen.
Bedankt en succes! Bij vragen kun je natuurlijk altijd contact met ons opnemen.
