Winter ’16でカスタム接続アプリケーションハンドラなるものがリリースされたので、こちらの機能を試してみました。

この機能は接続アプリケーション(OAuth, SAML)の振る舞いを変更することができます。
具体的には以下の振る舞いを変更することができます。

  • 「管理者が承認したユーザは事前承認済み」のポリシーにおけるauthorize処理
  • refresh tokenによるrefresh処理
  • userinfoやSAMLアサーションに利用されるカスタム属性の動的生成

カスタム接続アプリケーションハンドラ自体はAuth.ConnectedAppPluginクラスを継承して実装することになります。
詳細はこちらを参照→ConnectedAppPlugin Class | Force.com Apex Code Developer’s Guide | Salesforce Developers

authorizeの振る舞い変更

authorizeメソッドではOAuthのポリシーが「管理者が承認したユーザは事前承認済み」となっている接続アプリケーションに対してauthorizeの判定を変更することが出来ます。これまでは「管理者が承認したユーザは事前承認済み」の接続アプリケーションでは基本的にはプロファイルや権限セットで許可されたユーザのみ、OAuthによる認可処理を通ることができました。カスタム接続アプリケーションハンドラでは、この処理をApexを使ってより動的に判定を行うことができます。

return値にtrueを返せば認可成功、falseで認可失敗となります。ユーザオブジェクトだけではなく、任意のオブジェクトの値を利用して認可処理判定することも可能です。

ちなみに当メソッド内でDMLを発行するとエラーにはならず、デバッグ上も正常終了したかのように見えますが、何も起こりません。

refreshの振る舞い変更

refreshの振る舞いの変更できる…らしいです。色々試してみましたが、現時点(2015/11/28)では、DMLも発行できないし、メール送信もエラーにはならないものの何も動かないし、refresh内で何をすべきなのかが不明です。authorizeのように判定結果をbooleanで返せるのであれば、authorizeのように利用するのだと思いますが、戻り値voidなんですよね…。サンプルではflowを動かしていますが、このflow内で何をやっているのかが謎です。flow内でのDML発行もやはりエラーになります。

ちなみにExceptionを投げてもエラーにはなりませんでした(デバッグでthrowしたログは残るもの、ユーザ側では正常に取得できる)

カスタム属性の動的生成

customAttributesメソッドでは適切なマップ値を返すことでuserinfoやSAMLアサーションに利用されるカスタム属性を動的に生成することが出来ます。以下のコードだとfoo, hoge属性がcustom_attributesとして返されることになります。

今までもカスタム属性をUI上から定義できましたが、属性のキーが固定で、値も特定のオブジェクトや設定値しか利用できませんでした。
カスタム接続アプリケーションハンドラを利用すれば、属性のキー自体も動的に出来ますし、値も任意のオブジェクトに対してクエリを書けた結果を入れられるので、比較的柔軟に値を設定できます。

こちらもauthorizeと同様にDMLを発行しても意味がありません。

userinfoエンドポイントを叩いた時のレスポンスはこんな感じになります。

接続アプリケーションの設定

上記のメソッドを実装したクラスを作成したら、接続アプリケーションのカスタム接続アプリケーションハンドラを設定すればOKです。必要に応じて実行ユーザも指定して下さい。

sf_customappplugin