本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Salesforce 客户密码
秘密值字段
以下是 Secrets Manager 密钥中必须包含的字段:
{
"consumerKey": "client ID",
"consumerSecret": "client secret",
"baseUri": "https://domain.my.salesforce.com",
"appId": "app ID",
"consumerId": "consumer ID"
}- consumerKey
-
使用者密钥(也称为客户端 ID)是 OAuth 2.0 凭证的凭证标识符。您可以直接从 Salesforce 外部客户端应用程序管理器 OAuth 设置中检索使用者密钥。
- consumerSecret
-
消费者密钥,也称为客户端密钥,是与使用者密钥一起使用的私有密码,用于使用 OAuth 2.0 客户端凭证流进行身份验证。您可以直接从 Salesforce 外部客户端应用程序管理器 OAuth 设置中检索消费者机密。
- baseUri
-
基本 URI 是你的 Salesforce 组织用于与 Salesf APIs orce 互动的基本网址。这采用以下示例的形式:
https://.domainName.my.salesforce.com - appId
-
应用程序 ID 是您的 Salesforce 外部客户端应用程序 (ECA) 的标识符。您可以通过调用 Salesforce Usage 端点来检索此 OAuth 信息。它必须以字母数字字符开头
0x且仅包含字母数字字符。此字段引用 Salesforce 轮换指南中的 external_client_app_identification。 - consumerID
-
消费者 ID 是您的 Salesforce 外部客户端应用程序 (ECA) 消费者的标识符。您可以通过调用 Salesforce 按应用程序 ID 提供的 OAuth 凭证端点来检索此信息。此字段指的是 Salesforce
轮换指南中的消费者标识。
机密元数据字段
以下是轮换 Salesforce 持有的密钥所需的元数据字段。
{ "apiVersion": "v65.0", "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SalesforceClientSecret" }
- apiVersion
-
Salesforce API 版本是你的 Salesforce 组织的 API 版本。该版本应至少为 v65.0。它必须采用
vXX.XX - adminSecretArn
-
(可选)管理员密钥 ARN 是该密钥的亚马逊资源名称 (ARN),该密钥包含用于轮换此 Salesforce 客户端密钥的管理 OAuth 证书。管理员密钥至少应在密钥结构中包含消费者密钥和消费者密钥值。这是一个可选字段,如果省略,在轮换期间,Secrets Manager 将使用此密钥中的 OAuth 凭据向 Salesforce 进行身份验证。
使用流程
存储 Salesforce 密钥的客户可以选择使用存储在同一密钥中的凭据进行轮换,也可以使用管理员密钥中的凭据进行轮换。 AWS Secrets Manager 您可以使用CreateSecret调用来创建您的密钥,其密钥值包含上述字段,密钥类型为 SalesforceClientSecret。可以使用RotateSecret呼叫来设置轮换配置。此调用需要指定元数据字段,如上例所示-如果您选择使用同一密钥中的凭据进行轮换,则可以跳过该 adminSecretArn 字段。此外,客户必须在RotateSecret调用中提供角色 ARN,以向服务授予轮换密钥所需的权限。有关权限策略的示例,请参阅安全和权限。
对于选择使用一组单独的凭证(存储在管理员密钥中)轮换其密钥的客户,请务必 AWS Secrets Manager 按照与使用者密钥完全相同的步骤创建管理员密钥。在RotateSecret调用您的使用者密钥时,您必须在轮换元数据中提供此管理密钥的 ARN。
轮换逻辑遵循了 Salesforce 提供的指导。
