Identification de l'adresse e-mail de l'utilisateur d'origine dans Salesforce lors de la « connexion en tant que » un autre utilisateur

Identification de l'adresse e-mail de l'utilisateur d'origine dans Salesforce lors de la « connexion en tant que » un autre utilisateur
Louis Robert
Lundi 8 avril 2024 à 12:31:42
Salesforce

Comprendre l'usurpation d'identité d'utilisateur dans les applications Salesforce

Dans le domaine du développement Salesforce, un scénario courant implique que des utilisateurs disposant d'autorisations élevées se connectent en tant qu'autres utilisateurs pour effectuer certaines actions ou consulter des données. Cette fonctionnalité, bien que précieuse pour la supervision et le support administratif, introduit des complexités lorsqu'il s'agit de suivre les actions de l'utilisateur d'origine, en particulier dans les classes Lightning Web Components (LWC) ou Apex personnalisées. La capacité de faire la distinction entre l'utilisateur réel et le compte usurpé est cruciale pour la journalisation, l'audit et même pour les expériences utilisateur personnalisées dans les applications Salesforce.

Le défi se pose souvent lorsque les développeurs souhaitent capturer l'adresse e-mail de l'utilisateur « Connecté en tant que », et pas seulement l'adresse e-mail de l'utilisateur usurpé. Salesforce propose diverses méthodes pour accéder aux informations utilisateur, telles que l'utilisation du champ User.Email dans LWC ou l'interrogation des détails de l'utilisateur dans Apex. Cependant, extraire l’e-mail spécifique de l’utilisateur effectuant l’usurpation d’identité, plutôt que le large ensemble d’e-mails de session, nécessite une approche nuancée. La résolution de ce problème améliore non seulement les fonctionnalités de l'application, mais garantit également un niveau plus élevé d'auditabilité et de gestion des utilisateurs dans les environnements Salesforce.

Commande Description
public with sharing class Définit une classe Apex qui applique les règles de partage et peut être utilisée pour déclarer des méthodes.
Database.query Exécute une chaîne de requête SOQL dynamique et renvoie une liste de sObjects.
UserInfo.getUserId() Renvoie l'ID de l'utilisateur actuel.
@wire Un décorateur qui provisionne des propriétés ou des fonctions avec des données provenant d'une source de données Salesforce.
LightningElement La classe de base pour les composants Web Lightning.
@api Marque un champ de classe comme public, afin qu'il puisse être défini par les consommateurs de composants.
console.error Affiche un message d'erreur sur la console Web.

Comprendre les mécanismes des scripts d'usurpation d'identité Salesforce

Les scripts fournis remplissent une fonction cruciale dans le cadre de Salesforce, en particulier lorsqu'il s'agit de l'usurpation d'identité d'utilisateur, une pratique courante dans les environnements où les rôles administratifs doivent agir au nom d'un autre utilisateur. Le premier script, une classe Apex nommée ImpersonationUtil, est conçu pour identifier et renvoyer l'adresse e-mail de l'utilisateur qui effectue l'usurpation d'identité. Ceci est accompli via une requête SOQL dans la méthode getImpersonatorEmail, qui recherche dans l'objet AuthSession les sessions marquées comme « SubstituteUser ». Ce type de session particulier indique une session d'usurpation d'identité. En classant les résultats par CreatedDate et en limitant la requête à la session la plus récente, le script peut identifier la session exacte au cours de laquelle l'usurpation d'identité s'est produite. Une fois identifiée, une autre requête récupère l'adresse e-mail de l'utilisateur qui a initié cette session, capturant ainsi l'e-mail de l'usurpateur.

Le deuxième script se concentre sur l'intégration de cette fonctionnalité dans un composant Web Lightning (LWC). Il montre comment câbler la méthode Apex getImpersonatorEmail à une propriété dans un LWC. Cette configuration permet au composant d'afficher dynamiquement l'adresse e-mail de l'utilisateur usurpant l'identité sur l'interface utilisateur de Salesforce, améliorant ainsi la transparence et l'auditabilité. L'utilisation du décorateur @wire est ici cruciale, car elle permet un provisionnement réactif des propriétés avec les données renvoyées par une méthode Apex, garantissant que l'affichage du composant est mis à jour en temps réel à mesure que les données changent. Cette approche méthodologique garantit que les développeurs Salesforce disposent d'un mécanisme robuste pour suivre les actions d'usurpation d'identité, ce qui est particulièrement utile dans les structures organisationnelles complexes où plusieurs utilisateurs peuvent avoir le pouvoir de se connecter en tant qu'autres.

Récupération de l'e-mail de l'utilisateur usurpant l'identité dans Salesforce

Implémentation Apex pour Salesforce

public with sharing class ImpersonationUtil {
    public static String getImpersonatorEmail() {
        String query = 'SELECT CreatedById FROM AuthSession WHERE UsersId = :UserInfo.getUserId() AND SessionType = \'SubstituteUser\' ORDER BY CreatedDate DESC LIMIT 1';
        AuthSession session = Database.query(query);
        if (session != null) {
            User creator = [SELECT Email FROM User WHERE Id = :session.CreatedById LIMIT 1];
            return creator.Email;
        }
        return null;
    }
}

Accès à l'e-mail de l'usurpateur d'identité dans LWC pour Salesforce

Composant Web Lightning JavaScript avec Apex

import { LightningElement, wire, api } from 'lwc';
import getImpersonatorEmail from '@salesforce/apex/ImpersonationUtil.getImpersonatorEmail';
export default class ImpersonatorInfo extends LightningElement {
    @api impersonatorEmail;
    @wire(getImpersonatorEmail)
    wiredImpersonatorEmail({ error, data }) {
        if (data) {
            this.impersonatorEmail = data;
        } else if (error) {
            console.error('Error retrieving impersonator email:', error);
        }
    }
}

Techniques avancées d'identification des utilisateurs dans Salesforce

Lors de l’exploration de l’usurpation d’identité et de l’identification des utilisateurs dans Salesforce, un aspect essentiel à prendre en compte est le modèle de sécurité complet utilisé par Salesforce pour protéger l’accès aux données et les activités des utilisateurs. Ce modèle de sécurité est étroitement lié à la possibilité de « se connecter en tant que » un autre utilisateur, ce qui nécessite une compréhension approfondie des ensembles d'autorisations et de la gestion des sessions de Salesforce. Les autorisations dans Salesforce sont finement détaillées, permettant aux administrateurs de spécifier exactement les actions qu'un utilisateur usurpant l'identité peut effectuer. Cela garantit que même lorsqu'un utilisateur agit pour le compte d'un autre, le principe du moindre privilège est maintenu, minimisant ainsi les risques de sécurité potentiels associés à l'usurpation d'identité.

De plus, les fonctionnalités robustes de journalisation des événements de Salesforce offrent une couche supplémentaire de visibilité sur les actions effectuées lors d'une session d'usurpation d'identité. En tirant parti de l'objet EventLogFile, les développeurs peuvent interroger et analyser par programmation les journaux liés aux événements de connexion, y compris ceux initiés via la fonctionnalité « Se connecter en tant que ». Cela facilite non seulement les efforts d’audit et de conformité, mais fournit également des informations inestimables sur le comportement des utilisateurs et les performances des applications. Comprendre comment exploiter ces journaux peut améliorer considérablement la capacité d'une organisation à surveiller et examiner les actions prises par les utilisateurs, garantissant ainsi la responsabilité et la transparence au sein de l'environnement Salesforce.

Usurpation d'identité d'utilisateur dans Salesforce : requêtes courantes

  1. Question: Qu’est-ce que l’usurpation d’identité dans Salesforce ?
  2. Répondre: L'usurpation d'identité d'utilisateur permet à un administrateur ou à un utilisateur disposant d'autorisations spécifiques de se connecter en tant qu'autre utilisateur sans connaître son mot de passe, d'effectuer des actions ou de résoudre des problèmes en son nom.
  3. Question: Comment activer la fonctionnalité « Se connecter en tant que » dans Salesforce ?
  4. Répondre: Pour activer cette fonctionnalité, accédez à Configuration, saisissez « Politiques d'accès à la connexion » dans la case Recherche rapide, puis sélectionnez-la et ajustez les paramètres pour permettre aux administrateurs de se connecter en tant qu'utilisateur.
  5. Question: Puis-je suivre les actions effectuées par un administrateur connecté en tant qu'autre utilisateur ?
  6. Répondre: Oui, Salesforce enregistre toutes les actions entreprises par l'utilisateur usurpant l'identité, qui peuvent être examinées à des fins d'audit et de conformité.
  7. Question: Est-il possible de restreindre les autorisations d'un utilisateur se connectant en tant qu'autre utilisateur ?
  8. Répondre: Les autorisations sont généralement basées sur les autorisations de l'utilisateur emprunté. Cependant, les administrateurs peuvent personnaliser les paramètres pour restreindre certaines actions pendant la session d'usurpation d'identité.
  9. Question: Comment puis-je récupérer l'adresse e-mail de l'utilisateur d'origine lors d'une session d'usurpation d'identité dans Apex ?
  10. Répondre: Vous pouvez interroger l'objet AuthSession pour rechercher la session initiée par l'usurpation d'identité et récupérer les détails de l'utilisateur d'origine, y compris l'adresse e-mail.

Conclusion de la récupération des e-mails d'usurpation d'identité dans Salesforce

Récupérer avec succès l'e-mail de l'utilisateur se faisant passer pour un autre dans Salesforce souligne l'équilibre complexe de la plateforme entre flexibilité et sécurité. Les méthodes discutées, employant à la fois Apex et LWC, mettent en évidence la capacité de Salesforce à répondre à des exigences opérationnelles complexes tout en maintenant un niveau élevé de protection des données et de confidentialité des utilisateurs. Les classes Apex offrent une solution backend en interrogeant les objets de session et d'utilisateur pour identifier l'identité de l'usurpateur. Pendant ce temps, les composants LWC permettent une intégration frontale transparente, rendant les informations accessibles dans l'interface utilisateur. Cette synergie entre la logique backend et la présentation frontend enrichit non seulement la boîte à outils du développeur, mais améliore également l'expérience utilisateur au sein de l'écosystème Salesforce. Alors que les organisations continuent d’exploiter Salesforce pour ses capacités CRM complètes, la compréhension et la mise en œuvre de ces fonctionnalités nuancées seront primordiales pour garantir l’intégrité et l’efficacité des processus métier, en particulier dans les scénarios impliquant l’usurpation d’identité d’utilisateur et les pistes d’audit.