使用Heroku运行Salesforce Canvas应用程序

学习目标

完成本单元后,您将能够:

  • 了解Canvas应用程序的身份验证过程。
  • 了解如何使用Heroku运行Salesforce Canvas应用程序。

Salesforce Canvas

使用Salesforce Canvas,您可以将在Heroku上运行的UI或Web应用程序嵌入到Salesforce UI中。Canvas的主要优势是能够使用大量的开源Web技术来构建可轻松与Salesforce集成的Web应用程序。Canvas SDK在Web应用程序中使用JavaScript来访问用户有权访问的Salesforce数据。您可以在本地计算机上开发Canvas应用程序,并使用典型的开发人员流程进行变更管理和部署。

在幕后,Canvas应用程序通过iframe加载到Salesforce中。当然,您可以通过iframe将任何Web应用程序加载到Salesforce的UI中,但使用Canvas,您可以通过JavaScript使用安全通信协议与Salesforce进行通信。当您需要超出Canvas JavaScript API实现的功能时,您可以将Canvas处理的身份验证与Salesforce REST API结合使用,可能使用像JSforce这样的REST API包装器 。

该图表显示Heroku应用程序可以通过Canvas Javascript桥与Salesforce交互

认证

Canvas应用程序在Salesforce中使用已连接的应用程序,可以使用已 签名的请求或典型的 OAuth流来处理身份验证。签名请求方法的一个优点是,当Salesforce管理员允许用户访问Canvas应用程序时,应用程序无需中间授权即可向Salesforce发出请求。加载Canvas应用程序后,应用程序可以开始访问用户有权访问的Salesforce数据。

在Heroku上运行Canvas应用程序时,应用程序需要连接应用程序的消费者秘密,该秘密通过Heroku Config Var提供给应用程序,可作为环境变量提供给应用程序。

基本画布应用程序

基本的Canvas应用加载Canvas SDK JavaScript库:

<script type="text/javascript" src="https://.salesforce.com/canvas/sdk/js/36.0/canvas-all.js"></script>
<script type="text/javascript">
    // callback to access the OAuth access token and context object
    Sfdc.canvas(function() {
        // Save the token
        Sfdc.canvas.oauth.token(window.signedRequestJson.oauthToken);
        window.alert("hello, " + window.signedRequestJson.context.user.fullName);
    });
</script>

应用程序的 上下文数据取决于应用程序在Salesforce中的运行位置。您可以将Canvas应用加载到Chatter提要,Chatter选项卡,布局,移动卡,发布者操作和VisualForce页面中。每个都可以为Canvas应用程序提供不同的上下文。例如,如果Canvas应用程序在客户页面的布局中呈现,则上下文包含客户的数据。然后,Canvas应用程序中的JavaScript可以使用该数据来呈现信息。

使用Heroku的Apex标注和工作流程

学习目标

完成本单元后,您将能够:

  • 了解如何使用Heroku使用Apex标注和工作流程。
  • 了解Apex标注和工作流程的用例。

呼叫Heroku应用程序

有时,由于正在执行的流程的规模或类型,Salesforce上的事件需要由外部系统处理。例如,Salesforce中的用户上载需要调整大小以供将来使用的图像。Heroku可以从Salesforce接收事件并执行一些响应过程。(可选)可以使用REST API或Heroku Connect将流程的输出存储回Salesforce中。

该图显示了Salesforce和从出站消息触发或发送的数据事件的框。 箭头来自框并指向包含Heroku托管的所有应用程序的另一个框

根据Salesforce中的事件调用Heroku应用程序有两种主要方法:工作流出站消息或Apex HTTP标注。工作流出站消息以声明方式进行SOAP调用。Apex HTTP callout以编程方式对Heroku应用程序进行REST调用。无论哪种方式,Heroku应用程序都会收到带有事件详细信息有效负载的请求,然后执行操作。

带有工作流程的标注

使用工作流,您可以声明性地定义规则和外部系统的标注。该规则可以连接到任何Salesforce对象,如Contact或Account,并根据这些记录事件触发:

  • 创建
  • 创建,每次编辑
  • 创建,并随时编辑以符合标准

规则必须具有筛选事件的条件。如果您不想进行任何过滤,则可以添加始终为真的条件。以下是一个示例规则:

“配置工作流规则”对话框的屏幕截图,显示规则名称应为“新建联系人”

要在规则执行时调用Heroku应用程序,请将出站消息添加到即时工作流操作列表中,并将Heroku应用程序端点指定为端点URL,如:

Configure OUtbound Messaging对话框的屏幕截图,显示名为New Contact to Heroku的消息

如果选择Send Session ID,Heroku应用程序可以使用该令牌代表用户进行REST API调用。如果您不发送会话ID。没有办法检查请求是否有效或防止恶意调用您的Heroku应用程序的API端点。

在Heroku方面,您可以使用任何开源Web或REST技术实现事件处理程序。但由于消息是SOAP格式,因此您需要能够解析XML。例如,使用JavaScript,Node.js,Express和express-xml-bodyparser库,这里是一个处理出站消息并解析SOAP消息的端点。

 app.post("/new_contact", function(req, res) {
    var notification = req.body["soapenv:envelope"]["soapenv:body"][0]["notifications"][0];
    var sessionId = notification["sessionid"][0];
    var data = {};
    if (notification["notification"] !== undefined) {
      var sobject = notification["notification"][0]["sobject"][0];
      Object.keys(sobject).forEach(function(key) {
        if (key.indexOf("sf:") == 0) {
          var newKey = key.substr(3);
          data[newKey] = sobject[key][0];
        }
      }); // do something #awesome with the data and sessionId
    }
    res.status(201).end();
  }); 

在此示例中,每次创建联系人时,Heroku应用程序都会收到联系人详细信息,并可以根据需要对数据执行任何操作。

带有Apex触发器的标注

您可以在Salesforce对象上定义Apex触发器以处理以下任何事件:

  • 插入
  • 更新
  • 删除
  • 合并
  • UPSERT
  • 取消删除

触发器可以使用Apex标注对Heroku应用程序上的端点进行REST JSON调用。例如,这是一个调用Heroku应用程序的Apex触发器:

 trigger NewContactWebhookTrigger on Contact (after insert) {
  String url = 'https://foo.herokuapp.com/new_contact';
  String content = Webhook.jsonContent(Trigger.new, Trigger.old);
  Webhook.callout(url, content);
} 

引用的Webhook Apex类是:

 public class Webhook {
  public static String jsonContent(List<Object> triggerNew, List<Object> triggerOld) {
    String newObjects = '[]';
    if (triggerNew != null) {
      newObjects = JSON.serialize(triggerNew);
    }
    String oldObjects = '[]';
    if (triggerOld != null) {
      oldObjects = JSON.serialize(triggerOld);
    }
    String userId = JSON.serialize(UserInfo.getUserId());
    String content = '{"new": ' + newObjects + ', "old": ' + oldObjects + ', "userId": ' + userId + '}';
    return content;
  }
  @future(callout=true) public static void callout(String url, String content) {
    Http h = new Http();
    HttpRequest req = new HttpRequest();
    req.setEndpoint(url);
    req.setMethod('POST');
    req.setHeader('Content-Type', 'application/json');
    req.setBody(content);
    h.send(req);
  }
} 

jsonContent方法获取触发器数据并将其序列化为JSON。callout方法使用JSON有效负载将HTTP发布到Heroku。

与出站消息一样,您可以使用任何开源Web或REST技术构建Heroku应用程序。使用JavaScript,Node.js和Express,端点可以定义为:

 app.post("/new_contact", function(req, res) {
  // do something with req.body
  res.status(201).end();
}); 

在请求处理程序中,req.body是从Apex触发器发送的反序列化JSON数据。

使用Apex触发器,您可以使用某种形式的预共享密钥来验证请求,从而避免潜在的恶意请求。您还可以让有效负载包含会话ID,以便让Heroku应用程序将REST API请求返回给Salesforce以获取或更新数据。

在Heroku中使用Salesforce REST API

学习目标

完成本单元后,您将能够:

  • 了解使用Salesforce REST API的用例。
  • 了解不同类型的身份验证。
  • 了解如何在Heroku上使用Salesforce REST API和应用程序。

Salesforce REST API和Heroku

Salesforce REST API提供了一种通过简单的HTTP + JSON请求与Salesforce集成的简便方法。有一些REST API可以访问Salesforce上的几乎所有内容,因此您的自定义应用程序可以对Salesforce中的数据,流程和元数据执行任何操作。REST API使用OAuth进行身份验证,这是处理REST身份验证的标准方法。

该图显示了通过REST接口将Salesforce中的对象与Heroku之间的连接

虽然REST API可以直接使用,但API周围有许多包装器库,使它们易于在 Node.js, Python, Ruby,Java等中使用。包装器库处理低级任务,例如身份验证和请求和响应处理。因此,而不是手动构建HTTP请求(以Node.js为例):

var query = 'SELECT name Account'; var url = 'https://na1.salesforce.com/services/data/v20.0/query/?q=' + encodeURIComponent(query); request.get(url, { 'auth': { 'bearer': 'bearerToken' } }); 

您可以使用Node.js 的开源 nforce库,只需执行以下操作:

org.query({ query: 'SELECT name FROM Account' }); 

最终,nforce库在幕后做了同样的事情,但是库使API更容易使用。

您可以在Salesforce REST API之上构建应用程序到应用程序集成和自定义用户界面。最大的区别在于如何处理身份验证。通过app-to-app集成,应用程序可以识别单个集成用户,并且所有对REST API的调用都是以该用户身份完成的。使用自定义用户界面,用户不会直接使用自定义应用进行身份验证。相反,用户会遍历OAuth流程以授权自定义应用代表其进行API调用。REST API的每个请求都代表使用自定义用户界面的指定用户完成。

应用程序到应用程序集成的一个用例是转换,整理,然后复制或代理另一个系统的数据。例如,在Heroku上运行的面向客户的订单管理应用程序需要从Salesforce获取客户信息。此设置可以使用单个集成用户从Salesforce获取所有必需的信息。

但是,如果订单管理应用程序用于通过Salesforce登录的后台,则该应用程序是一个自定义用户界面,它使用OAuth允许订单管理应用程序代表指定用户发出API请求。在这种情况下,了解哪个命名用户正在进行每个REST调用对于安全性和审计非常重要。

使用Heroku,可以轻松部署任何类型的应用程序并利用OAuth和Salesforce REST API。

您可以直接进入 Salesforce REST API文档,以便在方便时学习低级API。要快速入门,包括部署到Heroku和使用REST API的基本应用程序,请查看 Quick Force Node(JavaScript)或 Quick Force Java。

使用OAuth进行REST API身份验证

身份验证是使用REST API的一个关键方面,因为对API的每个请求都必须包含身份验证令牌或密钥。无论是使用应用程序到应用程序集成还是自定义用户界面,您的应用程序都需要Salesforce中的 连接应用程序,以允许Salesforce识别发出请求的应用程序,并使组织管理员能够管理对API的访问。

单个用户

通过应用程序到应用程序的集成,应用程序需要知道单个集成用户的凭据。然后可以调用REST API以使用凭据登录,凭据返回身份验证令牌。

命名用户

构建自定义用户界面时,应用程序永远不会收到实际凭据。相反,OAuth流程为应用程序提供了获取授权令牌的代码。由于用户手动授权应用程序访问Salesforce,因此流程遵循以下步骤。

  1. 用户尝试访问需要身份验证的页面。
  2. Heroku上的应用程序将用户重定向到Salesforce OAuth页面。
  3. 如果先前未授权该应用程序,则会提示用户。
将显示“允许访问”对话框的屏幕截图,询问Workbench是否已获得授权
  1. 授权后,Salesforce会使用代码将用户重定向回应用程序。
  2. 应用程序使用代码检索访问令牌和刷新令牌。
  3. 应用程序使用访问令牌对Salesforce进行REST API调用。

通常,访问和刷新令牌被加密并以某种形式的会话状态或数据库存储,以便用户不必继续通过每个请求的授权流程。

请记住,这些令牌是敏感的,必须以极端的安全勤勉处理!