セキュリティアラートのユーザプロファイルに基づくゲストユーザとポータルユーザの @AuraEnabled Apex メソッドへのアクセスの制限を試してみました。

変更箇所はこちら。・・・長い。

現在のところ、ゲストユーザ、ポータルユーザ、またはコミュニティユーザには @AuraEnabled メソッドが含まれる Apex クラスにアクセスするための権限が必要ありません。 「デフォルトでセキュア」なアプローチに従い、ユーザのポータルで Apex クラスへのアクセスが許可されている場合のみゲストユーザ、ポータルユーザ、コミュニティユーザが @AuraEnabled Apex メソッドにアクセスできるように重要な更新を追加しました。

Summer '20 では、すべての組織で重要な更新を自動的に有効化します。 この重要な更新では Aura および Lightning Web コンポーネントによって使用される Apex クラスのユーザプロファイル制限が適用されます。ゲストユーザ、ポータルユーザ、コミュニティユーザが Apex クラスにアクセスするには、プロファイル内に権限または権限セットが必要です。この Apex クラスに含まれる @AuraEnabled メソッドをコールする Aura または Lightning Web コンポーネントは、正常に読み込むことができないまたは動作できない場合があります。

とりあえずLightning WebコンポーネントとAuraコンポーネントの開発している場合に影響があるみたいです。@AuraEnabled メソッドをコールするときの実装方法が変わるようです。

変更の適用は重要な更新の「ユーザプロファイルに基づくゲストユーザとポータルユーザの @AuraEnabled Apex メソッドへのアクセスの制限」から行います。

影響のあるApexクラスを抽出します。一覧抽出ツールのリンクも用意されていました。(他のセキュリティアラートでも同じリンクが用意されていましたが。)

リンク先はこちら。

ゲストユーザやコミュニティユーザに権限を付与して動作確認ができれば対応完了です。

Force.comサイトでLightningコンポーネントを使用している話はあまり聞かない気がしますが、Community Cloudではけっこう使われてる事例話を聞いたのでそうした組織では要チェックのアップデートだと思います。