Salesforce組織でMFAを有効化し、Salesforce Authenticatorを接続してログインしてみた

Salesforce
Salesforce

はじめに

皆さんこんにちは、寺田です。

2022年2月1日以降、Trust and Compliance Documentationに基づき、Salesforce製品にアクセスするためにMFAを使用することが契約上義務付けられます。

MFAを使用するために追加の費用は不要ですが、利用組織での設定や展開などの対応が必要です。
そこで今回は、権限セットを使用したSalesforce組織でのMFA有効化の設定と、ユーザが検証に使用できる方法のうち、Salesforce Authenticatorでの認証の動作を確認してみます。

注意事項

MFAに関する情報、SalesforceにおけるMFA要件の詳細や設定方法については、記事作成時点の内容を基にしています。
最新のSalesforceでの要件や設定方法と異なる可能性がありますため、ご注意ください。

環境

Salesforce 組織のエディション:Developer Edition
ブラウザ:Google Chrome Version 93.0.4577.82 (Official Build) (64-bit)

# モバイルデバイス
iOS システムバージョン:14.7.1
機種名:iPhone 12 Pro Max
Salesforce Authenticator:v3.7.1

Androidバージョン:11
モデル番号:L-51A
Salesforce Authenticator:v3.7.1

この記事のゴール

  • 権限セットにて「ユーザインターフェースログインの多要素認証」権限を付与し、Salesforce組織でMFAを有効化する
  • ログインユーザにSalesforce Authenticatorを接続する
  • Salesforce Authenticatorを使用してSalesforce組織へログインする
  • ユーザとSalesforce Authenticatorとの接続を切断する

多要素認証(MFA)とは

多要素認証(MFA)とは、ユーザに「本人であることを証明する2つ以上の証拠(要素)」を要求することで、不正なアクセスに対するユーザアカウントの保護を強化する方法のことです。
ユーザアクセスを複数の、異なる種類の認証要素に結び付けることで、Salesforceへ悪意のあるアクセスを行うことがはるかに難しくなります。

要素のうちの1つは、ユーザが知っているもの(ユーザ名とパスワードの組み合わせ)です。
もう一方の要素は、ユーザが持っているもの(認証アプリケーションやセキュリティキーなど)で、ユーザが指定します。

ユーザのパスワードが盗まれたとしても、ユーザが物理的に所有する要素(=持っているもの)を推測、偽装できる確率は非常に低くなります。

SalesforceでのMFA検証

MFA検証方法

SalesforceでMFAが有効になると、ログインの際にさらに他の認証方法が求められます。(※1)

SalesforceでのMFAで使用できるのは、以下の検証方法です。
メール、SMSテキストメッセージ、電話で配信されるワンタイムパスコードは使用不可です。メールのログイン情報が窃取されたり、テキストメッセージや通話が傍受されたりする可能性があるためです。

  • Salesforce Authenticator アプリケーション
    • iOS、Android向けの無料のモバイルアプリケーション
  • サードパーティ TOTP 認証アプリケーション(※2)
    • Google Authenticator、Microsoft Authenticator、Authy
  • U2F または WebAuthn セキュリティキー
    • YubiKey、Titan セキュリティキーなど
※1

シングルサインオン(SSO)を介してアクセスする場合もMFAが必須ですが、SSOプロバイダのMFAサービスを使用することができます。
(参考)Salesforce 多要素認証に関するFAQ – シングルサインオン (SSO) に MFA は必須ですか?
(参考)Salesforce ヘルプ – SSO ID プロバイダの MFA サービスの使用

※2

デスクトップまたはブラウザベースのTOTP 認証アプリケーションもMFA要件を満たす手段として認められていますが、推奨はされていません。
(参考)Salesforce 多要素認証に関するFAQ – デスクトップまたはブラウザベースの TOTP 認証アプリケーションを使用できますか?

MFAが必要なユーザ、ログイン種別

FAQでは、以下のユーザやログイン種別がMFA要件の影響を受けるとされています。

  • 内部ユーザ
  • UIへの直接ログイン
  • 本番環境、Sandbox環境、Developer Edition(※)

API接続の際はMFAは必須ではないようです。また、システム管理者が別のユーザとしてログインするためのオプションは、組織のユーザの MFA が有効になっている場合でも引き続き使用できるとされています。
システム管理者等、1つのアカウントを共有している場合も考えられますが、そもそもSalesforceではログイン情報の共有を禁止しているため、個々にアカウントを設定する必要がありますね。

SandboxとDeveloper Edition/Partner Developer Editionは、07/28にMFA要件の対象外となりました。

ただし、お客様データや機密情報が含まれる可能性があるため、MFAの適用が強く推奨されています。また、Sandboxについては将来的にMFA要件の適用が予定されています。

MFAを有効化し、Salesforce Authenticatorを使用してみる

それでは、組織でMFAを有効化し、ユーザ検証方法としてSalesforce Authenticatorを設定してみます。

MFAを有効化する方法

Salesforce組織でMFAを有効化する方法は、以下の2通りがあります。
今回はまず、「直接ユーザログインの MFA の有効化」を試してみたいと思います。

  1. 直接ユーザログインの MFA の有効化
    • プロファイルまたは権限セットを使用し、「ユーザインターフェースログインの多要素認証」を付与する方法です。
    • ブラウザからのログイン時のみMFAが適用されます。
  2. セッションセキュリティレベルを使用した MFA の有効化
    • セッションの設定において「セッションセキュリティレベル」で「高保証」に「多要素認証」を追加して、プロファイルの「ログインに必要なセッションセキュリティレベル」で「高保証」を選択する方法です。
    • 高保証要件を設定されたプロファイルのユーザが、標準レベルのセキュリティのログイン方法を使用すると、MFAを使用して検証するよう求められます。
    • すべてのログイン時にMFAが適用されます。

直接ユーザログインのMFAの有効化

ヘルプ記事と設定方法の動画を参考に、権限セットを使用し、ユーザにMFAを求める権限を作成します。

権限セットを作成し、「ユーザインターフェースログインの多要素認証」権限を割り当てる

[設定] > [ユーザ] > [権限セット] から、[新規] をクリックします。

表示ラベルなどを設定し、[保存]をクリックします。

上部の [設定の検索] ボックスに「ユーザインターフェースログインの多要素認証」を入力し、検索します。

画面上部までスクロールし、 [編集] をクリックします。

「ユーザインターフェースログインの多要素認証」項目までスクロールダウンしたら、チェックボックスをクリックし、選択あり状態にします。

再度画面上部までスクロールし、[保存] をクリックします。

確認画面で [保存] をクリックします。

「ユーザインターフェースログインの多要素認証」権限は、コピーしたプロファイルで付与することも可能です。

権限セットをユーザに割り当てる

作成した権限セットで、 [割り当ての管理] をクリックします。

[割り当てを追加] をクリックします。

MFAを使用してログインさせたいユーザを選択し、[割り当て] 、[完了] の順にクリックします。

Salesforce Authenticatorをインストールし、Salesforceアカウントへ接続する

Salesforce Authenticatorのインストール

MFAを使用してログインするユーザのモバイルデバイスに、Salesforce Authenticatorをインストールします。
(iOS)

AppStore_Salesforce Authenticator

(Android)

以降は主にiOSデバイスの画面キャプチャにてお送りします。

AndroidとiOSで画面表示はほぼ変わりませんが、Androidではアプリによりスクリーンショット取得が禁止されており、ほとんどの画面キャプチャが取得できなかったためです。

Salesforce Authenticatorの初回起動時に携帯電話番号の入力を求められますが、こちらは接続済みアカウントのバックアップや復元に使用するものです。

ここでスキップしても、画面上部の通知アイコン > [バックアップを有効化] から後で設定することが可能です。

Salesforceアカウントへの接続

PCブラウザにて、MFAを使用してログインするユーザがSalesforceにログインします。

PCブラウザに「Salesforce Authenticatorを接続」という画面が表示され、2語の語句を入力する欄が出てきます。

Salesforce Authenticatorモバイルアプリケーションを開き、[アカウントを追加] をタップします。

Salesforce Authenticatorモバイルアプリケーションに表示される2語の語句を、PCブラウザの入力欄へ入力し、[接続] をクリックします。

Salesforce Authenticatorモバイルアプリケーションに、接続要求の詳細が表示されます。
内容に問題がなければ、[接続] をタップします。

PCブラウザでSalesforceのホーム画面が表示されます。
これで、Salesforce AuthenticatorをログインユーザのSalesforceアカウントに接続することができました。

AndroidのSalesforce Authenticatorでの操作時は、位置情報の利用許可設定を行うポップアップが表示されました。

また、 Salesforce Authenticatorの接続完了後、ログインユーザのメールアドレスに「Salesforceアカウントに新しい検証方法が追加された」という内容のメールが届きます。

Salseforceへのログイン時に、Salesforce Authenticatorを使用する

Salesforce Authenticator設定後の通常のログイン時はどのような動きになるのか確認します。

ログイン成功

PCブラウザにて、MFAを使用してログインするユーザがSalesforceにログインします。

Salesforce Authenticatorモバイルアプリケーションから、モバイルデバイスにプッシュ通知が届きます。

Androidでも同様に通知が届きます。

通知からSalesforce Authenticatorモバイルアプリケーションを開き、要求の詳細を確認します。
自分が送ったものであることが確認できたら、[承認] をタップします。

PCブラウザでSalesforceにログインすることができました。

ログイン失敗

なお、PCブラウザからのログイン時にモバイルデバイスで承認されない場合、要求が拒否されたとしてSalesforceにログインすることはできませんでした。

このとき、ユーザのログイン履歴では、状況に「多要素が必要です」と表示されました。

Salesforce Authenticatorでの信頼できる場所からのMFAの自動化

Salesforceへログインする地理的な場所が一定である場合は、Salesforce Authenticatorでの設定により、都度通知を受信せずにアクティビティを検証することができる機能もあるため、便利に使用できるかもしれません。

モバイルアプリケーションでロケーションサービスを有効にし、自宅やオフィスなど、信頼できる場所からのMFAログインを自動化することができます。

Einstein自動化を有効にすれば、3回以上信頼した場所が自動的に信頼されます。
※Salesforce Authenticatorをダウンロードした際は、Einstein自動化が有効になっています。
※Android、iOSそれぞれロケーションサービスに関する設定が必要です。

組織でのMFAの有効化より前に、アカウントとSalesforce Authenticatorの接続を行う

Salesforce組織でMFAを有効化する前に、ユーザ自身で認証アプリケーションとの接続を行っておくこともできます。
これまでと同様に、Salesforce Authenticatorを使用して動作を確認してみます。

Salesforce組織で右上のアイコンをクリックし、[設定] を開きます。

左側のメニューから [高度なユーザの詳細] を開き、「アプリケーション登録: Salesforce Authenticator」項目で、[接続] をクリックします。

「IDを検証」画面が表示されたら、受信したメールに記載された確認コードを入力し、[検証]をクリックします。

「Salesforce Authenticatorを接続」という画面が表示され、2語の語句を入力する欄が出てきます。

以後は同様の手順のため、画面キャプチャを省略します。

  • モバイルデバイスでSalesforce Authenticatorモバイルアプリケーションを開き、[アカウントを追加] をタップします。
  • Salesforce Authenticatorモバイルアプリケーションに表示された2語の語句を、PCブラウザの入力欄へ入力し、[接続] をクリックします。
  • Salesforce Authenticatorモバイルアプリケーションに、接続要求の詳細が表示されます。
  • 内容に問題がなければ、[接続] をタップします。
  • PCブラウザでSalesforceのホーム画面が表示されます。

再度、画面右上のアイコンから [設定] > [高度なユーザの詳細] を開くと、「アプリケーション登録: Salesforce Authenticator」項目に [切断] と表示されていることが確認できます。

これで、Salesforce組織でMFAを有効化する前に、ユーザ自身でSalesforce Authenticatorとの接続を行っておくことができました。

なお、この設定を行っても、組織でMFAを有効化する前に、アカウントのMFAが有効になるわけではありません。
新しいブラウザやデバイスからログインするときなど、IDを確認する必要があるときにSalesforce Authenticatorを使用できるようになります。

アカウントとSalesforce Authenticatorの接続を切断する

ユーザのアカウントには、1度に1つのSalesforce Authenticatorモバイルアプリケーションしか接続することが出来ません。Salesforce Authenticatorを実行しているデバイスを紛失した場合などは、ユーザのアカウントからアプリケーションを切断します。

システム管理者が操作する場合

[設定] > [ユーザ] を選択し、該当するユーザの名前をクリックします。

「アプリケーション登録: Salesforce Authenticator」項目で、[切断] をクリックします。

「アプリケーション登録: Salesforce Authenticator」項目の [切断] 表示が消え、Salesforce Authenticatorとの接続が削除されました。

注意

確認画面やアラートは表示されません。

ユーザ自身が操作する場合

Salesforce組織で右上のアイコンをクリックし、[設定] を開きます。

左側のメニューから [高度なユーザの詳細] を開き、「アプリケーション登録: Salesforce Authenticator」項目で、[切断] をクリックします。

「アプリケーション登録: Salesforce Authenticator」項目の [切断] が [接続] へ変わり、Salesforce Authenticatorとの接続が削除されました。

注意

確認画面やアラートは表示されません。

ユーザが自身のモバイルデバイス上でSalesforce Authenticatorを切断する場合は、こちらを参照してください。

おわりに

組織の設定や、Salesforce Authenticatorとの接続操作自体は難しくありませんが、環境によって検証方法としてどのツールの使用が最適か選定することが必要です。また、各ユーザにご対応いただく必要もあるため、2022年2月間近になって間に合わせようとするより、事前に十分な周知を行い、準備期間をとっておくことがとても大切ですね。

参考

セールスフォースのご相談・お問い合わせ

タイトルとURLをコピーしました