Salesforce Identity の概要

学習の目的

このモジュールを完了すると、次のことができるようになります。
  • Salesforce Identity がどのようにシステム管理者の役に立つかを説明する。
  • Salesforce Identity がビジネスにどのような利点をもたらすかを理解する。
  • シングルサインオン (SSO) とソーシャルサインオンの違いを理解する。
  • [私のドメイン] の利点を説明する。

Salesforce Identity の概要

Salesforce Identity を使用すると、適切なユーザに適切なリソースへの適切なアクセス権を適切なタイミングで付与できます。組織に誰がアクセスできるか、Salesforce Platform、オンプレミス、その他のクラウド、モバイルデバイス上で実行しているアプリケーションを誰が使用できるかを制御します。

アクセス権を制御することで組織のセキュリティが向上することはおそらく理解できるでしょう。けれども、セキュリティを向上させると同時に、ユーザが仕事に必要なアプリケーションやサービスにアクセスしやすくできることはご存知でしたか? それが可能なのです。

ユーザが 1 回ログインするだけで必要なアプリケーションすべてにアクセスできれば、関係者全員に利点があります。

  • ユーザは、多数のユーザ名とパスワードを覚えておく必要がなくなります。
  • システム管理者は、ユーザログインの問題に対処する時間が少なくなります。
  • 開発者は、既存のビジネスプロセスとシームレスに動作する Web アプリケーションやモバイルアプリケーションを構築できます。
  • CIO は、セキュリティと信頼を強化しつつ、認証のための投資を抑えられます。
  • お客様は、コラボレーションや質問への回答を得るのがより簡単になります。
  • パートナーは、自社のソリューションを Salesforce 組織と統合することができ、全員の成功につながります。

Salesforce Identity を使用すれば、1 回のログインで多くの接続アプリケーションにアクセスできます。

Salesforce およびその他の接続アプリケーション

「Identity (ID)」の意味

テクノロジー業界では、ID はさまざまな意味を持つ用語で、コンテキストに応じて意味が異なります。ただし、一般的には ID は、ユーザが本人であることを ID プロバイダが保証することを意味します。

Salesforce では、ユーザに関するデジタル情報を指します。この情報には、そのユーザが誰であるか、特定のコンテキストでそのユーザが何をできるかなどが含まれます。また、氏名、連絡先情報、役職といったユーザの属性が含まれる場合もあります。

Salesforce Identity の機能

ID 管理は重要なシステム管理領域であり、Salesforce Identity はその多くの側面に対処する機能を提供します。適切に設計された Salesforce Identity 実装では、まず組織に適した機能を決定し、優先度を付けます。最初は 1 つか 2 つの機能を導入し、その後、徐々に他の機能を追加していきます。

Salesforce Identity の主要な機能のリストを確認しましょう。その後で、スクロールダウンして各機能の詳細を学習します。

  • シングルサインオン
  • 接続アプリケーション
  • ソーシャルサインオン
  • 多要素認証
  • 私のドメイン
  • 一元化されたユーザアカウント管理
  • ユーザプロビジョニング
  • Identity Connect
  • アプリケーションランチャー

シングルサインオン

シングルサインオン (SSO) を使用すると、ユーザは、アプリケーションごとに個別にログインしたり、異なるユーザログイン情報を作成 (および記憶) したりせずに、承認されたすべてのリソースにアクセスできます。

ユーザを他の Salesforce 組織や他のクラウドの複数のアカウントと実行アプリケーションに接続できます。たとえば、Salesforce Identity を使用するコールセンター担当者がリンクをクリックすると、直ちに Google Apps、Microsoft Office 365、Box などの他のアプリケーションにログイン済みの状態になります。

接続アプリケーション

サインオンしたユーザがアクセスできる「承認されたリソース」とは何でしょうか? それは接続アプリケーションです。接続アプリケーションでは、Salesforce 組織、サードパーティアプリケーション、およびサービスをまとめて利用できます。SSO を実装せずに作成された接続アプリケーションはブックマークのように動作します。このようなアプリケーションにはアプリケーションランチャーまたはドロップダウンアプリケーションメニューからアクセスできますが、使用するには再びサインインが要求される場合があります。

したがって、接続アプリケーションを最大活用するには、SSO を設定します。SSO を使用すると、システム管理者はセキュリティポリシーを設定し、誰がどのアプリケーションを使用するかを明示的に制御できます。接続アプリケーションを使用してモバイルアプリケーションの認証とポリシーを管理することもできます。

ソーシャルサインオン

「ソーシャルサインオン」と「シングルサインオン」はよく似ていませんか? この 2 つを混同しやすいのは、言葉が似ているからだけでなく、どちらの機能もユーザの操作を容易にするからです。

ソーシャルサインオンでは、ユーザは、Facebook、Twitter、LinkedIn、Google のような外部認証プロバイダのユーザ名とパスワードで Salesforce 組織にログインします。これらのプロバイダは数回クリックするだけで設定できます。PayPal や Amazon などその他のプロバイダは、わずかな作業で設定できます。

ソーシャルサインオンは特に、顧客が新しいユーザ名とパスワードを作成 (および記憶) しなくても Experience Cloud サイトにログインできるようにする場合に便利です。顧客は各自の Facebook または LinkedIn アカウントを使用して Experience Cloud サイトにログインできます。

ソーシャルサインオンのログインページ

多要素認証

方程式のような名前ですね。残念ながらそうではありません。ただし、そうでもありません。多要素認証 (MFA) は Salesforce Identity の機能で、実装することを強くお勧めします。いくつかの設定を行うと、組織のログインプロセスのセキュリティを数倍強化することができます。

ここまで取り上げたのは、業務に必要な組織やアプリケーションにユーザがアクセスしやすくなる機能でした。多要素認証により、当面はアクセスがやや厄介になりますが、このシンプルながら強力なツールによってユーザアカウントのセキュリティが強化されます。

多要素認証を有効にすると、ユーザはログイン時に 2 つ以上の証拠 (要素) を提示する必要があります。 1 つの要素はユーザのユーザ名とパスワードの組み合わせです。もう 1 つの要素の要求は、認証アプリケーションや Universal Second Factor (U2F) セキュリティキーなど、ユーザが所有している検証方法を介して満たされます。 

最新バージョンの Salesforce Authenticator アプリケーションでは、第 2 要素を、ユーザのモバイルデバイスのプッシュ通知への応答にすることができます。

多要素認証を使用すると、攻撃者がユーザのパスワードを入手しても、ログインして損害を与えることが難しくなります。他の Salesforce Identity 機能で認証オプションを拡張する場合は、必ず多要素認証を使用して組織への個々のアクセスを保護してください。

多要素認証の設定方法は、後続のモジュールで学習します。簡単に設定できます。

Salesforce Authenticator

私のドメイン

Salesforce 組織への URL をユーザにわかりやすくしたいと思いませんか? 実はできるのです。[私のドメイン] の Identity 機能を使用すると、Salesforce URL をカスタマイズして会社またはブランド名を追加することができます。たとえば、Jedeye Technologies に勤務している場合、その名前を次のように Salesforce ログイン URL に入れることができます。https://jedeye-tech.my.salesforce.com.

URL の末尾は salesforce.com です。[私のドメイン] を使用して実際に作成するのは、Salesforce ドメイン (salesforce.com) 内のサブドメインです。

Trailhead Playground がある場合は、実際の [私のドメイン] を見ることができます。すべての Playground には、一意の [私のドメイン] サブドメインがあります。ここでは、creative-raccoon-b6c0h0-dev-ed という組織の [私のドメイン] が、Salesforce lightning.force.com ドメインのサブドメインであることがわかります。Trailhead Playground URL で強調表示された [私のドメイン] の名前会社の組織の [私のドメイン] サブドメインを使用すると、ログインページをカスタマイズして会社のデザイン構想とメッセージ、つまりブランドを反映することができます。

[私のドメイン] を設けるのは、利便性や組織のログイン操作のブランド設定だけを目的としているのではありません。ログインプロセスを細かく制御して、認証を簡素化することも目的としています。実際 Salesforce では、次の場合に [私のドメイン] を設定する必要があります。

  • 同じブラウザを使用して複数の Salesforce で作業する
  • 外部 ID ベンダを使用したシングルサインオン (SSO) を設定する
  • ユーザがソーシャルアカウントのログイン情報を使用して Salesforce 組織にログインできるように、認証プロバイダ (Google や Facebook など) を設定する
  • Lightning コンポーネントタブ、Lightning ページ、Lightning アプリケーションビルダー、スタンドアロンアプリケーションで Lightning コンポーネントを使用する
  • Financial Services Cloud、Health Cloud、または Work.com を使用する

[私のドメイン] を使用することは非常に重要であるため、Winter '21 以降に作成されたすべての本番組織と Developer Edition 組織はデフォルトで 1 つ取得します。組織の [私のドメイン] の名前が気に入らない場合、変更できます。

[私のドメイン] を使用してログインプロセスをカスタマイズする方法については、「ユーザ認証」モジュールを参照してください。

一元化されたユーザアカウント管理

一元化されたユーザアカウント管理とは、システム管理者がすべてのユーザアカウント作業を 1 か所で管理できることを意味します。システム管理者は、簡単に他のアプリケーションへのアクセス権をユーザに付与し、必要ならばアクセス権の無効化や凍結ができます。

システム管理者はログインポリシーと明示的なセキュリティコントロールを適用できます。たとえば、ドメイン名を知らないユーザによるログイン試行を防止するポリシーを設定できます。

一元化されたユーザアカウント管理はユーザにもメリットをもたらします。多くのユーザ名とパスワードを覚える必要がありません。もうモニターに付箋を貼り付ける必要がなくなります。つまり、一元化された管理により、セキュリティのコントロールが強化され、アクセス関連のリスクが軽減され、エンドユーザの操作が容易になります。

接続アプリケーションのユーザプロビジョニング

すべての組織と接続アプリケーションにまたがるユーザアカウントを作成、管理、および保護する必要がある場合は、Salesforce Identity のユーザプロビジョニングを利用しましょう。複数のシステムと接続アプリケーションにわたって、ユーザ情報をすばやく、低コストで確実かつセキュアに管理できます。

Salesforce アカウントを持つユーザの多くは、Google Apps、Office365、Concur、Box など、他のクラウドにもアカウントを持っています。Salesforce ユーザプロビジョニングにより、システム管理者は 1 か所でそうしたユーザアカウントを作成、更新、削除、管理できます。

Identity Connect

Salesforce Identity Connect は、Active Directory (AD) から Salesforce にユーザとその属性を同期します。AD でユーザが作成されると、同じユーザアカウントが Salesforce でも自動的に作成されます。AD でユーザが削除されると、同時にそのユーザアカウントは Salesforce で無効になります。

Identity Connect を使用すると、ユーザが AD のユーザ名とパスワードを使用して Salesforce にサインインできます。環境によっては、ユーザが Salesforce に自動的にサインインするように Identity Connect を設定できます。ユーザはブックマークまたは Salesforce へのリンクをクリックするだけで認証され、ログインページさえ表示されずに Salesforce にリダイレクトされます。ユーザはきっと気に入るでしょう。

future モジュールは、Identity Connect が使用に適しているかどうかを判断するのに役立ちます。

アプリケーションランチャー

アプリケーションランチャーは Salesforce Identity の一部であり、Lightning Experience で重要な役割を果たします。アプリケーションランチャーには、Salesforce 組織内のすべての標準アプリケーション、カスタムアプリケーション、および接続アプリケーションがタイル表示されます。ユーザは再びログインしなくても、Salesforce の 1 つの場所に移動してすべてのアプリケーションにアクセスできます。アプリケーションランチャーに追加するサードパーティおよび他の接続アプリケーションを選択します。また、どのアプリケーションをどのユーザが使用できるようにするかを制御します。

これがアプリケーションランチャーです。クリックしやすくとても便利です。

アプリケーションランチャー

Lightning Experience では、ユーザはナビゲーションバーの左側にあるアプリケーションランチャーにアクセスできます。

ヘッダーのアプリケーションランチャー

Salesforce Classic では、ユーザはドロップダウンメニューからアプリケーションランチャーにアクセスできます。

Classic のアプリケーションランチャー

完全に統合されたソリューション

Salesforce Identity の機能をもう一度見て、どのように連携するかを確認しましょう。

この単元の始めにあった Salesforce 組織の図を覚えていますか? あの図をもう一度見てみましょう。今回は、もう少し詳細を追加します。次の図は、すべての ID 情報が Salesforce 組織の「バックオフィス」のどこに保存されるかを示しています。一元化された ID 管理システムでは、1 か所で ID を設定します。

Salesforce Identity 機能の図

ユーザは、デスクトップからモバイルまで、同じログイン情報を使用してアクセスできます。ユーザの ID は多くの場所で安全に共有されます。システム管理者は、ユーザ情報を 1 か所で安全かつ最新に保つことができます。いくつかの機能が組み合わされると、Salesforce Identity がいかに強力かがわかります。

組織で Salesforce Identity を有効にする方法

次の単元では、ユーザについて説明します。対象となるユーザを知ることは、Salesforce Identity の実装計画に役立ちます。後のモジュールでは、Identity 機能の詳細について説明します。

ではこれから、組織で Salesforce Identity を有効にしましょう。幸いなことに、すでにライセンスをお持ちです。Salesforce Identity は、標準ユーザライセンスに含まれています。Salesforce には、特別な Identity 専用ライセンスもあります。これは、SSO などの機能が必要で、Salesforce のその他の部分 (Sales Cloud や Service Cloud など) は必要ないユーザ向けです。

無料で学習を続けましょう!
続けるにはアカウントにサインアップしてください。
サインアップすると次のような機能が利用できるようになります。
  • 各自のキャリア目標に合わせてパーソナライズされたおすすめが表示される
  • ハンズオン Challenge やテストでスキルを練習できる
  • 進捗状況を追跡して上司と共有できる
  • メンターやキャリアチャンスと繋がることができる