Salesforce Identity の概要

学習の目的

このモジュールを完了すると、次のことができるようになります。

• Salesforce Identity がどのようにシステム管理者の役に立つかを説明する。
  
• Salesforce Identity がビジネスにどのようなメリットをもたらすかを理解する。
  
• シングルサインオン (SSO) とソーシャルサインオンの違いを理解する。
  
• [私のドメイン] のメリットを説明する。
  

Salesforce Identity の概要

Salesforce Identity を使用すると、適切なユーザーに適切なリソースへの適切なアクセス権を適切なタイミングで付与できます。組織に誰がアクセスできるか、Salesforce Platform、オンプレミス、その他のクラウド、モバイルデバイス上で実行しているアプリケーションを誰が使用できるかを制御します。

アクセス権を制御すれば組織のセキュリティが強化されることはお分かりになると思います。ただし、セキュリティを向上させると同時に、ユーザーが仕事に必要なアプリケーションやサービスにアクセスしやすくできることはご存知でしたか? それが可能なのです。

ユーザーが 1 回ログインするだけで必要なアプリケーションすべてにアクセスできれば、関係者全員にそれぞれメリットがあります。

• ユーザーは、たくさんのユーザー名とパスワードを覚えておく必要がなくなります。
  
• システム管理者は、ユーザーログインの問題に取られる時間が減ります。
  
• 開発者は、既存のビジネスプロセスとシームレスに動作する Web アプリケーションやモバイルアプリケーションを構築できます。
  
• CIO は、認証への投資を抑えながら、セキュリティと信頼を強化することができます。
  
• お客様は、簡単にコラボレーションできるようになり、質問への回答も難なく得ることができます。
  
• パートナーは、自社のソリューションを Salesforce 組織と統合して、大きな成功を実現できます。
  

Salesforce Identity を使用すれば、1 回のログインで多くの接続アプリケーションにアクセスできます。

「Identity (ID)」の意味

テクノロジー業界では、ID はさまざまな意味を持つ用語で、コンテキストに応じて意味が異なります。ただし、一般的には ID は、ユーザーが本人であることを ID プロバイダーが確認することを意味するようになりました。

Salesforce では、ID とはユーザーに関するデジタル情報を指します。この情報には、そのユーザーが誰であるか、特定のコンテキストでそのユーザーが何ができるかなどが含まれます。また、氏名、連絡先情報、役職といったユーザーの属性が含まれる場合もあります。

Salesforce Identity の機能

ID 管理は非常に広範ですが、Salesforce Identity にはその多くの側面に対応する機能が用意されています。Salesforce Identity の実装に当たっては、まず組織にどんな機能が適しているかを判断し、優先度を決めることから始めます。最初は 1 つか 2 つの機能を導入し、その後、徐々に他の機能を追加していきます。

Salesforce Identity の主な機能のリストに目を通してから、スクロールダウンして各機能の詳細を読んでください。

• シングルサインオン
  
• 接続アプリケーション
  
• ソーシャルサインオン
  
• 多要素認証
  
• 私のドメイン
  
• 一元化されたユーザーアカウント管理
  
• ユーザープロビジョニング
  
• アプリケーションランチャー
  

シングルサインオン

シングルサインオン (SSO) を使用すると、アプリケーションごとに別々にログインしたり、異なるユーザーログイン情報を作成 (そして記憶) したりすることなく、承認されたすべてのリソースにアクセスできます。

他の Salesforce 組織や他のクラウドで実行している複数のアカウントやアプリケーションにユーザーを接続することができます。たとえば、Google Apps や Microsoft Office 365、Box などの他のアプリケーションに SSO を設定している場合、Salesforce Identity を使用しているコールセンター担当者がリンクをクリックするだけで、そのアプリケーションに即座にログインできます。

接続アプリケーション

サインオンしたユーザーがアクセスできる「承認されたリソース」とは何でしょうか? そのとおり。接続アプリケーションです。接続アプリケーションでは、Salesforce 組織やサードパーティアプリケーション、そしてサービスをまとめて利用できます。SSO を実装せずに作成された場合、接続アプリケーションはブックマークのように機能します。アプリケーションにはアプリケーションランチャーまたはドロップダウンアプリケーションメニューからアクセスできますが、使用するには再度サインインが必要になることがあります。

したがって、接続アプリケーションを最大活用するには、SSO を設定します。SSO を使用すると、システム管理者はセキュリティポリシーを設定し、誰がどのアプリケーションを使用するかを明示的に制御できます。接続アプリケーションを使用してモバイルアプリケーションの認証とポリシーを管理することもできます。

ソーシャルサインオン

「ソーシャルサインオン」と「シングルサインオン」よく似ていますよね? この 2 つが混同されやすいのは、名前が似ているからだけでなく、どちらの機能もユーザーを楽にしてくれるからです。

ソーシャルサインオンでは、ユーザーは、Facebook、X、LinkedIn、Google のような外部認証プロバイダーのユーザー名とパスワードで Salesforce 組織にログインします。これらのプロバイダーは数回のクリック操作で設定できます。PayPal や Amazon などその他のプロバイダーについては、少しだけ手がかかりますが、それでも簡単に設定できます。

ソーシャルサインオンは、顧客が新しいユーザー名とパスワードを作成 (そして記憶) しなくても Experience Cloud サイトにログインできるようにする場合に特に便利です。顧客は各自の Facebook または LinkedIn アカウントを使用して Experience Cloud サイトにログインできます。

多要素認証

方程式みたいな名前ですが、違います。多要素認証 (MFA) は、Salesforce に直接ログインするすべてのユーザーに義務付けられる Salesforce Identity の機能です。ユーザーがこの要件を満たすことができるように、本番組織のログインプロセスで MFA がデフォルトで使用されます。MFA を使用すると、組織のログインプロセスのセキュリティを数倍強化できます。

MFA は Salesforce UI にログインするすべてのユーザーに契約で義務付けられています。MFA 要件についての詳細は、「Salesforce 多要素認証に関する FAQ」を参照してください。

これまでは、ユーザーが業務に必要な組織やアプリケーションに容易にアクセスできるようになる機能について説明してきました。MFA を使用したログインプロセスは数秒余分な時間がかかりますが、このわずかな時間でユーザーのアカウントのセキュリティが強化されるため、時間をかける価値があります。

ユーザーはログイン時に 2 つ以上の証拠 (要素) を提示する必要があります。1 つの要素はユーザーのユーザー名とパスワードの組み合わせです。もう 1 つの必要な要素は、認証アプリケーションや USB セキュリティキーなど、ユーザーが所有している検証方法です。Salesforce Authenticator アプリケーションでは、ユーザーのモバイルデバイスのプッシュ通知への応答を第 2 要素として指定することができます。

多要素認証を使用すると、攻撃者がユーザーのパスワードを手に入れても、ログインして悪さをすることは難しくなります。

ユーザーが MFA の検証方法を登録する方法については、後続のモジュールで学習します。設定は簡単ですので、ご安心ください。

私のドメイン

Salesforce 組織への URL をもっとわかりやすくできたら良いと思いませんか? 実はできるのです。[私のドメイン] の Identity 機能を使用すると、Salesforce URL をカスタマイズして会社名やブランド名を追加することができます。たとえば、Jedeye Technologies に勤務している場合、その名前を次のように Salesforce ログイン URL に含めることができます。https://jedeye-tech.my.salesforce.com

URL の末尾は salesforce.com です。[私のドメイン] を使用して実際に作成するのは、Salesforce ドメイン (salesforce.com) 内のサブドメインです。

私のドメインの動作を見てみましょう。この Trailhead Playground では、組織の creative-moose-o5xbqb-dev-ed という [私のドメイン] が、Salesforce lightning.force.com ドメインのサブドメインであることがわかります。 

[私のドメイン] 機能を使用すると、ログインページをカスタマイズして会社のデザイン構想とメッセージ、つまりブランドを反映することができます。

[私のドメイン] を設定するのは、利便性や組織のログイン操作にブランド設定を加えるということだけでなく、ログインプロセスを細かく制御して、認証を簡素化することも目的の 1 つです。実際 Salesforce では、次のような場合に [私のドメイン] を設定する必要があります。

• 同じブラウザーを使用して複数の Salesforce で作業する
  
• 外部 ID ベンダーを使用したシングルサインオン (SSO) を設定する
  
• ユーザーがソーシャルアカウントのログイン情報を使用して Salesforce 組織にログインできるように、認証プロバイダー (Google や Facebook など) を設定する
  

[私のドメイン] を使用することは非常に重要であるため、すべての組織はデフォルトで 1 つ取得します。本番組織では、組織の作成時に [私のドメイン] が指定されなかった場合、デフォルトの [私のドメイン] は内部 Salesforce 組織 ID に基づきます。組織の [私のドメイン] の名前が気に入らない場合は、変更できます。詳細については、Salesforce ヘルプの「私のドメイン」を参照してください。

[私のドメイン] を使用してログインプロセスをカスタマイズする方法については、「ユーザー認証」モジュールを参照してください。

一元化されたユーザーアカウント管理

一元化されたユーザーアカウント管理とは、システム管理者がすべてのユーザーアカウント作業を 1 か所で管理できることを意味します。システム管理者は、簡単に他のアプリケーションへのアクセス権をユーザーに付与し、必要に応じてアクセス権の無効化や凍結ができます。

システム管理者はログインポリシーと明示的なセキュリティコントロールを適用できます。たとえば、ドメイン名を知らないユーザーによるログイン試行を防止するポリシーを設定できます。

一元化されたユーザーアカウント管理はユーザーにもメリットをもたらします。たくさんのユーザー名とパスワードを覚える必要がありません。もうモニターに付箋を貼り付ける必要がなくなります。つまり、一元化された管理により、セキュリティのコントロールが強化され、アクセス関連のリスクが軽減されて、エンドユーザーの操作が容易になるのです。

接続アプリケーションのユーザープロビジョニング

すべての組織と接続アプリケーションにまたがるユーザーアカウントを作成、管理、保護する必要があるなら、Salesforce Identity のユーザープロビジョニングの出番です。複数のシステムと接続アプリケーションにわたって、ユーザー情報をすばやく、低コストで確実かつセキュアに管理できます。

Salesforce アカウントを持つユーザーの多くは、Google Apps、Office365、Concur、Box など、他のクラウドにもアカウントを持っています。Salesforce ユーザープロビジョニングにより、システム管理者は 1 か所でそうしたユーザーアカウントを作成、更新、削除、管理できます。

アプリケーションランチャー

アプリケーションランチャーは Salesforce Identity の一部で、Lightning Experience で重要な役割を果たします。アプリケーションランチャーには、Salesforce 組織内のすべての標準アプリケーション、カスタムアプリケーション、接続アプリケーションがタイル表示されます。ユーザーは再度ログインしなくても、Salesforce の 1 つの場所からすべてのアプリケーションにアクセスできます。アプリケーションランチャーにどのサードパーティや他の接続アプリケーションを追加するかを選ぶことができ、どのアプリケーションをどのユーザーが使用できるようにするかも指定できます。

これがアプリケーションランチャーの画面です。クリックしやすくて、とても便利です。

Lightning Experience では、ユーザーはナビゲーションバーの左側にあるアプリケーションランチャーにアクセスできます。

Salesforce Classic では、ユーザーはドロップダウンメニューからアプリケーションランチャーにアクセスできます。

完全に統合されたソリューション

Salesforce Identity の機能をもう一度見て、どのように連携するかを確認しましょう。

この単元の始めにあった Salesforce 組織の図を覚えていますか? あの図をもう一度見てみましょう。今回は、もう少し詳細を追加します。次の図は、すべての ID 情報が Salesforce 組織の「バックオフィス」のどこに保存されるかを示しています。一元化された ID 管理システムでは、1 か所で ID を設定します。図の左側にあるディレクトリインテグレーションは、サードパーティテクノロジーを表します。

ユーザーは、デスクトップからモバイルまで、同じログイン情報を使用してアクセスできます。ユーザーの ID は多くの場所で安全に共有されます。システム管理者は、ユーザー情報を 1 か所で安全かつ最新に保つことができます。複数の機能を組み合わせると、Salesforce Identity がいかに強力になるかがおわかりになると思います。

組織で Salesforce Identity を有効にする方法

次の単元では、ユーザーについて説明します。対象となるユーザーを知ることは、Salesforce Identity の実装計画に役立ちます。後のモジュールでは、Identity 機能の詳細について説明します。

ではこれから、組織で Salesforce Identity を有効にしましょう。実は皆さんはすでにライセンスをお持ちです。Salesforce Identity は、標準ユーザーライセンスに含まれています。Salesforce には、特別な Identity 専用ライセンスもあります。これは、SSO などの機能は必要だけれども、Salesforce のその他の部分 (Sales Cloud や Service Cloud など) は必要ないというユーザー向けです。

リソース

• Salesforce 記事: Identity 製品
• Trailhead: ユーザー認証
• Trailhead: 顧客の ID
• Trailhead: モバイル重視の顧客の ID