ユーザ ID のセキュリティ保護

学習の目的

このモジュールを完了すると、次のことができるようになります。
  • ユーザに多要素認証を設定する。
  • MFA ログインに Salesforce Authenticator アプリケーションを使用する。
  • 組織にログインするユーザに関するログイン情報を取得する。

多要素認証と Salesforce Authenticator を使用したアカウントアクセスの保護

システム管理者として、Salesforce 組織の安全を確保することと、ユーザが迅速かつ簡単にログインできるようにすることのバランスに苦慮しているのではないでしょうか。組織と組織内のデータを保護する最も効果的な方法は、ユーザにユーザ名とパスワード以上の情報を提供するよう求めることです。セキュリティ専門家は、この方法を多要素認証 (MFA) と呼んでいます。
メモ

メモ

この単元のタスクを完了するためには、Android または iOS を実行するモバイルデバイスが必要です。

多要素認証とは?

数学の方程式か何かのように聞こえますよね? 数学が得意であっても苦手であっても、MFA は高校の代数と何の関係もありません。ユーザが間違いなく本人であることを確認するための機能です。

2 要素認証 (2 FA) という用語のほうをよくご存じかもしれません。心配いりません。2 FA は MFA の一種ですが、実質的に同じことを指しています。

では、多要素とはいったい何でしょうか? ユーザがログインするときに本人確認のために提示する異なる種類の証拠です。

  • 1 つの要素はユーザが知っている情報です。Salesforce ログインの場合は、ユーザ名とパスワードの組み合わせがそれに該当します。
  • 他の要素は、認証アプリケーションがインストールされているモバイルデバイスや物理的なセキュリティキーなど、ユーザが所有している検証方法です。
2 要素認証、ユーザが知っていることとユーザが所有しているもの

多要素認証という名前は知らなくても、すでに使用したことがあるのではないかと思います。ATM から現金を引き出すたびに、自分が所有しているもの (キャッシュカード) と自分が知っていること (暗号番号) の組み合わせを使用しています。 

ユーザ名とパスワードに加えて別の要素を要求することで、組織に重要なセキュリティレイヤがさらに追加されます。ユーザのパスワードが盗まれた場合でも、ユーザが物理的に所有する要素を攻撃者が推測したり偽装したりする可能性はかなり低くなります。

納得ですよね? では、その方法を見ていきましょう。

多要素認証のしくみ

MFA では、Salesforce ログインプロセスにステップが追加されます。

  1. ユーザは通常どおりユーザ名とパスワードを入力します。
  2. ユーザは Salesforce でサポートされる検証方法の 1 つを入力するよう要求されます。

次の検証方法のいずれか、またはすべてを許可できます。

Salesforce Authenticator

お客様のログインプロセスにシームレスに統合される無料のモバイルアプリケーション。ユーザはプッシュ通知で ID をすばやく検証できます。このアプリケーションについては後ほど詳しく説明します。

サードパーティの TOTP 認証アプリケーション

促されたときにユーザが入力する一意の仮の確認コードを生成するアプリケーション。このコードは、「時間ベースのワンタイムパスワード」 (TOTP) と呼ばれることもあります。ユーザは Google Authenticator、Microsoft Authenticator、Authy を含むさまざまなオプションから選ぶことができます。

セキュリティキー

サムドライブに似た小型の物理トークン。このオプションを使用したログインは迅速かつ簡単です。ユーザがキーをコンピュータに接続し、キーのボタンを押すだけで ID を検証できます。ユーザは FIDO Universal Second Factor (U2F) 標準 (Yubico の YubiKey や Google の Titan セキュリティキーなど) と互換性のある任意のキーを使用できます。

ユーザが多要素認証の入力を促される状況

MFA を有効にすると、ユーザはログインするときに毎回多要素を入力する必要があります。 この要件は、ユーザインターフェースログイン、API ログイン、またはその両方に対して設定できます。 

セキュリティをさらに強化するために、次のような MFA 要件を追加できます。

  • ユーザが接続アプリケーション、ダッシュボード、またはレポートにアクセスするときに表示する。このプロセスをステップアップ認証または高保証認証といいます。
  • カスタムログインフローの実行中またはカスタムアプリケーション内に表示する (使用許諾契約を読む前など)。このトピックについてはトレイルの後続の単元で詳しく説明します。

ログインごとの多要素認証の設定

多要素認証の基本をマスターしたところで、ユーザに MFA 要件をいかに簡単に設定できるかを見てみましょう。

次の動画では、MFA を有効にし、MFA ログインの第 2 要素として Salesforce Authenticator を設定する方法を説明しています。



それでは、次に示す例を使って確認していきましょう。あなたが Jedeye Technologies の Salesforce システム管理者であるとします (けれども、この会社は銀河系の果てにあるわけではありません)。最高セキュリティ責任者から、「全従業員を対象に、会社の Salesforce 組織にログインときに毎回ユーザ名とパスワード以外の情報も入力させる」という使命を言い渡されました。


まずは、Jedeye Technologies の新入社員である Sia Thripio の MFA を有効にすることから始めましょう。Jedeye の全従業員に適用するときに万全の準備で臨めるように Sia からのフィードバックを参考にすることができます。セッションセキュリティレベルが MFA に設定されていることを確認してから、Sia の Salesforce ユーザアカウントを作成し、そのアカウントで MFA を有効にします。

ステップ 1: 多要素認証にセッションセキュリティレベルが設定されていることを確認する

まず、多要素認証ログイン方法に適切なセキュリティレベルが関連付けられていることを確認しましょう。  ほとんどの本番組織では、この設定がすでに適用されています。設定されていない場合は、システム管理者ユーザの MFA 要件を設定する前にこのステップを実行することが重要です。実行しないと、自分や他のシステム管理者がログインできなくなります。

  1. [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
  2. [セッションセキュリティレベル] で、多要素認証が [高保証] カテゴリであることを確認します。

ステップ 2: ユーザを作成する

  1. [設定] から、[クイック検索] ボックスに「ユーザ」と入力し、[ユーザ] を選択します。
  2. [新規ユーザ] をクリックします。
  3. 姓と名にそれぞれ「Sia」と「Thripio」と入力します。
  4. [メール] 項目にあなたのメールアドレスを入力します。Sia のユーザ通知を実際に受信するためです。
  5. Sia のユーザ名を作成して [ユーザ名] 項目に入力します。ユーザ名はメールアドレス形式にする必要がありますが、実際のメールアドレスである必要はありません。メールアドレスは必ず Trailhead Playground 内で一意なものにします。ここでは、ユーザ名に Sia の名の頭文字、姓、現在の日付を使用して、SThripio.12202020@jedeye-tech.com とします。
  6. ニックネームの値を編集するか受け入れます。
  7. [ユーザライセンス] で、[Salesforce Platform] を選択します。
  8. [プロファイル] で、[標準 Platform ユーザ] を選択します。この時点で、Salesforce CRM Content のアラートを受信するオプションをオフにしておきます。Salesforce からの不必要なメールで受信箱を乱雑にする必要はありません。
  9. ページのかなり下のほうにある [パスワードをリセットしてユーザに通知する] が選択されていることを確認します。[メール] 項目にあなたのメールアドレスを入力したため、Salesforce から Sia の新規ユーザに関するメールが届きます。
  10. [保存] をクリックします。ユーザを確認して Sia のパスワードを設定するためのリンクが送信されます。
    メモ: そのユーザ名はすでに存在します、というエラーが表示された場合は、別の名前のユーザを作成します。
  11. Sia としてログインし、パスワードをリセットします。

パスワードを設定したら、Sia のユーザアカウントで MFA を有効にします。

ステップ 3: 多要素認証の権限セットを作成する

「ユーザインターフェースログインの多要素認証」ユーザ権限を割り当てて、ユーザの MFA を有効にします。このステップを実行するには、プロファイルを編集するか、特定のユーザに割り当てる権限セットを作成します。

権限セットは、さまざまな Salesforce 機能へのアクセス権をユーザに付与する設定と権限のコレクションです。では、MFA 権限を使用して権限セットを作成しましょう。

  1. Sia としてログインしている場合は、ログアウトします。Trailhead Playground のシステム管理者として再度ログインします。
  2. [設定] から、[クイック検索] ボックスに「権限」と入力し、[権限セット] を選択します。
  3. [新規] をクリックします。
  4. この権限セットに「MFA Authorization for User Logins」 (ユーザログインの MFA 認証) という表示ラベルを付けます。
  5. [保存] をクリックします。
  6. [システム] で、[システム権限] をクリックします。
    「MFA Authorization for User Logins (ユーザログインの MFA 認証)」権限セットの詳細ページが開きます。
  7. [編集] をクリックします。
  8. [ユーザインターフェースログインの多要素認証] を選択します。
  9. [保存] をクリックし、もう一度 [保存] をクリックして権限の変更を確認します。

 もう少しで作業は終了します。あとは権限セットを割り当てるだけです。

ステップ 4: 権限セットを Sia のユーザに割り当てる

今のところは Sia だけに権限セットを割り当てます。後で MFA を広範囲にロールアウトする準備ができたら、同じ権限セットを他のユーザに割り当てることができます。

新しい権限セットの詳細ページが表示されていない場合は、そのページに戻ります。

  1. 新しい権限セットの詳細ページで、[割り当ての管理] をクリックします。
  2. [割り当てを追加] をクリックします。ユーザのリストで、Sia のユーザの横にあるチェックボックスをオンにします。(必要に応じて一度に最大 1,000 人のユーザを割り当てることができます)。
  3. [割り当て] をクリックします。

これで Sia の多要素認証が有効になりました。次回 Sia がログインすると、ユーザ名とパスワード以外の第 2 要素として検証方法の入力を促すメッセージが表示されます。

Sia はどのように検証方法を設定するのでしょうか? 次はそれを見てみましょう。

ユーザが MFA ログインに Salesforce Authenticator を登録する方法

ユーザが少なくとも 1 つの検証方法を取得できるように手助けしないまま多要素認証を義務付けることは、何の前触れもなく天空の都市に送り出すようなもので、賢明ではありません。かといって、冷ややかな目で見られたり投獄されたりすることはないでしょうが、大作映画を鑑賞しながら感動に浸っている最中に問い合わせの電話が殺到するかもしれません。幸いにも、Salesforce ではシステム管理者がユーザを簡単に手助けできます。認証アプリケーションを各自のモバイルデバイスにダウンロードして、Salesforce アカウントに接続するよう指示するだけです。 

ユーザがアプリケーションをすぐにダウンロードしなくても、慌てることはありません。MFA 要件を有効にした後、ユーザが初めてログインしたときに検証方法を登録するように促すメッセージが表示されます。

新入社員の SiaThripio は、高速認証用の便利なプッシュ通知機能を利用できる Salesforce Authenticator モバイルアプリケーションを使用したいと考えています。では、登録とログインのプロセスがどのように機能するかを見てみましょう。あなたの Android または iOS モバイルデバイスを Sia の電話として使用します。ここでは、Salesforce Authenticator アプリケーションをダウンロードして、Sia の Salesforce アカウントに接続します。

次の手順では 2 つのデバイスを頻繁に行ったり来たりすることを予めお知らせしておきます。電話を使用するときは、Salesforce Authenticator アプリケーションで Sia として作業します。デスクトップを使用するときは、Web ブラウザで Trailhead Playground に Sia としてログインして作業します。

  1. 電話: App Store から Salesforce Authenticator for iOS、または Google Play から Salesforce Authenticator for Android をダウンロードしてインストールします。
  2. Salesforce Authenticator のアイコンをタップして開きます。
  3. デスクトップ: Trailhead Playground にシステム管理者としてログインしたままの場合は、ログアウトします。
  4. デスクトップ: Sia のユーザ名とパスワードを入力してログインします。Salesforce のデスクトップログイン画面
  5. デスクトップ: Salesforce に、Salesforce Authenticator を Sia のアカウントに接続するように求めるメッセージが表示されます。
  6. 電話: ツアーを見て、Salesforce Authenticator のしくみを理解します。
  7. 電話: Sia の携帯番号を入力して、Salesforce Authenticator に接続されるアカウントのバックアップを作成します。確認を完了するメッセージが表示されたら、通知をタップします。ここでは、パスコードの作成を省略して構いません。(後々、Sia がアカウントを復元するためのバックアップを設定することにした場合、パスコードを設定できます)。
  8. 矢印をタップして、Sia のアカウントを Salesforce Authenticator に追加します。アプリケーションに 2 語の語句が表示されます。(ところで、詩的な表現や面白いフレーズはありますか? 情報のご提供をお待ちしております。#Trailhead #AwesomePhrase #SalesforceAuthenticator)。
  9. デスクトップ: [2 語の語句] 項目に語句を入力します。Salesforce Authenticator 2 語の語句
  10. デスクトップ: [接続] をクリックします。
  11. 電話: Salesforce Authenticator に、ユーザ名とサービスプロバイダの名前 (この場合は Salesforce) など、Sia のアカウントの詳細が表示されます。Salesforce Authenticator アカウント接続
  12. 電話: [接続] をタップします。
  13. デスクトップ: Sia が Salesforce アカウントにログインしています。これで Sia が業務を開始できます。

これ以降、Sia が Salesforce アカウントにログインすると、電話に通知が送信されます。Sia は Salesforce Authenticator を開いて、アクティビティの詳細を確認します。問題がなければ、[承認] をタップしてログインを完了します。 

では、他の誰かが Sia のユーザ名とパスワードを使ってログインしようとするとどうなると思いますか? Sia に通知が送信され、Salesforce Authenticator にログイン要求を拒否するように指示できます。膨大です!

では、Salesforce Authenticator が追跡するデータを詳しく見てみましょう。

  1. Salesforce Authenticator が検証しているアクション。より厳重なセキュリティを設定している場合は、その他のアクションがここに表示されることもあります。たとえば、ユーザがレコードやダッシュボードにアクセスしようとするときに認証を義務付けることができます。このプロセスは「ステップアップ」認証と呼ばれます。
  2. ログインしようとしているユーザ。
  3. ユーザがアクセスしようとしているサービス。Salesforce の他に、Salesforce Authenticator を LastPass パスワードマネージャや、より強力な認証を義務付けるその他のサービスと共に使用することができます。
  4. ログイン試行が行われているデバイスまたはブラウザ。
  5. 電話の所在地。

Salesforce Authenticator データポイント

認証プロセスの自動化

Sia がいつも同じ場所 (オフィス、自宅、お気に入りの落ち着いたバーなど) からログインしているとします。そのうち電話で [承認] をタップするのにうんざりしてくるかもしれません。Salesforce Authenticator で電話のロケーションサービスを利用できるようにすると、Sia が特定の場所にいるときにはアクティビティを自動検証するようにアプリケーションに指示できます。つまり、何ら問題がない場合は、Sia が電話をポケットから取り出す必要がありません。Salesforce Authenticator は MFA 要件を自動的に処理できます。

実際に試してみましょう。

  1. デスクトップ: Sia のアカウントからログアウトしてから、再び Sia としてログインします。
  2. 電話: 応答画面で [この場所では常に承認] を選択します。
  3. デスクトップ: Sia のアカウントからログアウトしてから、再びログインします。成功です。パスワードを求められません。Salesforce Authenticator は、Sia が同じデバイスを使用して同じ場所から再び Salesforce アカウントにログインしようとしていることを認識します。そして、アクセス権が自動的に付与されます。

Sia は、異なる場所からログインするたびに、その場所を Salesforce Authenticator の信頼できる場所のリストに追加できます。このリストやその他のアカウントの詳細を表示するには、アカウント詳細ページを開く情報アイコンを選択します。

Salseforce Authenticator アカウント情報

アカウント詳細ページには、信頼できる場所およびログイン活動履歴が表示されます。[検証済みの活動] には、Salesforce Authenticator が Sia の Salesforce へのログインを検証した回数が表示されます。[自動化] には、Sia が信頼できる場所から Salesforce Authenticator によって自動的にログインした回数が表示されます。

Salesforce Authenticator アカウント詳細

Sia が場所を信頼しなくなった場合はどうすればよいでしょうか。簡単です。左にスワイプするだけです。すべての信頼できる場所を同時にクリアするには、Salesforce Authenticator 設定アイコン を選択して [信頼できる場所をクリアする] をタップします。

データ接続が切断された場合などに自動検証が機能しないことがあります。これは問題ありません。その場合は、Salesforce Authenticator に表示される TOTP コードを入力するだけです。

信頼できる IP アドレス (社内ネットワークなど) のみにユーザの自動検証を制限したいですか? または自動検証を完全に拒否しますか? その場合は、システム管理者としてログインし、組織の [セッションの設定] に移動して、許可する内容を変更します。

場所に基づく自動検証を制御する [セッションの設定]

Sia が携帯電話を紛失した場合は?

良い質問です。ご存知のとおり、ユーザは酔いつぶれたり、砂漠の惑星に置き去りにされたり、携帯電話を失くしたりするものです。こんなことは日常茶飯事です。Sia が携帯電話を紛失して新しい電話を入手した場合や、誤って Salesforce Authenticator を削除してしまった場合、いくつかの選択肢があります。作成してあるバックアップからアカウントを復元するか、Salesforce Authenticator からアカウントを切断してからアプリケーションを再登録することができます。

Sia が Salesforce Authenticator アプリケーションでアカウントのバックアップを有効化していれば、まったく問題ありません。必要なのは、新しい携帯電話に Salesforce Authenticator を再インストールすることだけです。アプリケーションを開くと、バックアップからアカウントを復元するためのオプションが表示されます。アカウントをバックアップしたときに使用したパスコードを入力すると、携帯電話にアカウントが再表示されます。

アカウントをバックアップしていなかった場合はどうすればよいでしょうか? システム管理者が次の操作を実行できます。

  1. システム管理者としてログインします。
  2. [設定] から、[クイック検索] ボックスに「ユーザ」と入力し、[ユーザ] を選択します。
  3. Sia の名前をクリックします。
  4. Sia のユーザの詳細ページで、[アプリケーション登録: Salesforce Authenticator] の横にある [切断] をクリックします。

Sia が次にログインしたときに他の検証方法が接続されていない場合、Salesforce Authenticator に再度接続するように促すメッセージが表示されます。


メモ

メモ

SalesforceAuthenticator アプリケーションをアンインストールするには、まず Sia のユーザ詳細から MFA 権限セットを削除してください。そうしないと、後続の単元で Sia としてログインできません。

組織にログインしたユーザの監視

システム管理者の重要な職務の 1 つは、組織に誰がログインしているかを把握することです。ID 検証履歴はそのための機能です。
  1. Trailhead Playground のシステム管理者としてログインします。
  2. [設定] から、[クイック検索] ボックスに「検証」と入力し、[ID 検証履歴] を選択します。

[場所] 列を確認します。デフォルトではユーザの国に設定されていますが、カスタムビューを作成することで詳細を取得できます。

おめでとうございます。ユーザの MFA をいかに簡単に有効にできるかを見てきました。代替の検証方法として、U2F 互換のセキュリティキーを有効にするなど、MFA 実装の他のオプションを検討することをお勧めします。ユーザがモバイルデバイスを持っていない場合、または携帯電話の使用が敷地内で許可されていない場合、セキュリティキーは優れたオプションです。   「[私のドメイン] を使用したログインプロセスのカスタマイズ」という次の単元では、ログインプロセスをさらに細かく制御する方法について学習します。