ユーザ ID のセキュリティ保護
学習の目的
- ユーザーに多要素認証を設定する。
- MFA ログインに Salesforce Authenticator アプリケーションを使用する。
- 組織にログインするユーザーに関するログイン情報を取得する。
多要素認証と Salesforce Authenticator を使用したアカウントアクセスの保護
多要素認証とは?
2 要素認証 (2 FA) という用語のほうをよくご存じかもしれません。心配いりません。2 FA は MFA の一種ですが、実質的に同じことを指しています。
では、多要素とはいったい何でしょうか? ユーザーがログインするときに本人確認のために提示する異なる種類の証拠です。
- 1 つの要素はユーザーが知っている情報です。Salesforce ログインの場合は、ユーザー名とパスワードの組み合わせがそれに該当します。
- 他の要素は、認証アプリケーションがインストールされているモバイルデバイスや物理的なセキュリティキーなど、ユーザーが所有している検証方法です。

多要素認証という名前は知らなくても、すでに使用したことがあるのではないかと思います。ATM から現金を引き出すたびに、自分が所有しているもの (キャッシュカード) と自分が知っていること (暗号番号) の組み合わせを使用しています。
ユーザー名とパスワードに加えて別の要素を要求することで、組織に重要なセキュリティレイヤーがさらに追加されます。ユーザーのパスワードが盗まれた場合でも、ユーザーが物理的に所有する要素を攻撃者が推測したり偽装したりする可能性はかなり低くなります。
納得ですよね? では、その方法を見ていきましょう。
多要素認証のしくみ
MFA では、Salesforce ログインプロセスにステップが追加されます。
- ユーザーは通常どおりユーザー名とパスワードを入力します。
- ユーザーは Salesforce でサポートされる検証方法の 1 つを入力するよう要求されます。
次の検証方法のいずれか、またはすべてを許可できます。
Salesforce Authenticator |
お客様のログインプロセスにシームレスに統合される無料のモバイルアプリケーション。ユーザーはプッシュ通知で ID をすばやく検証できます。このアプリケーションについては後ほど詳しく説明します。 |
サードパーティの TOTP 認証アプリケーション |
促されたときにユーザーが入力する一意の仮の確認コードを生成するアプリケーション。このコードは、「時間ベースのワンタイムパスワード」 (TOTP) と呼ばれることもあります。ユーザーは Google Authenticator、Microsoft Authenticator、Authy を含むさまざまなオプションから選ぶことができます。 |
セキュリティキー |
サムドライブに似た小型の物理トークン。このオプションを使用したログインは迅速かつ簡単です。ユーザーがキーをコンピューターに接続し、キーのボタンを押すだけで ID を検証できます。ユーザーは FIDO Universal Second Factor (U2F) 標準 (Yubico の YubiKey や Google の Titan セキュリティキーなど) と互換性のある任意のキーを使用できます。 |
ユーザーが多要素認証の入力を促される状況
セキュリティをさらに強化するために、次のような MFA 要件を追加できます。
- ユーザーが接続アプリケーション、ダッシュボード、またはレポートにアクセスするときに表示する。このプロセスをステップアップ認証または高保証認証といいます。
- カスタムログインフローの実行中またはカスタムアプリケーション内に表示する (使用許諾契約を読む前など)。このトピックについてはトレイルの後続の単元で詳しく説明します。
ログインごとの多要素認証の設定
まずは、Jedeye Technologies の新入社員である Sia Thripio の MFA を有効にすることから始めましょう。Jedeye の全従業員に適用するときに万全の準備で臨めるように Sia からのフィードバックを参考にすることができます。セッションセキュリティレベルが MFA に設定されていることを確認してから、Sia の Salesforce ユーザーアカウントを作成し、そのアカウントで MFA を有効にします。
一緒にトレイルを進みましょう
エキスパートと一緒にこの手順を進めますか? 次の動画をご覧ください。これは「Trail Together」(一緒にトレイル) シリーズの一部です。
ステップ 1: 多要素認証にセッションセキュリティレベルが設定されていることを確認する
まず、多要素認証ログイン方法に適切なセキュリティレベルが関連付けられていることを確認しましょう。 ほとんどの本番組織では、この設定がすでに適用されています。設定されていない場合は、システム管理者ユーザーの MFA 要件を設定する前にこのステップを実行することが重要です。実行しないと、自分や他のシステム管理者がログインできなくなります。
- [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
- [セッションセキュリティレベル] で、多要素認証が [高保証] カテゴリであることを確認します。
ステップ 2: ユーザーを作成する
- [設定] から、[クイック検索] ボックスに「ユーザー」と入力し、[ユーザー] を選択します。
- [新規ユーザー] をクリックします。
- 姓と名にそれぞれ「Sia」と「Thripio」と入力します。
- [メール] 項目にあなたのメールアドレスを入力します。Sia のユーザー通知を実際に受信するためです。
- Sia のユーザー名を作成して [ユーザー名] 項目に入力します。ユーザー名はメールアドレス形式にする必要がありますが、実際のメールアドレスである必要はありません。メールアドレスは必ず Trailhead Playground 内で一意なものにします。このユーザー名は、後で Sia としてログインする際に入力することになるため、短くて覚えやすいものにすることをお勧めします。たとえば、Sia の名の頭文字、姓、現在の日付を使用して、SThripio.12202020@trailhead.com のようにします。
- ニックネームの値を編集するか受け入れます。
- [ユーザーライセンス] で、[Salesforce Platform] を選択します。
- [プロファイル] で、[標準 Platform ユーザー] を選択します。この時点で、Salesforce CRM Content のアラートを受信するオプションをオフにしておきます。Salesforce からの不必要なメールで受信箱を乱雑にする必要はありません。
- ページのかなり下のほうにある [パスワードをリセットしてユーザーに通知する] が選択されていることを確認します。[メール] 項目にあなたのメールアドレスを入力したため、Salesforce から Sia の新規ユーザーに関するメールが届きます。
-
[保存] をクリックします。ユーザーを確認して Sia のパスワードを設定するためのリンクが送信されます。
メモ: そのユーザー名はすでに存在します、というエラーが表示された場合は、別の名前のユーザーを作成します。 - Sia としてログインし、パスワードをリセットします。
パスワードを設定したら、Sia のユーザーアカウントで MFA を有効にします。
ステップ 3: 多要素認証の権限セットを作成する
「ユーザーインターフェースログインの多要素認証」ユーザー権限を割り当てて、ユーザーの MFA を有効にします。このステップを実行するには、プロファイルを編集するか、特定のユーザーに割り当てる権限セットを作成します。
権限セットは、さまざまな Salesforce 機能へのアクセス権をユーザーに付与する設定と権限のコレクションです。では、MFA 権限を使用して権限セットを作成しましょう。
- Sia としてログインしている場合は、ログアウトします。Trailhead Playground のシステム管理者として再度ログインします。
- [設定] から、[クイック検索] ボックスに「権限」と入力し、[権限セット] を選択します。
- [新規] をクリックします。
- この権限セットに「MFA Authorization for User Logins」 (ユーザーログインの MFA 認証) という表示ラベルを付けます。
- [保存] をクリックします。
- [システム] で、[システム権限] をクリックします。
「MFA Authorization for User Logins (ユーザーログインの MFA 認証)」権限セットの詳細ページが開きます。
- [編集] をクリックします。
-
[ユーザーインターフェースログインの多要素認証] を選択します。
- [保存] をクリックし、もう一度 [保存] をクリックして権限の変更を確認します。
もう少しで作業は終了します。あとは権限セットを割り当てるだけです。
ステップ 4: 権限セットを Sia のユーザーに割り当てる
今のところは Sia だけに権限セットを割り当てます。後で MFA を広範囲にロールアウトする準備ができたら、同じ権限セットを他のユーザーに割り当てることができます。
新しい権限セットの詳細ページが表示されていない場合は、そのページに戻ります。
- 新しい権限セットの詳細ページで、[割り当ての管理] をクリックします。
- [割り当てを追加] をクリックします。ユーザーのリストで、Sia のユーザーの横にあるチェックボックスをオンにします。(必要に応じて一度に最大 1,000 人のユーザーを割り当てることができます)。
- [割り当て] をクリックします。
これで Sia の多要素認証が有効になりました。次回 Sia がログインすると、ユーザー名とパスワード以外の第 2 要素として検証方法の入力を促すメッセージが表示されます。
Sia はどのように検証方法を設定するのでしょうか? 次はそれを見てみましょう。
ユーザーが MFA ログインに Salesforce Authenticator を登録する方法
ユーザーが少なくとも 1 つの検証方法を取得できるように手助けしないまま多要素認証を義務付けることは、何の前触れもなく天空の都市に送り出すようなもので、賢明ではありません。かといって、冷ややかな目で見られたり投獄されたりすることはないでしょうが、大作映画を鑑賞しながら感動に浸っている最中に問い合わせの電話が殺到するかもしれません。幸いにも、Salesforce ではシステム管理者がユーザーを簡単に手助けできます。認証アプリケーションを各自のモバイルデバイスにダウンロードして、Salesforce アカウントに接続するよう指示するだけです。
ユーザーがアプリケーションをすぐにダウンロードしなくても、慌てることはありません。MFA 要件を有効にした後、ユーザーが初めてログインしたときに検証方法を登録するように促すメッセージが表示されます。
新入社員の SiaThripio は、高速認証用の便利なプッシュ通知機能を利用できる Salesforce Authenticator モバイルアプリケーションを使用したいと考えています。では、登録とログインのプロセスがどのように機能するかを見てみましょう。あなたの Android または iOS モバイルデバイスを Sia の電話として使用します。ここでは、Salesforce Authenticator アプリケーションをダウンロードして、Sia の Salesforce アカウントに接続します。
次の手順では 2 つのデバイスを頻繁に行ったり来たりすることを予めお知らせしておきます。電話を使用するときは、Salesforce Authenticator アプリケーションで Sia として作業します。デスクトップを使用するときは、Web ブラウザーで Trailhead Playground に Sia としてログインして作業します。
- 電話: App Store から Salesforce Authenticator for iOS、または Google Play から Salesforce Authenticator for Android をダウンロードしてインストールします。
- Salesforce Authenticator のアイコンをタップして開きます。
- デスクトップ: Trailhead Playground にシステム管理者としてログインしたままの場合は、ログアウトします。
- デスクトップ: Sia のユーザー名とパスワードを入力してログインします。
- デスクトップ: Salesforce に、Salesforce Authenticator を Sia のアカウントに接続するように求めるメッセージが表示されます。
- 電話: ツアーを見て、Salesforce Authenticator のしくみを理解します。
- 電話: Sia の携帯番号を入力して、Salesforce Authenticator に接続されるアカウントのバックアップを作成します。確認を完了するメッセージが表示されたら、通知をタップします。ここでは、パスコードの作成を省略して構いません。(後々、Sia がアカウントを復元するためのバックアップを設定することにした場合、パスコードを設定できます)。
- 矢印をタップして、Sia のアカウントを Salesforce Authenticator に追加します。アプリケーションに 2 語の語句が表示されます。(ところで、詩的な表現や面白いフレーズはありますか? 情報のご提供をお待ちしております。#Trailhead #AwesomePhrase #SalesforceAuthenticator)。
- デスクトップ: [2 語の語句] 項目に語句を入力します。
- デスクトップ: [接続] をクリックします。
- 電話: Salesforce Authenticator に、ユーザー名とサービスプロバイダーの名前 (この場合は Salesforce) など、Sia のアカウントの詳細が表示されます。
- 電話: [接続] をタップします。
- デスクトップ: Sia が Salesforce アカウントにログインしています。これで Sia が業務を開始できます。
これ以降、Sia が Salesforce アカウントにログインすると、電話に通知が送信されます。Sia は Salesforce Authenticator を開いて、アクティビティの詳細を確認します。問題がなければ、[承認] をタップしてログインを完了します。
では、他の誰かが Sia のユーザー名とパスワードを使ってログインしようとするとどうなると思いますか? Sia に通知が送信され、Salesforce Authenticator にログイン要求を拒否するように指示できます。膨大です!
では、Salesforce Authenticator が追跡するデータを詳しく見てみましょう。
- Salesforce Authenticator が検証しているアクション。より厳重なセキュリティを設定している場合は、その他のアクションがここに表示されることもあります。たとえば、ユーザーがレコードやダッシュボードにアクセスしようとするときに認証を義務付けることができます。このプロセスは「ステップアップ」認証と呼ばれます。
- ログインしようとしているユーザー。
- ユーザーがアクセスしようとしているサービス。Salesforce の他に、Salesforce Authenticator を LastPass パスワードマネージャーや、より強力な認証を義務付けるその他のサービスと共に使用することができます。
- ログイン試行が行われているデバイスまたはブラウザー。
- 電話の所在地。
認証プロセスの自動化
Sia がいつも同じ場所 (オフィス、自宅、お気に入りの落ち着いたバーなど) からログインしているとします。そのうち電話で [承認] をタップするのにうんざりしてくるかもしれません。Salesforce Authenticator で電話のロケーションサービスを利用できるようにすると、Sia が特定の場所にいるときにはアクティビティを自動検証するようにアプリケーションに指示できます。つまり、何ら問題がない場合は、Sia が電話をポケットから取り出す必要がありません。Salesforce Authenticator は MFA 要件を自動的に処理できます。
実際に試してみましょう。
- デスクトップ: Sia のアカウントからログアウトしてから、再び Sia としてログインします。
- 電話: 応答画面で [この場所では常に承認] を選択します。
- デスクトップ: Sia のアカウントからログアウトしてから、再びログインします。成功です。承認は求められません。Salesforce Authenticator は、Sia が同じデバイスを使用して同じ場所から再び Salesforce アカウントにログインしようとしていることを認識します。そして、アクセス権が自動的に付与されます。
Sia は、異なる場所からログインするたびに、その場所を Salesforce Authenticator の信頼できる場所のリストに追加できます。このリストやその他のアカウントの詳細を表示するには、アカウント詳細ページを開く情報アイコンを選択します。
アカウント詳細ページには、信頼できる場所およびログイン活動履歴が表示されます。[検証済みの活動] には、Salesforce Authenticator が Sia の Salesforce へのログインを検証した回数が表示されます。[自動化] には、Sia が信頼できる場所から Salesforce Authenticator によって自動的にログインした回数が表示されます。
Sia が場所を信頼しなくなった場合はどうすればよいでしょうか。簡単です。左にスワイプするだけです。すべての信頼できる場所を同時にクリアするには、 を選択して [信頼できる場所をクリアする] をタップします。
データ接続が切断された場合などに自動検証が機能しないことがあります。これは問題ありません。その場合は、Salesforce Authenticator に表示される TOTP コードを入力するだけです。
信頼できる IP アドレス (社内ネットワークなど) のみにユーザーの自動検証を制限したいですか? または自動検証を完全に拒否しますか? その場合は、システム管理者としてログインし、組織の [セッションの設定] に移動して、許可する内容を変更します。
Sia が携帯電話を紛失した場合は?
良い質問です。ご存知のとおり、ユーザーは酔いつぶれたり、砂漠の惑星に置き去りにされたり、携帯電話を失くしたりするものです。こんなことは日常茶飯事です。Sia が携帯電話を紛失して新しい電話を入手した場合や、誤って Salesforce Authenticator を削除してしまった場合、いくつかの選択肢があります。作成してあるバックアップからアカウントを復元するか、Salesforce Authenticator からアカウントを切断してからアプリケーションを再登録することができます。
Sia が Salesforce Authenticator アプリケーションでアカウントのバックアップを有効化していれば、まったく問題ありません。必要なのは、新しい携帯電話に Salesforce Authenticator を再インストールすることだけです。アプリケーションを開くと、バックアップからアカウントを復元するためのオプションが表示されます。アカウントをバックアップしたときに使用したパスコードを入力すると、携帯電話にアカウントが再表示されます。
アカウントをバックアップしていなかった場合はどうすればよいでしょうか? システム管理者が次の操作を実行できます。
- システム管理者としてログインします。
- [設定] から、[クイック検索] ボックスに「ユーザー」と入力し、[ユーザー] を選択します。
- Sia の名前をクリックします。
- Sia のユーザーの詳細ページで、[アプリケーション登録: Salesforce Authenticator] の横にある [切断] をクリックします。
Sia が次にログインしたときに他の検証方法が接続されていない場合、Salesforce Authenticator に再度接続するように促すメッセージが表示されます。
組織にログインしたユーザーの監視
- Trailhead Playground のシステム管理者としてログインします。
- [設定] から、[クイック検索] ボックスに「検証」と入力し、[ID 検証履歴] を選択します。
[場所] 列を確認します。デフォルトではユーザーの国に設定されていますが、カスタムビューを作成することで詳細を取得できます。
おめでとうございます。ユーザーの MFA をいかに簡単に有効にできるかを見てきました。代替の検証方法として、U2F 互換のセキュリティキーを有効にするなど、MFA 実装の他のオプションを検討することをお勧めします。ユーザーがモバイルデバイスを持っていない場合、または携帯電話の使用が敷地内で許可されていない場合、セキュリティキーは優れたオプションです。 「[私のドメイン] を使用したログインプロセスのカスタマイズ」という次の単元では、ログインプロセスをさらに細かく制御する方法について学習します。
リソース
- Salesforce ヘルプ: Salesforce Authenticator
- Salesforce ヘルプ: Salesforce Authenticator (バージョン 2 および 3) の要件
- Salesforce ヘルプ: ID 検証のためのアカウントへの Salesforce Authenticator (バージョン 3 以降) の接続
- Salesforce ヘルプ: ワンタイムパスワードジェネレータアプリケーションまたはデバイスによる ID の検証
- Salesforce ヘルプ: カスタムログインフロー
- Salesforce ヘルプ: Monitor Identity Verification History (ID 検証履歴の監視)
- Salesforce ヘルプ: Salesforce Authenticator モバイルアプリケーションでの接続済みアカウントのバックアップ作成