進行状況の追跡を始めよう
Trailhead のホーム
Trailhead のホーム

ユーザ ID のセキュリティ保護

学習の目的

このモジュールを完了すると、次のことができるようになります。
  • ユーザ名とパスワード以外の要素も使用してユーザを識別する方法を説明する。
  • 2 要素認証を設定する。
  • Salesforce Authenticator アプリケーションを使用して ID を検証する。
  • 組織にログインするユーザに関するログイン情報を取得する。

2 要素認証と Salesforce Authenticator を使用した ID のセキュリティ保護

システム管理者として、Salesforce 組織の安全を確保することと、ユーザが迅速かつ簡単にログインできるようにすることのバランスに苦慮しているのではないでしょうか。組織と組織内のデータを保護する最も効果的な方法は、ユーザにユーザ名とパスワード以上の情報を提供するよう求めることです。セキュリティ専門家は、この方法を 2 要素認証 (2FA) と呼んでいます。
メモ

メモ

この単元のタスクを完了するためには、Android または iOS を実行するモバイルデバイスが必要です。

2 要素認証とは?

数学の方程式か何かのように聞こえますよね? 数学が得意であっても苦手であっても、2FA は高校の代数と何の関係もありません。ユーザが本人が述べる人物であることを確認するための機能です。

2 要素とは次の 2 種類の情報です。

  • ユーザが知っていること (本人のパスワードなど)
  • ユーザが所有しているもの (認証アプリケーションがインストールされたモバイルデバイスなど)
2 要素認証、ユーザが知っていることとユーザが所有しているもの

認証に 2 つ目の要素を追加することで組織のセキュリティを強化します。

システム管理者は、ユーザがログインするときに毎回この 2 要素認証を義務付けることができます。あるいは、認識されないデバイスからログインするときや、高リスクのアプリケーションにアクセスしようとするときなど、一定の状況でのみ義務付けることもできます。ユーザは、両方の認証要素を使用して正常に ID を検証した後、Salesforce にアクセスして作業を開始できます。

納得ですよね? では、その方法を見ていきましょう。

2 要素認証のしくみ

2 要素認証という名前は知らなくても、すでに使用したことがあるのではないかと思います。ATM から現金を引き出すたびに、自分が所有しているもの (キャッシュカード) と自分が知っていること (暗号番号) の組み合わせを使用しています。また、おそらく携帯電話にも認証アプリケーションが搭載されています。たとえば、何らかのオンラインアカウントにログインするときにアプリケーションから取得した確認コードを入力します。この一意のコードは、一定の時間を経過すると失効するため、時間ベースのワンタイムパスワード (TOTP) ともいわれます。Salesforce や Google など数社のベンダは、こうした時間制限型のコードを生成するアプリケーションを提供しています。

耳寄り情報: 再設計された Salesforce Authenticator モバイルアプリケーション (バージョン 2 以上) を使用している場合は、コードを使わずに ID を検証できます。この画期的な開発についても後ほど説明します。

次の動画では、Salesforce Authenticator で 2 要素認証を使用して Salesforce 組織を保護する方法について説明しています。

ユーザが 2 要素認証の入力を促される状況

ユーザが 2 要素認証の入力を促される状況はさまざまです。
  • ユーザが Salesforce にログインするときに毎回表示する (API ログインを含む)。
  • ユーザが接続アプリケーション、ダッシュボード、レポートにアクセスするときに表示する。このプロセスをステップアップ認証または高保証認証といいます。
  • カスタムログインフローの実行中またはカスタムアプリケーション内に表示する (使用許諾契約を読む前など)。このトピックについてはトレイルの後続の単元で詳しく説明します。

ログインごとの 2 要素認証の設定

2 要素認証の基本を理解したところで、この認証を簡単に設定できることを見ていきましょう。

あなたが Jedeye Technologies の Salesforce システム管理者であるとします (けれども、この会社は銀河系の果てにあるわけではありません)。最高セキュリティ責任者から、「全従業員を対象に、会社の Salesforce 組織にアクセスするときに毎回ユーザ名とパスワード以外の情報も入力させる」という使命を言い渡されました。

ここでは説明を簡潔にするために、Jedeye Technologies の新入社員である Sia Thripio の 2 要素認証を設定することにします。実際には、既存のユーザにも、新規のユーザにも、ユーザプロファイルごとにも 2 要素認証 (2FA) を設定できます。まず、2FA 用に適切なセッションセキュリティレベルを設定し、Sia の Salesforce アカウントを作成してから、2FA を設定します。

ステップ 1: 2 要素認証のセッションセキュリティレベルを設定する

まず、2 要素認証ログイン方法に適切なセキュリティレベルが関連付けられていることを確認しましょう。システム管理者ユーザの 2FA 要件を設定する前にこのステップを実行することが重要です。実行しないと、自分や他のシステム管理者がログインできなくなります。

  1. [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
  2. [セッションセキュリティレベル] で、2 要素認証が [高保証] カテゴリであることを確認します。

ステップ 2: 従業員のアカウントを作成する

  1. [設定] から、[クイック検索] ボックスに「ユーザ」と入力し、[ユーザ] を選択します。
  2. [新規ユーザ] をクリックします。
  3. 姓と名にそれぞれ「Sia」「Thripio」と入力します。
  4. [メール] 項目にあなたのメールアドレスを入力します。Sia のアカウント通知を実際に受信するためです。
  5. Sia のユーザ名を作成して [ユーザ名] 項目に入力します。ユーザ名はメールアドレス形式にする必要がありますが、実際のメールアドレスである必要はありません。ここでは sthripio@jedeye-tech.com を使用します。
  6. ニックネームの値を編集するか受け入れます。
  7. [ユーザライセンス] で、[Salesforce Platform] を選択します。
  8. [プロファイル] で、[標準 Platform ユーザ] を選択します。この時点で、Salesforce CRM Content のアラートを受信するオプションをオフにしておきます。Salesforce からの不必要なメールで受信箱を乱雑にする必要はありません。
  9. ページのかなり下のほうにある [パスワードをリセットしてユーザに通知する] が選択されていることを確認します。[メール] 項目にあなたのメールアドレスを入力したため、Salesforce から Sia の新規アカウントに関するメールが届きます。
  10. [保存] をクリックします。アカウントを確認して Sia のパスワードを設定するためのリンクが送信されます。
    メモ

    メモ

    そのユーザ名はすでに存在します、というエラーが表示された場合は、別の名前のユーザを作成します。

  11. Sia としてログインし、パスワードをリセットします。

パスワードを設定したら、Sia のユーザアカウントに割り当てる権限セットを作成します。

ステップ 3: 2 要素認証の権限セットを作成する

権限セットとは、Salesforce のさまざまな機能へのアクセス権をユーザに付与する設定や権限のコレクションです。通常は、ユーザのグループに対して権限セットを作成します。けれども、この例では Sia 用の権限セットを設定します。

  1. Sia としてログインしている場合は、ログアウトします。DE 組織のシステム管理者として再度ログインします。
  2. [設定] から、[クイック検索] ボックスに「権限」と入力し、[権限セット] を選択します。
  3. [新規] をクリックします。
  4. この権限に「2fa Auth for User Logins」(ユーザログインの 2 要素認証) という表示ラベルを付けます。
  5. [保存] をクリックします。
  6. [システム] で、[システム権限] をクリックします。「2fa Auth for User Logins」権限セットの詳細ページが開きます。
  7. [編集] をクリックします。
  8. [ユーザインターフェースログインの 2 要素認証] を選択します。
  9. [保存] をクリックします。

もう少しで作業は終了します。あとは権限セットを割り当てるだけです。

ステップ 4: 権限セットを Sia のアカウントに割り当てる

新しい権限セットの詳細ページが表示されていない場合は、そのページに戻ります。

  1. 新しい権限セットの詳細ページで、[割り当ての管理] をクリックします。
  2. [割り当てを追加] をクリックします。ユーザのリストで、Sia のアカウントの横にあるチェックボックスをオンにします(必要に応じて一度に最大 1,000 人のユーザを割り当てることができます)。
  3. [割り当て] をクリックします。

成功です。Sia の 2 要素認証が設定されました。Sia がログインすると、ユーザ名とパスワード以外の 2 つ目の認証要素の入力を促すメッセージが表示されます。

ところで、Sia は何を 2 つ目の要素に使用するのでしょうか? Sia はログインする前に、アプリケーションを取得して、自身の Salesforce ユーザアカウントに接続する必要があります。

Salesforce Authenticator モバイルアプリケーションのユーザアカウントへの接続

ユーザが 2 つ目の要素を取得できるように手助けしないまま 2 要素認証を義務付けることは、何の前触れもなく天空の都市に送り出すようなもので、賢明ではありません。かといって、冷ややかな目で見られたり投獄されたりすることはないでしょうが、大作映画を鑑賞しながら感動に浸っている最中に問い合わせの電話が殺到するかもしれません。幸いにも、Salesforce ではシステム管理者がユーザを簡単に手助けできます。無料の Salesforce Authenticator アプリケーションを各自のモバイルデバイスにダウンロードして、Salesforce アカウントに接続するよう指示するだけです。

ユーザがアプリケーションをすぐにダウンロードしなくても、慌てることはありません。2 要素認証を義務付けるように設定した後、ユーザが初めてログインしたときにアプリケーションをダウンロードするように促すメッセージが表示されます。

新入社員の Sia Thripio の例でこのアプリケーションを確認していきましょう。あなたの Android または iOS モバイルデバイスを Sia の電話として使用します。ここでは、Salesforce Authenticator アプリケーションをダウンロードして、Sia のアカウントに接続します。

次の手順では 2 つのデバイスを頻繁に行ったり来たりすることを予めお知らせしておきます。電話を使用するときは、Salesforce Authenticator アプリケーションで Sia として作業します。デスクトップを使用するときは、Web ブラウザで Salesforce DE 組織に Sia としてログインして作業します。

  1. 電話: App Store から Salesforce Authenticator for iOS、または Google Play から Salesforce Authenticator for Android をダウンロードしてインストールします。
  2. Salesforce Authenticator のアイコンをタップして開きます。
  3. デスクトップ: DE 組織にシステム管理者としてログインしたままの場合は、ログアウトします。
  4. デスクトップ: Sia のユーザ名とパスワードを入力してログインします。

    Salesforce のデスクトップログイン画面

  5. デスクトップ: Salesforce に、Salesforce Authenticator を Sia のアカウントに接続するように求めるメッセージが表示されます。
  6. 電話: ツアーを見て、Salesforce Authenticator のしくみを理解します。
  7. 電話: Sia の携帯番号を入力して、アカウントのバックアップを作成します。確認を完了するメッセージが表示されたら、通知をタップします。ここでは、パスコードの作成を省略して構いません(後々、Sia がアカウントを復元するためのバックアップを設定することにした場合、パスコードを設定できます)。
  8. 矢印をタップして、Sia のアカウントを Salesforce Authenticator に追加します。アプリケーションに 2 語の語句が表示されます(ところで、詩的な表現や面白いフレーズはありますか? 情報のご提供をお待ちしております。#Trailhead #AwesomePhrase #SalesforceAuthenticator)。
  9. デスクトップ: [2 語の語句] 項目に語句を入力します。

  10. デスクトップ: [接続] をクリックします。
  11. 電話: Salesforce Authenticator に、Sia のユーザ名とサービスプロバイダの名前 (この場合は Salesforce) など、接続しているアカウントの詳細が表示されます。

  12. 電話: [接続] をタップします。
  13. 電話: [承認] をタップして、Sia としての Salesforce へのログインを終了します。
  14. デスクトップ: Sia がログインされました。これで Sia が業務を開始できます。

これ以降、誰かが Sia のアカウントにログインすると、電話に通知が送信されます。Sia はアプリケーションを開いて、アクティビティの詳細を確認します。特に問題がなければ、電話で [承認] をタップします。送信されたアクティビティに心当たりがない場合は、[拒否] をタップしてブロックします。

では、Salesforce Authenticator が追跡するデータを詳しく見てみましょう。

  1. Salesforce Authenticator が検証しているアクション。より厳重なセキュリティを設定している場合は、その他のアクションがここに表示されることもあります。たとえば、ユーザがレコードやダッシュボードにアクセスしようとするときに認証を義務付けることができます。このプロセスは「ステップアップ」認証と呼ばれます。
  2. ログインしようとしているユーザ。
  3. ユーザがアクセスしようとしているサービス。Salesforce Authenticator を LastPass パスワードマネージャや、より強力な認証を義務付けるその他のサービスと共に使用することができます。
  4. ログイン試行が行われているデバイスまたはブラウザ。
  5. 電話の所在地。

認証プロセスの自動化

Sia がいつも同じ場所 (オフィス、自宅、お気に入りの落ち着いたカフェなど) からログインするとします。[承認] をタップする方法が、そのうち時代遅れなものになる可能性があります。Salesforce Authenticator で電話のロケーションサービスを利用できるようにすると、Sia が特定の場所にいるときにはアクティビティを自動検証するようにアプリケーションに指示できます。つまり、何ら問題がない場合は、Sia が電話をポケットから取り出す必要がありません。何も見ることなく 2 要素認証を完了できます。

実際に試してみましょう。

  1. デスクトップ: Sia のアカウントからログアウトしてから、再び Sia としてログインします。
  2. 電話: 応答画面で [この場所では常に承認] を選択します。
  3. デスクトップ: Sia のアカウントからログアウトしてから、再びログインします。成功です。パスワードを求められません。Salesforce Authenticator は、Sia が同じデバイスを使用して同じ場所から再び Salesforce アカウントにログインしようとしていることを認識します。そして、アクセス権が自動的に付与されます。

Sia は、異なる場所からログインするたびに、その場所を Salesforce Authenticator の信頼できる場所のリストに追加できます。このリストやその他のアカウントの詳細を表示するには、アカウント詳細ページを開く情報アイコンを選択します。

アカウント詳細ページには、信頼できる場所およびログイン活動履歴が表示されます。[検証済みの活動] には、Salesforce Authenticator が Sia の Salesforce へのログインを検証した回数が表示されます。[自動化] には、Sia が信頼できる場所から Salesforce Authenticator によって自動的にログインした回数が表示されます。

Sia が場所を信頼しなくなった場合はどうすればよいでしょうか。簡単です。左にスワイプするだけです。すべての信頼できる場所を同時にクリアするには、選択して [信頼できる場所をクリアする] をタップします。

データ接続が切断された場合などに自動検証が機能しないことがあります。これは問題ありません。その場合は、Salesforce Authenticator に表示されるコードを入力するだけです。

信頼できる IP アドレス (社内ネットワークなど) のみにユーザの自動検証を制限したいですか? または自動検証を完全に拒否しますか? その場合は、システム管理者としてログインし、組織の [セッションの設定] に移動して、許可する内容を変更します。

Sia が携帯電話を紛失した場合は?

良い質問です。ご存知のとおり、ユーザは酔いつぶれたり、砂漠の惑星に置き去りにされたり、携帯電話を失くしたりするものです。こんなことは日常茶飯事です。Sia が携帯電話を紛失して新しい電話を入手した場合や、誤って Salesforce Authenticator を削除してしまった場合、いくつかの選択肢があります。Sia が以前作成したバックアップからアカウントを復元するか、システム管理者が Sia に代わって 2 要素認証をリセットできます。

Sia が Salesforce Authenticator アプリケーションでアカウントのバックアップを有効化していれば、まったく問題ありません。必要なのは、新しい携帯電話に Salesforce Authenticator を再インストールすることだけです。アプリケーションを開くと、バックアップからアカウントを復元するためのオプションが表示されます。アカウントをバックアップしたときに使用したパスコードを入力すると、携帯電話にアカウントが再表示されます。

アカウントをバックアップしていなかった場合はどうすればよいでしょうか? システム管理者が次の操作を実行できます。

  1. システム管理者としてログインします。
  2. [設定] から、[クイック検索] ボックスに「ユーザ」と入力し、[ユーザ] を選択します。
  3. Sia の名前をクリックします。
  4. Sia のユーザの詳細ページで、[アプリケーション登録: Salesforce Authenticator] の横にある [切断] をクリックします。

Sia が次にログインしたときに他の検証方法が接続されていない場合、Salesforce Authenticator に再度接続するように促すメッセージが表示されます。

組織にログインしたユーザの確認

システム管理者の重要な職務の 1 つは、組織に誰がログインしているかを把握することです。ID 検証履歴はそのための機能です。
  1. DE 組織にシステム管理者としてログインします。
  2. [設定] から、[クイック検索] ボックスに「検証」と入力し、[ID 検証履歴] を選択します。

[場所] 列を確認します。デフォルトではユーザの国に設定されていますが、カスタムビューを作成することで詳細を取得できます。

ID 検証履歴

おめでとうございます。2FA を設定し、ユーザが 2FA を使用して Salesforce にログインできるようにできました。2 番目の要素として機能し携帯電話を必要としない U2F セキュリティキーなど、ユーザのために他の 2FA オプションを探すことをお勧めします。「[私のドメイン] を使用したログインプロセスのカスタマイズ」という次の単元では、ログインプロセスをさらに細かく制御する方法について学習します。