Winter '26 の ID 管理の新機能を確認する

学習の目的

この単元を完了すると、次のことができるようになります。

• ヘッドレスユーザー検出を実装して、認証フローでログイン識別子を柔軟に利用できるようにする。
  
• SAML 設定を更新し、トリプル DES を AES 暗号化に置き換えてセキュリティを強化する。
  
• LoginAnomalyEvent データを分析して、不審なログイン試行を検出して対処する。
  
• フローベースの登録ハンドラーを設定して、SSO 時に Apex を使用せずにユーザーをプロビジョニングする。
  
• ID とセッションの設定を調整し、認証を強化して実施しやすくする。
  

ヘッドレスアプリケーションユーザーのログイン方法の選択肢を増やす

ヘッドレスユーザー検出がサポートされ、ユーザーが従来のユーザー名の代わりに、メールアドレス、電話番号、注文番号、ケース番号などの任意の識別子とパスワードを組み合わせてログインできるようになりました。この機能は、Auth.HeadlessUserDiscoveryHandler インターフェースを実装する Apex クラスを利用します。柔軟なログインオプションを用意すれば、開発者が、特に B2C、パートナー、匿名ユーザーなどのシナリオで、ヘッドレスアプリケーションにシームレスでユーザーフレンドリーな認証エクスペリエンスを創出できます。

たとえば、ヘッドレス e コマースアプリケーションで、ユーザーが注文番号を使用してログインできるようにします。ユーザーが認証されるとすぐに注文の詳細が表示されるため、複数の画面を移動する必要がなく、時間が節約され、ユーザーの満足度が向上します。ヘッドレスログインはパスワードのリセットフローにも統合されるため、ユーザーが同じ識別子を使用してログイン情報をリセットできます。この際、Salesforce から検証 OTP が送信され、ユーザーの ID が確認されます。

この機能は、Enterprise Edition、Unlimited Edition、Developer Edition の Lightning Experience と Salesforce Classic に適用されます。開発者がヘッドレスユーザー検出を実装するときは、指定された識別子に基づいてユーザーを特定する Apex ハンドラークラスを作成し、次に Experience Cloud の設定内でそのハンドラーを設定します。ログイン時に、ヘッドレスアプリケーションが login_hint パラメーターで識別子を適切な OAuth エンドポイントに送信します。パスワードのリセット時も同様に、アプリケーションが識別子を services/auth/headless/forgot_password エンドポイントに送信します。

ヘッドレスユーザー検出は設計上、高度にカスタマイズ可能で柔軟な認証フローにすることができます。この点は、外部ユーザーや匿名ユーザーも利用する Customer 360 ソリューションにとって極めて重要です。ログインに複数の識別子を利用できるようにするこの機能によって使いやすさが向上し、処理が円滑になり、アーキテクトが最新のヘッドレスアプリケーションのニーズに応じた認証エクスペリエンスを設計できるようになります。

SAML シングルサインオンでのトリプル DES 暗号化のサポートの終了

SAML シングルサインオン (SSO) のセキュリティが更新され、SAML レスポンスに対するトリプル DES 暗号化アルゴリズムがサポートされなくなりました。この変更は、Salesforce が ID プロバイダー (IdP) とサービスプロバイダー (SP) のいずれかとして機能するすべての設定に影響します。トリプル DES を使用する既存の設定は引き続き機能しますが、将来サービスが中断する可能性を回避するために、AES 128 や AES 256 など安全性の高いアルゴリズムに移行することを強くお勧めします。

今回の更新の理由は、トリプル DES が使用する暗号鍵が安全とみなされなくなったためです。AES 128 や AES 256 は長い鍵を使用するため、攻撃に対する耐性が大幅に向上します。Salesforce を ID プロバイダーとして使用している組織は、システム管理者が接続アプリケーション設定で [Block Encryption Algorithm (暗号化アルゴリズムをブロック)] 設定を確認し、トリプル DES の設定を AES に更新する必要があります。同様に、Salesforce がサービスプロバイダーである場合は、ID プロバイダーと連携して、SAML レスポンスがサポートされているアルゴリズムで暗号化されていることを確認し、必要に応じてアサーション復号化証明書を更新します。

この変更は、すべてのエディションの Lightning Experience と Salesforce Classic に適用されます。これは、すべての SAML インテグレーションに必須のセキュリティの機能強化です。この方法でデータガバナンスとセキュリティのベストプラクティスに確実に準拠し、ユーザー認証の機密データを保護します。AES 暗号化にアップグレードすれば、アーキテクトがセキュアな SSO 設定を維持し、中断を回避し、最新の暗号化標準に準拠できます。

ログイン異常イベントで不審なログインアクティビティを調査する

システム管理者やセキュリティチームは LoginAnomalyEvent を使用して、不審と思われるログイン試行に関する通知を受け取ることができます。例として、普段とは異なる場所や時間帯、デバイスからのログインなどが挙げられます。このイベントのデータはすべて LoginAnomalyEventStore に保存されるため、セキュリティ関連のアクティビティを簡単に確認して分析できます。

LoginAnomalyEvent を使用すれば、アーキテクトやシステム管理者がログインアクティビティの監査や監視機能を強化できます。この結果、チームが潜在的な脅威をプロアクティブに検出し、セキュリティインシデントに速やかに対応し、高度なセキュリティ監視ソリューションを構築できるようになります。こうしたイベントを監視プロセスに統合すれば、ユーザーのアクセスパターンに対する可視性が向上し、ID プロバイダーの潜在的な問題の診断にも役立ち、アクセス管理の実務全般が強化されます。

この更新は、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition の Lightning Experience と Salesforce Classic に適用されます。対象となるのは、Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションを購入したユーザーのみです。

コードを使わずにシングルサインオンの登録ハンドラーを構築する

システム管理者と宣言型開発者が Flow Builder を使用して、クリック操作のみでシングルサインオン (SSO) の登録ハンドラーをすべて設定できるようになりました。多数のユースケースで Apex コードが不要になります。Salesforce または Experience Cloud サイトに SSO の認証プロバイダーを設定する場合、認証プロバイダーの新しいユーザー登録フローテンプレートを使用すれば、登録ハンドラーフローを手早く作成できます。このテンプレートに、サードパーティの ID プロバイダー経由でログインするユーザーを作成または更新する方法が示され、ユーザープロビジョニングを簡単に行う 2 つの呼び出し可能なアクションが設定されています。

• JSON 文字列からユーザーデータを取得: ネストされた複雑な JSON 構造から特定の属性を取り出して、ID プロバイダーから送信された ID トークンやユーザー情報の応答を簡単に解析できるようにします。
  
• ユーザーデータを生成: ID プロバイダーから値が取り込まれていない必須項目にプレースホルダー値を入力して、Salesforce のユーザーレコードを完成させます。
  

フローベースの登録ハンドラーの場合は、実行時に 1 回の割り当てで権限セットを追加または削除するという方法で、ユーザーアクセスを宣言的に管理することができ、Apex で生じる可能性がある混合 DML エラーを回避できます。大規模または高パフォーマンスのシナリオでは引き続き Apex 登録ハンドラーが最も適していますが、大半の組織はフロー登録ハンドラーによって SSO の実装が簡便になり、専門的な開発者リソースへの依存が緩和されます。

SSO を実装するために、Flow Builder で次のことを行うフローを作成します。

• ID プロバイダーからユーザー情報を取得する。
  
• Salesforce で一致するユーザーを検索する。
  
• 必要に応じてユーザーを作成または更新する。
  

最後のステップで、[Setup (設定)] の [Authentication Providers (認証プロバイダー)] ページでフローを登録ハンドラーとして割り当て、新規のユーザーと既存のユーザーの両方でエンドツーエンドの SSO プロセスをテストする。

この機能は、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition の Lightning Experience と Salesforce Classic に適用されます。

拡張された ID およびアクセス管理機能を確認する

ID およびアクセス管理機能が拡張され、認証、セッション管理、セキュリティに対するシステム管理者やアーキテクトのコントロール、柔軟性、使いやすさが向上します。重要な機能強化の 1 つは、JWT ベースのアクセストークンのタイムアウト管理が改善したことです。

JWT トークンのタイムアウト値に設定できる値が最大 12 時間に延長されました。また、このタイムアウトをアプリケーションレベル、プロファイルレベル、組織全体で定義できるようになりました。プロファイルレベルと組織全体の両方のセッション設定が定義されている場合は、プロファイル設定が適用されるため、指定ユーザーとゲストユーザーの両方のセッション期間を的確に管理できます。この機能強化により、JWT ベースの認証を利用するインテグレーションで使いやすさとセキュリティのバランスが改善します。

セッション管理以外にも、ID およびアクセス機能全般で使いやすさとセキュリティの以下の点が向上しています。

• 環境スイッチャーのお気に入り: ユーザーが使用頻度の高い環境をお気に入りとしてマークすれば、すぐさまアクセスできるため、ナビゲーション時間が短縮し、生産性が向上します。
  
• 外部クライアントアプリケーションのフレームワークの機能強化: システム管理者が、画面ロックのタイムアウトなどモバイル固有の機能を設定したり、Android や iOS デバイスのプッシュ通知を有効にしたりすることができます。
  
• 外部クライアントアプリケーションのログイン情報のステージングとローテーション: API エンドポイントを使用してクライアントログイン情報をステージング、ローテーション、削除し、外部アプリケーションのセキュリティを確保します。
  
• アカウント設定フローの改善: 新規ユーザーがパスワードとセキュリティの質問を設定中に何らかの遅延が生じた場合、お知らせメールの受信後 7 日以内であれば設定を再開できるため、サポートの負担が軽減します。
  
• OAuth と SAML の改善: クライアントログイン情報フローの範囲が無効な場合や SAML の InResponseTo 属性の期限が切れた場合に表示されるエラーメッセージが明確になりました。アーキテクトは、シングル設定 SAML フレームワークから複数設定 SAML フレームワークに確実に移行し、SSO のスケーラビリティを向上させる必要があります。
  
• ID 検証の更新: 新しい組織ではデフォルトで、使用可能なすべての検証方法が表示されるため、ユーザーが好みの認証方法を簡単に選択できます。パスワードのリセットについても、[Use Your Email Address (メールアドレスを使用)] オプションが新設され、手続きがしやすくなりました。また、秘密の質問に 5 文字以上の回答が必要になりました。
  
• ユーザー名の検証: ユーザー名にゼロ幅のスペース文字を含めることができないため、不可視の文字に起因する混乱が軽減されます。
  

上記の機能強化を組み合わせれば、アーキテクトやシステム管理者が、Salesforce や接続アプリケーション全体の管理とコンプライアンスを容易にしつつ、認証とアクセス面で安全かつ効率的でユーザーフレンドリーなエクスペリエンスを設計できます。

この機能は、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition の Lightning Experience と Salesforce Classic に適用されます。

まとめ

ID 管理の最新の更新により、アーキテクト、システム管理者、開発者がプラットフォーム全体で認証、セキュリティ、使いやすさを向上させる強力なツールを利用できます。ヘッドレスユーザー検出や、強力な SAML 暗号化から、フローベースの登録ハンドラー、セッション管理の改善まで、こうした機能強化によって堅牢なセキュリティ標準に準拠したまま、ユーザーアクセスを容易にすることができます。LoginAnomalyEvent の監視、JWT のタイムアウト管理、外部クライアントアプリケーションのログイン情報管理などの機能により、チームは認証プロセスに対する可視性と管理を向上させることができます。こうした改善点を組み合わせれば、組織が内部ユーザー、外部ユーザー、匿名ユーザー向けの安全かつ柔軟でシームレスな ID エクスペリエンスを創出し、コンプライアンス、効率性、質の高いユーザーエクスペリエンスを実現できます。

リソース

• Salesforce ヘルプ: より多くのログイン方法のユーザーへの提供
• Salesforce ヘルプ: Headless Login Without a Username (ユーザー名を使用しないヘッドレスログイン)
• Salesforce ヘルプ: 顧客とパートナー向けのヘッドレス ID
• Salesforce ヘルプ: Triple DES Encryption Is No Longer Supported for SAML Single Sign-On (SAML シングルサインオンでのトリプル DES 暗号化のサポート終了)
• Salesforce ヘルプ: Explore Information About Suspicious Login Activity with the Login Anomaly Event (ログイン異常イベントを使用した不審なログインアクティビティの調査)
• Salesforce ヘルプ: Build Single Sign-On Registration Handlers Without Code (コードを使用せずにシングルサインオンの登録ハンドラーを構築)
• Salesforce ヘルプ: 例: 認証プロバイダー登録ハンドラーフロー
• Salesforce ヘルプ: JWT ベースのアクセストークンのタイムアウト管理を改善