セールスフォース社から多要素認証の設定期限のお知らせが来ていて、慌てて対応された方も多いのではないでしょうか。
事前にセールスフォース社に連絡することで対応期限を延長してもらうことで、先延ばしにされた方もいると思います。
最終的には期限までに実施が必要となるので、準備ができたら早めに対応しておきましょう。
今回はSalesforce Authenticatorを使った多要素認証の設定手順をご紹介させていただきます。
利用可能な多要素認証
Salesforceの多要素認証方式としては、メールやSMSテキストメッセージ、及び電話による認証は、漏洩や傍受の危険から許可されていません。
そのため、以下の方法のいずれかを選択して対応する必要があります。
| No.1 | 認証方式 | 補足 |
| 1 | Salesforce Authenticatorアプリケーション | Salesforceの公式の認証アプリケーション |
| 2 | サードパーティ TOTP 認証アプリケーション | TOTP(Time-based One-Time Password)は、特定のキーと時刻を組み合わせて生成する時間ベースのワンタイムパスワードを利用した認証方式。Google Authenticator(Google認証システム)やMicrosoft Authenticatorなどが利用可能 |
| 3 | U2F またはWebAuthnセキュリティキー | U2F(ユニバーサルセカンドファクター (U2F) セキュリティキー)は、物理的なセキュリティキーを使った認証方式。WebAuthnはブラウザ経由で携帯端末等の生体認証機能と連携することでパスワードレス認証を実現する方式。 |
step
1Salesforce組織の多要素認証設定
Salesforce Authenticatorを使った多要素認証(Multi-Factor)の設定手順
Salesforce Authenticatorは、スマホやタブレットにインストールして利用する、セールスフォース社公式の多要素認証のアプリケーションとなります。
設定作業は、PCなどからSalesforceの組織にログインして設定する内容と、スマホなどにインストールしたSalesforce Authenticatorを使っての2種類の設定作業が必要となります。
Salesforce Authenticatorを使った多要素認証の設定方法は複数存在します。どのような設定が適切かプロジェクトごとに判断して適切な手順で実施する必要があります。
今回は、「直接ユーザログインの MFA の有効化」の手順で実施します。
こちらは、「ユーザインターフェースログインの多要素認証」権限を使用して、直接ログインの多要素認証 (MFA) を有効にする方法となります。
この権限を持つユーザは Salesforce または Experience Cloud サイトにログインするときに、多要素認証が必要となります。
そのほかのMFAの設定手順は、以下公式のHELPサイトを参照してください。
Salesforce 公式HELPサイト「多要素認証のカスタマイズ」
権限セットを使った多要素認証の設定
多要素認証用の権限セットを作成して、ユーザに割り当てすることで割り当てられたユーザはログイン時に多要素認証が必要となります。
手順①:権限セットを作成
設定メニューから権限セットを実行し、「新規」ボタンをクリックして新規権限セットを作成します。
新規権限セット作成画面にて、以下の内容を定義します。
表示ラベル:権限の内容がわかるように定義
API参照名:表示ラベルの英語名などを設定
セッションの有効化が必要:セッションの有効化を設定していて利用する場合にはこちらをチェックします。
手順②:システム管理権限追加
つづいて、作成した権限セット「多要素認証権限」に対してシステム権限を付与します。
編集ボタンをクリックします。
権限セットの編集画面で、「ユーザインターフェースログインの多要素認証」にチェックをして保存します。
権限変更の確認画面が表示されるため、「保存」ボタンをクリックします。
手順④割り当ての追加
保存後の画面で、「割り当ての管理」を実行します。
割り当ての管理画面から「割り当てを追加」ボタンをクリックします。
ユーザ一覧から多要素認証を行うユーザを選択して、「割り当て」ボタンをクリックすると指定したユーザに権限セットが割り当てられます。
2.jpg)
割り当てが成功した場合は以下の画面が表示されます。
失敗した場合には以下のようなエラーメッセージが表示されます。
Salesforce Authenticatorの設定(モバイル端末)
手順①アプリケーションのインストール
ご利用のモバイル端末のOSに合わせて、Google Playstoreやアップルストアから[Salesforce Authenticator]をダウンロードしてインストールしておきます。※以下はGoogleプレイストアの画面となります。
手順②インストールしたSalesforce Authenticatorを起動します。
手順③ツアー画面が表示されますが、スキップしてください。
手順④続いて電話番号の検証を行うため、電話番号認証可能な番号を入力して送信します。
手順⑤SMSを受信したら、認証のリンクをクリックします。
すると以下の画面が表示されます
SMS認証完了後、Salesforce Authenticatorのアプリケーションに戻ります。
手順⑥続いて、PCにてSalesforceのログイン画面を開いて、多要素認証が設定されたユーザアカウントでユーザ名とパスワードを入力してログインします。
手順⑦Salesforce Authenticatorを接続の画面が表示されます。
手順⑧上記画面をPCで開いた状態で、スマホまたはタブレットのSalesforce Authenticatorアプリケーションの「アカウントを追加」を実行します。
手順⑨以下のように2つのワードが表示されるので、表示されたワードを手順⑦のPC画面で入力して接続をクリックします。
手順⑩Salesforce Authenticatorアプリに以下の接続要求のメッセージが表示されます。
手順⑪アカウントの接続画面にてユーザ名とサービスを確認して、正しい情報の場合、接続をクリックします。
手順⑫接続するとアカウントが追加されましたとメッセージが表示されます。
手順⑬そのあと、ロケーションの許可、位置情報へのアクセスが表示されるため、許可または許可しないを選択します。
手順⑭Salesforce Authenticatorで接続許可するとPC画面のほうは自動的にログインして、ホーム画面へ遷移します。
Salesforce Authenticatorを使った多要素認証の設定とログインは以上となります。
再ログインする場合
Salesforce Authenticatorを設定後、2回目以降ログインする場合は、以下の手順となります。
手順①PCでSalesforceにログインするところは最初の手順と同様です。
※ユーザ名とパスワードを入力してログイン
手順②Salesforce Authenticatorアプリ(モバイル端末)にて、以下の接続申請が届くため承認します。
すると自動的にログインされます。
特定ユーザの多要素認証を解除する
権限セットを割り当てたユーザから特定のユーザに対して多要素認証を解除する場合、以下の手順を行います。
手順①システム管理者でSalesforceへログインしたあと、設定を解除したいユーザの情報を表示します。
[設定]->[ユーザ]->設定解除するユーザを選択
手順②ユーザの参照画面から、アプリケーション登録:Salesforce Authenticatorの欄に[切断]が表示されているため、こちらをクリックします。
するとこのユーザは、ログイン時にSalesforce Authenticatorを使った認証を求められなくなります。
ユーザプロファイルを使った多要素認証の設定
これまでは、権限セットを使って多要素認証の設定を行いましたが、プロファイルの設定でも同様の設定が可能となっています。手順は以下の通り。
step
2多要素認証を行うユーザのプロファイル設定
手順①プロファイル一覧を表示して、多要素認証を行うユーザが利用しているプロファイルに対して編集を行います。
※複数のプロファイルが対象の場合は、本手順を繰り返し実施してください。
手順②プロファイル画面で、「編集」ボタンをクリックします。
手順③プロファイルの編集を実施し、[ユーザインタフェースログインの多要素認証]にチェックを入れます。
手順④上記設定により当該プロファイルを利用しているユーザは、次回からログイン時に多要素認証が必要となります。
Salesforce Authenticatorを使った認証設定は、権限セットを使った多要素認証の設定と同様となるため、詳細は割愛させていただきます。
まとめ
以上でSalesforce Authenticatorを使った多要素認証の設定に関する手順の説明が完了となります。
セッションセキュリティレベルを使用した MFA の有効化などほかの方法で実施する場合は、セールスフォースの公式HELPサイトの手順を参考に実施してください。
セッションセキュリティのあたりの設定が必要ですが、Salesforce Authenticatorでの認証設定の手順は本記事で説明した手順と同様となります。
