この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

セッションセキュリティ設定の変更

セッションセキュリティ設定を変更して、接続タイプ、タイムアウト設定などを指定できます。

[ログイン時の IP アドレスとセッションをロックする] 設定を使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition

他のすべての設定を使用可能なエディション: Personal Edition、Contact Manager Edition、Group Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition


必要なユーザ権限
セキュリティ設定を変更する 「アプリケーションのカスタマイズ」
  1. [設定] で、[セキュリティのコントロール] | [セッションの設定] をクリックします。
  2. セッションセキュリティ設定をカスタマイズします。
    項目 説明
    タイムアウト値 無効ユーザがログアウトされるまでの時間。ポータルユーザの場合、タイムアウトを 15 分に設定することはできても、タイムアウトは 10 分~ 12 時間になります。15 分から 12 時間の範囲の値を選択します。厳重なセキュリティが必要な機密情報がある場合は、より短いタイムアウト期間を選択してください。

    タイムアウト期間の半分が過ぎるまで、最終アクティブセッション時間値は更新されません。そのため、タイムアウトが 30 分の場合、15 分が過ぎるまで操作を行っているかどうかチェックされません。たとえば、10 分後にレコードを更新すると、15 分後には操作を行っていなかったため、最終アクティブセッション時間値は更新されません。最終アクティブセッション時間が更新されなかったため、操作した 20 分後 (計 30 分後) にログアウトされます。20 分後にレコードを更新するとします。これは、最終アクティブセッション時間がチェックされてから 5 分後です。タイムアウトがリセットされるため、ログアウトされるまであと 30 分 (計 50 分) あります。

    メモ

    セッションタイムアウト時の警告ポップアップを無効にする タイムアウト警告メッセージを無効ユーザに向けて表示するかどうかを決定します。[タイムアウト値] で指定されたタイムアウトの 30 秒前にプロンプトが表示されます。
    セッションタイムアウト時に強制的にログアウト 無効なユーザのセッションがタイムアウトすると、現在のセッションが強制的に無効になります。ブラウザが更新され、ログインページに戻ります。組織にアクセスするには、再ログインする必要があります。

    このオプションを有効にする場合、[セッションタイムアウト時の警告ポップアップを無効にする] は選択しないでください。

    メモ

    ログイン時の IP アドレスとセッションをロックする ユーザのセッションをユーザがログインした IP アドレスにロックして、認可されていないユーザによる有効なセッションの乗っ取りを防止するかどうかを決めます。

    このオプションは、さまざまなアプリケーションやモバイルデバイスの機能を妨げる可能性があります。

    メモ

    セッションを最初に使用したドメインにセッションをロックする コミュニティユーザなどのユーザの現在の UI セッションを特定のドメインに関連付け、別のドメインのセッション ID の不正使用を防止します。この設定は、Spring '15 リリース以降に作成された組織ではデフォルトで有効になっています。
    セキュアな接続 (HTTPS) が必要 HTTPS を使用してアクセスできる Force.com サイトとは別に、Salesforce へのログインまたはアクセスに HTTP が必要かどうかを決定します。

    セキュリティ上の理由により、このオプションはデフォルトで有効になっています。

    ユーザのパスワードをリセットするページには、HTTPS を使用してのみアクセスできます。

    メモ

    ユーザとしてログインしてから再ログインを強制する 別のユーザとしてログインしているシステム管理者がセカンダリユーザとしてログアウトした後、以前のセッションに戻れるかどうかを決めます。

    このオプションをオンにすると、ユーザとしてログアウトした後 Salesforce を使用し続けるには、システム管理者は再度ログインする必要があります。オフになっていれば、システム管理者はユーザとしてログアウトした後、元のセッションに戻ります。Summer '14 リリースから開始した新しい組織の場合、このオプションはデフォルトで有効になっています。

    HttpOnly 属性が必要 セッション ID Cookie アクセスを制限します。HttpOnly 属性を持つ Cookie は、JavaScript からのコ��ルなど、非 HTTP メソッドではアクセスできません。

    JavaScript を使用してセッション ID の Cookie にアクセスするカスタムアプリケーションまたはパッケージアプリケーションを使用している場合、[HttpOnly 属性が必要] を選択すると、この設定が Cookie へのアプリケーションのアクセスを拒否するためアプリケーションが停止します。[HttpOnly 属性が必要] が選択されている場合、AJAX Toolkit のデバッグウィンドウは使用できません。

    メモ

    クロスドメインセッションで POST 要求を使用 ユーザが Visualforce ページを使用している場合などに、クロスドメイン交換でセッション情報が GET 要求ではなく POST 要求を使用して送信されるように組織を設定します。POST 要求ではセッション情報がリクエストボディで保持されるため、このコンテキストでは GET 要求よりも POST 要求の方が安全です。ただし、この設定を有効にすると、別のドメインから埋め込まれたコンテンツ (
    1<img src="https://acme.force.com/pic.jpg"/>
    など) が表示されない場合があります。
    すべての要求でログイン IP アドレスの制限を適用 ユーザが Salesforce にアクセスできる IP アドレスを [ログイン IP アドレスの制限] で定義された IP アドレスに制限します。このオプションをオンにすると、クライアントアプリケーションからの要求を含め、各ページ要求でログイン IP アドレスが適用されます。このオプションをオフにすると、ユーザがログインする場合にのみログイン IP アドレスが適用されます。このオプションは、ログイン IP アドレスが制限されたすべてのユーザプロファイルに影響します。
    ログインページでキャッシングとパスワードのオートコンプリート機能を有効にする ユーザのブラウザがユーザ名を保存できるようにします。オンにすると、初回ログインの後、ユーザ名がログインページの [ユーザ名] 項目に自動入力されます。この設定はデフォルトでは選択され、キャッシングとオートコンプリートは有効になっています。
    SMS による ID 確認を有効にする ユーザが SMS 経由で配信される 1 回限りの PIN を受信できるようにします。このオプションをオンにすると、システム管理者またはユーザは、この機能を利用する前に、携帯電話番号を確認する必要があります。すべての組織で、この設定がデフォルトで選択されています。
    コールアウトから API ログインするためのセキュリティトークンが必要 (API バージョン 31.0 以前) API バージョン 31.0 以前では、Apex コールアウトや AJAX プロキシを使用するコールアウトなど、コールアウトからの API ログインにセキュリティトークンを使用する必要があります。API バージョン 32.0 以降では、デフォルトでセキュリティトークンが必要です。
    [ログイン IP アドレスの制限] (Contact Manager Edition、Group Edition、および Professional Edition) IP アドレスの範囲を指定します。ユーザはこの範囲内 (指定した両端を含む) の IP アドレスからログインする必要があり、範囲外からはログインできません。

    範囲を指定するには、[新規] をクリックし、開始 IP アドレスと終了 IP アドレスを入力して、開始値と終了値を含む範囲を定義します。

    この項目は、Enterprise Edition、Unlimited Edition、Performance Edition、および Developer Edition では使用できません。これらのエディションでは、有効な [ログイン IP アドレス範囲の制限] をユーザプロファイル設定に指定できます。

    設定ページのクリックジャック保護を有効化 Salesforce の設定ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます ([設定] ページは [設定] メニューから使用できます)。
    設定以外の Salesforce ページのクリックジャック保護を有効化 設定以外の Salesforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。設定ページにはクリックジャック攻撃に対する保護がすでに含まれています ([設定] ページは [設定] メニューから使用できます)。すべての組織で、この設定がデフォルトで選択されています。
    標準ヘッダーがある Visualforce ページのクリックジャック保護を有効化 ヘッダーが有効になっている Visualforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます

    フレームまたは iframe 内で カスタム Visualforce ページを使用する場合は、ページが空白ページとして表示されるか、フレームのないページとして表示される可能性があります。たとえば、クリックジャック保護がオンになっていると、ページレイアウトの Visualforce ページは機能しません。

    警告

    ヘッダーが無効化された Visualforce ページのクリックジャック保護を有効化 ページで showHeader="false" を設定するときに、ヘッダーが無効になっている Visualforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。

    フレームまたは iframe 内で カスタム Visualforce ページを使用する場合は、ページが空白ページとして表示されるか、フレームのないページとして表示される可能性があります。たとえば、クリックジャック保護がオンになっていると、ページレイアウトの Visualforce ページは機能しません。

    警告

    設定ページ以外の GET 要求の CSRF 保護を有効化 ランダムな文字列を URL パラメータに挿入するか、非表示項目として追加するように設定以外のページを変更することで、クロスサイトリクエストフォージェリ (CSRF) 攻撃に対して保護します。GET および POST 要求が行われるたびに、アプリケーションはこの文字列の有効性をチェックし、期待される値に一致する値が見つからない限りコマンドを実行しません。すべての組織で、この設定がデフォルトで選択されています。
    設定ページ以外の POST 要求の CSRF 保護を有効化
    ログアウト URL ユーザが Salesforce からログアウトした後、認証プロバイダのページやカスタムブランドのページなど、特定のページにユーザをリダイレクトします。この URL は、ID プロバイダ、SAML シングルサインオン、または外部認証プロバイダの設定でログアウト URL が指定されていない場合にのみ使用されます。[ログアウト URL] に値が指定されていない場合、[私のドメイン] が有効でなければ https://login.salesforce.com がデフォルトになります。[私のドメイン] が有効な場合のデフォルトは https://customdomain.my.salesforce.com です。
  3. [保存] をクリックします。

セッションセキュリティレベル

ユーザの現在のセッションに対する認証 (login) メソッドに関連付けられたセキュリティレベルに基づいて、特定のタイプのリソースへのアクセスを制限できます。デフォルトで、各 login メソッドには [標準] または [高保証] という 2 つのセキュリティレベルのいずれかが設定されています。セッションのセキュリティレベルを変更してポリシーを定義することで、指定したリソースを使用できるユーザを [高保証] レベルのユーザのみに限定できます。

デフォルトでは、次のように認証メソッドごとに異なるセキュリティレベルが割り当てられています。
  • ユーザ名およびパスワード — 標準
  • 代理認証 — 標準
  • 2 要素認証 — 高保証
  • 認証プロバイダ — 標準
  • SAML — 標準

    SAML セッションに対するセキュリティレベルも、ID プロバイダによって送信される SAML アサーションの SessionLevel 属性を使用して指定できます。属性は、STANDARD または HIGH_ASSURANCE という 2 つの値のいずれかに設定できます。

    メモ

Login メソッドに関連付けられたセキュリティレベルを変更する手順は、次のとおりです。
  1. [設定] で、[セキュリティのコントロール] | [セッションの設定] をクリックします。
  2. [セッションセキュリティレベル] で、login メソッドを選択します。
  3. [追加] または [削除] 矢印をクリックして、login メソッドを適切なカテゴリに移動します。
現在、セッションレベルのセキュリティを使用する機能は、Salesforce1 レポートのレポートとダッシュボードおよび接続アプリケーションのみです。高保証を必要とするポリシーをこれらのタイプのリソースに設定して、リソースへのアクセスに使用されるセッションが高保証ではない場合に取られるアクションを指定できます。サポートされるアクションは次のとおりです。
  • ブロックする — 権限が不十分であるというエラーを表示して、リソースへのアクセスがブロックされます。
  • セッションレベルを上げる — ユーザは、[高保証] セキュリティレベルに関連付けられたログインメソッドに基づいてログインするようにリダイレクトされます。ログインフローを正常に完了したユーザは、リソースにアクセスできます。レポートとダッシュボードの場合、ユーザがレポートまたはダッシュボードにアクセスするとき、またはレポートをエクスポートして印刷するときに、このアクションを適用できます。
接続アプリケーションにアクセスするために、高保証を必要とするポリシーを設定する手順は、次のとおりです。
  1. [設定] で、[管理] | [アプリケーションを管理する] | [接続アプリケーション] に移動します。
  2. 接続アプリケーションの横にある [編集] をクリックします。
  3. [高保証セッションが必要です] を選択します。
  4. 表示されるアクションのいずれかを選択します。
  5. [保存] をクリックします
レポートおよびダッシュボードにアクセスするために、高保証を必要とするポリシーを設定する手順は、次のとおりです。
  1. [設定] で、[ビルド] | [カスタマイズ] | [レポート & ダッシュボード] | [アクセスポリシー] に移動します。
  2. [高保証セッションが必要です] をクリックします。
  3. 表示されるアクションのいずれかを選択します。
  4. [保存] をクリックします

このセッションレベルは、明示的なセキュリティポリシーが定義された接続アプリケーション、レポート、およびダッシュボードを除き、アプリケーション内のどのリソースにも影響しません。