セキュリティ実装ガイド
jログイン制限の設定
| 使用可能なエディション: Salesforce Classic と Lightning Experience の両方 |
| 使用可能なエディション: すべてのエディション |
組織のデータを不正なアクセスから保護するために、いくつかのオプションでログイン制限およびアクセス制限を設定できます。
- ログイン時間帯の制限
- プロファイルごとに、ユーザがログインできる時間帯を設定できます。次のトピックを参照してください。
- ユーザインターフェースログインの 2 要素認証
- プロファイルごとに、ユーザインターフェースを使用してログインするときに 2 つ目の認証方法として時間ベースのトークンを入力するようユーザに要求できます。「2 要素認証ログイン要件の設定」を参照してください。
- API ログインの 2 要素認証
- プロファイルごとに、サービスへのアクセスに標準のセキュリティトークンではなく時間ベースのトークンを使用することを許可できます。ユーザがアカウントに時間ベースのトークンを追加し、この権限が有効になっている場合は、アカウントのパスワードのリセット時など、要求されたときに必ず標準のセキュリティトークンではなく時間ベースのトークンを使用する必要があります。「API アクセスの 2 要素認証要件の設定」を参照してください。
- ログイン IP アドレス範囲の制限
- Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition の場合、ユーザがどのアドレス範囲からログインできるかを指定する [ログイン IP アドレス範囲の制限] のアドレスを個々のプロファイルに設定できます。プロファイルに設定された [ログイン IP アドレス範囲の制限] 以外のアドレスからログインしたユーザは Salesforce 組織にアクセスできません。次のトピックを参照してください。
Contact Manager Edition、Group Edition、および Professional Edition の場合、[ログイン IP アドレスの制限] を設定します。[設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
- すべてのアクセス要求に対するログイン IP アドレス範囲の適用
- Salesforce へのすべてのアクセスを、ユーザプロファイルの [ログイン IP アドレスの制限] に含まれている IP アドレスに制限することができます。たとえば、[ログイン IP アドレスの制限] で定義された IP アドレスからユーザが正常にログインしたとします。その後で、[ログイン IP アドレスの制限] に含まれない新しい IP アドレスを持つ���なる場所に移動します。ユーザがブラウザを更新するか、クライアントアプリケーションからのアクセスも含め Salesforce にアクセスしようとすると、拒否されます。このオプションを有効にするには、[設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択して、[すべての要求でログイン IP アドレスの制限を適用] を選択します。このオプションは、ログイン IP アドレスが制限されたすべてのユーザプロファイルに影響します。
- 組織全体の信頼できる IP アドレス範囲
- すべてのユーザについて、ユーザがログインの問題が発生することなく常にログインできる IP アドレス範囲のリストを設定できます。これらのユーザは、追加の確認情報を提供すれば組織にログインできます。「組織の信頼済み IP 範囲の設定」を参照してください。
ユーザがユーザインターフェース、API、または Salesforce for Outlook、Connect Offline、Connect for Office、データローダなどのデスクトップクライアントを通じて Salesforce にログインした場合、Salesforce では次の方法でそのログインが���当かどうかを確認します。
- Salesforce は、ユーザのプロファイルにログイン時間帯の制限が設定されているかどうかを確認します。ユーザのプロファイルにログイン時間帯の制限が設定されている場合、指定された時間帯以外のログインは拒否されます。
- ユーザに「ユーザインターフェースログインの 2 要素認証」権限がある場合は、ログイン時に時間ベースのトークンを使用するように Salesforce から指示されます (時間ベースのトークンがアカウントにまだ追加されていない場合は、作成するように求められる場合もあります)。
- ユーザに「API ログインの 2 要素認証」権限があり、時間ベースのトークンがアカウントに追加済みの場合、サービスへのアクセスに標準のセキュリティトークンではなく時間ベースのトークンを使用しないと、Salesforce からエラーが返されます。
- Salesforce は次に、ユーザのプロファイルに IP アドレスの制限が設定されているかどうかを確認します。ユーザのプロファイルに IP アドレスの制限が設定されている場合、指定された IP アドレス以外の IP アドレスからのログインは拒否されます。[すべての要求でログイン IP アドレスの制限を適用] セッション設定が有効になっている場合、クライアントアプリケーションからの要求も含め、ページ要求ごとに IP アドレスの制限が適用されます。
- プロファイルベースの IP アドレス制限が設定されていない場合、過去に Salesforce へのアクセスに使用されたことがない IP アドレスからユーザがログインしているかどうかを確認します。
- Salesforce Cookie が含まれるブラウザからユーザがログインしている場合、ログインは許可されます。Salesforce にブラウザ経由で一度でもログインしたことがあり、ブラウザの Cookie を消去していなければ、ユーザのブラウザには Salesforce Cookie が含まれています。
- 信頼できる IP アドレスのリストに含まれる IP アドレスからのログインであれば、ログインは許可されます。
- 信頼できる IP アドレスからのログインでもなく、Salesforce Cookie があるブラウザからのログインでもない場合、ログインはブロックされます。
- ユーザインターフェースからアクセスする場合は、ユーザ ID を確認するためにトークン (確認コードとも呼ばれる) の入力が求められます。
-
API またはクライアントからアクセスする場合は、セキュリティトークン (ユーザのプロファイルで API ログインに 2 要素認証が設定され、ユーザが自分のアカウントに時間ベースのトークンを追加している場合は時間ベースのトークン) をパスワードの末尾に追加してログインする必要があります。
セキュリティトークンは Salesforce から自動生成されるキーです。たとえば、パスワードが mypassword で、セキュリティトークンが XXXXXXXXXX の場合は、ログイン時に「mypasswordXXXXXXXXXX」と入力する必要があります。または、クライアントアプリケーションによっては、別個にセキュリティトークン用の項目があります。
セキュリティトークンを取得するには、Salesforce ユーザインターフェースを通じてパスワードを変更するか、セキュリティトークンをリセットします。ユーザがパスワードを変更するか、セキュリティトークンをリセットすると、ユーザの Salesforce レコードに指定されたメールアドレス宛に新しいセキュリティトークンが送信されます。セキュリティトークンは、ユーザがセキュリティトークンをリセットするか、パスワードを変更するか、またはパスワードをリセットするまで有効です。
ログイン制限の設定に関するヒント
ログイン制限を設定するときには、次の点を考慮してください。
- ユーザのパスワードが変更されると、セキュリティトークンがリセットされます。API またはクライアント経由で Salesforce にログインする場合、自動生成されるセキュリティトークンをパスワードの末尾に追加して入力するまで、ログインがブロックされる場合があります。
- パートナーポータルとカスタマーポータルのユーザは、ログインを行うためにコンピュータをアクティベートする必要はありません。
- 次のイベントは、組織のログインロックアウト設定で定義されているとおり、Salesforce からロックアウトされるまでの無効なパスワードによるログイン試行回数のカウントの対象となります。
- (ユーザが [確認コードを私宛てにメール送信] などをクリックしたときに) ユーザ ID を確認するよう求められた場合
- API またはクライアントにログインするためのパスワードの末尾にセキュリティトークンまたは時間ベースのトークンを不正に追加した場合