この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザ認証の要素
ユーザ認証の設定
ユーザが Salesforce にログインできる範囲と時間帯の制限
パスワードポリシーの設定
すべてのユーザのパスワードのリセット
セッションセキュリティ設定の変更
ログインフローの作成
プロファイルへのログインフローの接続
2 要素認証の設定
2 要素認証ログイン要件の設定
シングルサインオン、ソーシャルサインオン、コミュニティに対する 2 要素認証ログイン要件およびカスタムポリシーの設定
API アクセスの 2 要素認証ログイン要件の設定
ID 検証のためのアカウントへの Salesforce Authenticator (バージョン 2 以降) の接続
ワンタイムパスワードジェネレータアプリケーションまたはデバイスによる ID の検証
ユーザのアカウントからの Salesforce Authenticator (バージョン 2 以降) の切断
ユーザのワンタイムパスワードジェネレータアプリケーションの切断
仮の ID 確認コードの生成
仮の確認コードの期限切れ
2 要素認証の管理任務の委任
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield Platform Encryption でのデータのセキュリティの強化
組織のセキュリティの監視
Apex および Visualforce 開発のセキュリティガイドライン
PDF

シングルサインオン、ソーシャルサインオン、コミュニティに対する 2 要素認証ログイン要件およびカスタムポリシーの設定

プロファイルポリシーおよびセッションの設定を使用して、ユーザに対する 2 要素認証ログイン要件を設定します。ユーザ名とパスワード、代理認証、SAML シングルサインオン、およびサードパーティ認証プロバイダ経由のソーシャルサインオンなどの、すべての Salesforce ユーザインターフェース認証方式がサポートされています。Salesforce 組織およびコミュニティのユーザに 2 要素認証要件を適用できます。
使用可能なインターフェース: Salesforce Classic および Lightning Experience の両方
使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

必要なユーザ権限
プロファイルと権限セットを編集する 「プロファイルと権限セットの管理」
仮の確認コードを生成する 「ユーザインターフェースで 2 要素認証を管理」

特定のプロファイルに割り当てられたユーザに対して 2 要素認証を必須にするには、[ログインに必要なセッションセキュリティレベル] プロファイル設定を編集します。次に、組織のセッションの設定で、特定のログイン方法にポリシーを適用するようにセッションセキュリティレベルを設定します。

デフォルトでは、ログイン時のセッションセキュリティ要件は、すべてのプロファイルで [なし] になっています。プロファイルの [セッションの設定] を編集して要件を [高保証] に変更できます。この要件が設定されたプロファイルユーザが、高保証ではなく標準レベルのセキュリティを許可するログイン方法 (ユーザ名とパスワードなど) を使用すると、2 要素認証を使用した ID 検証が求められます。ユーザ認証に成功すると、Salesforce にログインします。

ログイン方法に関連付けるセキュリティレベルは、組織の [セッションの設定] で編集できます。

モバイルデバイスを使用するユーザは、Salesforce Authenticator モバイルアプリケーションまたは 2 要素認証用の他の認証アプリケーションを使用できます。内部ユーザは、個人設定の [高度なユーザの詳細] ページで、アプリケーションを自分のアカウントに接続できます。プロファイルで [高保証] 要件が設定されている場合、Salesforce Authenticator または別の認証アプリケーションがまだアカウントに接続されていないプロファイルユーザは、ログインする前にアプリケーションを接続するよう求められます。アプリケーションを接続した後、アプリケーシ���ンを使用して ID を検証するよう求められます。

登録済み U2F セキュリティキーがあるユーザは、2 要素認証にそれを使用できます。

[高保証] プロファイル要件が設定されているコミュニティメンバーは、ログイン中に認証アプリケーションを接続するよう求められます。

  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力し、[プロファイル] を選択します。
  2. プロファイルを選択します。
  3. [セッションの設定] までスクロールして、[ログインに必要なセッションセキュリティレベル] 設定を見つけます。
  4. [編集] をクリックします。
  5. [ログインに必要なセッションセキュリティレベル] で [高保証] を選択します。
  6. [保存] をクリックします。
  7. [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
  8. [セッションセキュリティレベル] で、[高保証] 列が [2 要素認証] であることを確認します。
    [2 要素認証] が [標準] 列にある場合、標準レベルセキュリティを付与する方法を使用してログインすると、エラーが発生します。

  9. [有効化] を [高保証] 列に移動することを検討します。この設定により、不明なブラウザまたはアプリケーションから ID を検証するユーザによって、高保証セッションが確立されます。[有効化] が [高保証] 列にある場合は、ログイン時に ID を検証するプロファイルユーザが、高保証セッションセキュリティ要件を満たすために再度 ID 検証を求められることがなくなります。

    メモ

    変更内容を保存します。

Facebook および LinkedIn をコミュニティの認証プロバイダとして設定したとします。コミュニティメンバーの多くは、ソーシャルサインオンを使用して、Facebook または LinkedIn アカウントからユーザ名とパスワードを使ってログインします。カスタマーコミュニティユーザに対して、Facebook アカウントを使用してログインする場合は 2 要素認証の使用を必須とするが、LinkedIn アカウントを使用してログインする場合は必須としないようにして、セキュリティを強化するとします。この場合、カスタマーコミュニティユーザプロファイルを編集して、[ログインに必要なセッションセキュリティレベル] を [高保証] に設定します。組織のセッション設定で、セッションセキュリティレベルを編集します。Facebook を [標準] 列に配置します。[高保証] 列に [2 要素認証] を配置します。また、LinkedIn も [高保証] 列に配置します。

ログインフローを使用して、ユーザのセッションセキュリティレベルを変更し、特定の条件下で ID 検証を開始することもできます。ログインフローにより、ビジネス要件を満たすカスタムの認証後のプロセスを構築できます。

メモ

2 要素認証に通常使用しているデバイスを紛失したか、忘れたユーザのために、仮の確認コードを生成できます。コードの有効期限が生成後 1 ~ 24 時間後に切れるように設定します。コードは有効期限まで繰り返し使用できます。ユーザが使用できる仮のコードは一度に 1 つのみです。以前のコードがまだ有効な間にユーザが新しいコードを必要とする場合は、以前のコードを期限切れにして新しいコードを生成できます。ユーザは、個人設定で自分の有効なコードを期限切れにできます。

[高保証] プロファイル要件は、ユーザインターフェースログインに適用されます。OAuth トークン交換は要件の対象ではありません。プロファイルに [高保証] 要件が設定される前に取得された OAuth 更新トークンは、引き続き API に対して有効なアクセストークンに交換できます。トークンは標準保証セッションで取得された場合でも有効です。外部アプリケーションで API にアクセスする前に高保証セッションの確立をユーザに要求するには、最初にそのプロファイルのユーザに対する既存の OAuth トークンを取り消します。次に、プロファイルに [高保証] 要件を設定します。ユーザは 2 要素認証を使用してログインし、アプリケーションを再認証する必要があります。

メモ