| タイムアウト値 |
無効ユーザがログアウトされるまでの時間。ポータルユーザの場合、タイムアウトを 15 分に設定することはできても、タイムアウトは 10 分~ 24 時間になります。15 分から 24 時間の範囲の値を選択します。厳重なセキュリティが必要な機密情報がある場合は、より短いタイムアウト期間を選択してください。タイムアウト期間の半分が過ぎるまで、最終アクティブセッション時間値は更新されません。そのため、タイムアウトが 30 分の場合、15 分が過ぎるまで操作を行っているかどうかチェックされません。たとえば、10 分後にレコードを更新すると、15 分後には操作を行っていなかったため、最終アクティブセッション時間値は更新されません。最終アクティブセッション時間が更新されなかったため、操作した 20 分後 (計 30 分後) にログアウトされます。20 分後にレコードを更新するとします。これは、最終アクティブセッション時間がチェックされてから 5 分後です。タイムアウトがリセットされるため、ログアウトされるまであと 30 分 (計 50 分) あります。
|
| セッションタイムアウト時の警告ポップアップを無効にする |
タイムアウト警告メッセージを無効ユーザに向けて表示するかどうかを決定します。[タイムアウト値] で指定されたタイムアウトの 30 秒前に注意を促すメッセージが表示されます。 |
| セッションタイムアウト時に強制的にログアウト |
無効なユーザのセッションがタイムアウトすると、現在のセッションが強制的に無効になります。ブラウザが更新され、ログインページに戻ります。組織にアクセスするには、再ログインする必要があります。この設定を使用する場合、[セッションタイムアウト時の警告ポップアップを無効にする] は選択しないでください。
|
| ログイン時の IP アドレスとセッションをロックする |
ユーザのセッションをユーザがログインした IP アドレスにロックして、認可されていないユーザによる有効なセッションの乗っ取りを防止するかどうかを決めます。この設定は、さまざまなアプリケーションやモバイルデバイスの機能を妨げる可能性があります。
|
| セッションを最初に使用したドメインにセッションをロックする |
コミュニティユーザなどのユーザの現在の UI セッションを特定のドメインに関連付けます。この設定は、別のドメインでのセッション ID の不正使用防止に役立ちます。この設定は、Spring '15 リリース以降に作成された組織ではデフォルトで有効になっています。 |
| セキュアな接続 (HTTPS) が必要 |
Salesforce へのログインまたはアクセスに HTTPS が必要かどうかを決定します。 セキュリティ上の理由により、この設定はデフォルトで有効になっています。この設定は、API 要求には適用されません。すべての API 要求には HTTPS が必要です。
コミュニティと Lightning Platform サイトで HTTPS を有効にするには、「サイトとコミュニティの HSTS」を参照してください。
[ユーザのパスワードをリセットする] ページには、HTTPS を使用してのみアクセスできます。
|
| すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要 |
サードパーティドメインへの接続に HTTPS が必要かどうかを決定します。 Summer '17 リリース以降に作成された取引先では、この設定がデフォルトで有効になっています。
|
| ユーザとしてログインしてから再ログインを強制する |
別のユーザとしてログインしているシステム管理者がセカンダリユーザとしてログアウトした後、以前のセッションに戻れるかどうかを決めます。 この設定をオンにすると、システム管理者がユーザとしてログアウトした後に Salesforce を使用し続けるためにはログインし直す必要があります。オフにした場合は、システム管理者がユーザとしてログアウトした後で元のセッションに戻ります。Summer '14 リリース以降の新しい組織では、この設定がデフォルトで有効になっています。
|
| ユーザがより少ない制限でコミュニティユーザまたはポータルユーザとしてログインできるようにする |
コミュニティユーザまたはポータルユーザとしてログインするために必要になるのは、取引先の編集権限とポータルユーザの管理機能のみです。この設定を有効にすると、より多くのユーザがコミュニティユーザまたはポータルユーザとしてログインできるようになるため、コミュニティとポータルのセキュリティが低下する可能性があります。 |
| HttpOnly 属性が必要 |
セッション ID Cookie アクセスを制限します。HttpOnly 属性を持つ Cookie は、JavaScript からのコールなど、非 HTTP メソッドではアクセスできません。JavaScript を使用してセッション ID の Cookie にアクセスするカスタムアプリケーションまたはパッケージアプリケーションを使用している場合は、[HttpOnly 属性が必要] を選択するとアプリケーションが停止します。これは、Cookie へのアプリケーションのアクセスが拒否されるためです。[HttpOnly 属性が必要] が選択されている場合は、AJAX Toolkit のデバッグウィンドウを使用できません。
|
| クロスドメインセッションで POST 要求を使用 |
クロスドメイン交換でセッション情報が GET 要求ではなく POST 要求を使用して送信されるように組織を設定します。クロスドメイン交換の例として、ユーザが Visualforce ページを使用している場合が挙げられます。POST 要求ではセッション情報がリクエストボディに保持されるため、このコンテキストでは GET 要求よりも POST 要求のほうが安全です。ただし、この設定を有効にすると、別のドメインから埋め込まれたコンテンツ1<img
2 src="https://acme.force.com/pic.jpg"/>
などが表示されないことがあります。 |
| すべての要求でログイン IP アドレスの制限を適用 |
ユーザが Salesforce にアクセスできる IP アドレスを、[ログイン IP アドレスの制限] に定義されている IP アドレスのみに制限します。この設定をオンにすると、クライアントアプリケーションからの要求を含め、各ページ要求でログイン IP アドレスの制限が適用されます。この設定をオフにすると、ユーザがログインする場合にのみログイン IP アドレスの制限が適用されます。この設定は、ログイン IP アドレスが制限されたすべてのユーザプロファイルに影響します。 |
| ログインページでキャッシングとオートコンプリート機能を有効にする |
ユーザのブラウザがユーザ名を保存できるようにします。オンにすると、初回ログインの後、ユーザ名がログインページの [ユーザ名] 項目に自動入力されます。ユーザがログインページで [ログイン情報を保存する] を選択した場合、セッションが期限切れになったりユーザがログアウトしたりした後でも、ユーザ名が保持されます。ユーザ名は、スイッチャにも表示されます。すべての組織で、この設定がデフォルトで選択されています。この設定をオフにすると、[ログイン情報を保存する] オプションは、組織のログインページにもスイッチャにも表示されません。
|
| パフォーマンスを向上させるためにブラウザの安全で永続的なキャッシュを有効にする |
ブラウザの安全なデータキャッシュを有効にし、サーバとの往復処理の増加を避けることでページの再読み込みパフォーマンスを向上させます。すべての組織で、この設定がデフォルトで選択されています。 この設定を無効にすることはお勧めしません。ただし、データが暗号化されている場合でも会社のポリシーによりブラウザのキャッシュが許可されない場合は、無効にしてもかまいません。
この設定を無効にすると、Lightning Experience のパフォーマンスに対して重大な悪影響があります。
|
| ユーザの切り替えを有効化 |
組織のユーザがプロファイル写真を選択したときに、スイッチャを表示するかどうかを決定します。すべての組織で、この設定がデフォルトで選択されています。[ログインページでキャッシングとオートコンプリート機能を有効にする] 設定も有効にする必要があります。組織が他の組織のスイッチャに表示されないようにするには、[ユーザの切り替えを有効化] 設定をオフにします。これにより、組織のユーザがプロファイル写真を選択したときも、スイッチャが表示されなくなります。 |
| ログアウトするまでログイン情報を保存します |
通常、ユーザ名は、セッションがアクティブである期間、またはユーザが [ログイン情報を保存する] を選択した場合にのみキャッシュされます。SSO セッションでは、ユーザ名を記憶するオプションが使用できません。セッションが期限切れになると、ユーザ名は、ログインページとスイッチャに表示されなくなります。[ログアウトするまでログイン情報を保存します] を有効にすると、ユーザが明示的にログアウトした場合にのみキャッシュされたユーザ名が削除されます。セッションがタイムアウトしても、ユーザ名はスイッチャに無効として表示されます。ユーザは、自分のコンピュータを操作していてセッションがタイムアウトになった場合、ユーザ名を選択して再認証できます。ユーザが共有コンピュータを操作している場合、ユーザがログアウトすると、ユーザ名はただちに削除されます。
この設定は、すべての組織のユーザに適用されます。このオプションはデフォルトで有効になっていません。ただし、ユーザの便宜のため、有効にすることをお勧めします。組織がログインページで SSO または認証のすべてのプロバイダを公開していない場合は、この設定を無効にしてください。
|
| SMS による ID 確認を有効にする |
ユーザが SMS 経由で配信される 1 回限りの PIN を受信できるようにします。この設定をオンにすると、システム管理者またはユーザは、この機能を利用する前に、携帯電話番号を確認する必要があります。すべての組織で、この設定がデフォルトで選択されています。 |
| コールアウトから API ログインするためのセキュリティトークンが必要 (API バージョン 31.0 以前) |
API バージョン 31.0 以前では、コールアウトからの API ログインにセキュリティトークンを使用する必要があります。例として、Apex コールアウトや AJAX プロキシを使用したコールアウトが挙げられます。API バージョン 32.0 以降では、デフォルトでセキュリティトークンが必要です。 |
|
[ログイン IP アドレスの制限] (Contact Manager Edition、Group Edition、および Professional Edition) |
IP アドレスの範囲を指定します。ユーザはこの範囲内 (指定した両端を含む) の IP アドレスからログインする必要があり、範囲外からはログインできません。 範囲を指定するには、[新規] をクリックし、開始 IP アドレスと終了 IP アドレスを入力して、開始値と終了値を含む範囲を定義します。
この項目は、Enterprise Edition、Unlimited Edition、Performance Edition、および Developer Edition では使用できません。これらのエディションでは、有効な [ログイン IP アドレスの制限] をユーザプロファイル設定に指定できます。
|
| セキュリティキー (U2F) の使用をユーザに許可 |
ユーザは 2 要素認証や ID 検証に U2F セキュリティキーを使用できます。Salesforce Authenticator、認証アプリケーションによって生成されたワンタイムパスワード、またはメールや SMS で送信されたワンタイムパスワードを使用する代わりに、登録された U2F セキュリティキーを USB ポートに挿して検証を完了します。 |
| 2 要素認証の登録時に ID 検証が必要 |
2 要素認証方式 (Salesforce Authenticator nado) を追加するには、ユーザは以前のように再ログインするのではなく ID を確認する必要があります。 |
| メールアドレスの変更に ID 検証が必要 |
メールアドレスを変更するには、ユーザは以前のように再ログインするのではなく ID を確認する必要があります。
ID 確認メールを取得するには、ユーザは以前に登録されたメールアカウントにアクセスできる必要があります。
|
| Salesforce Authenticator でロケーションベースの自動検証を許可
|
ユーザは自宅やオフィスなどの信頼できる場所にいるときはいつでも Salesforce Authenticator で通知を自動的に承認して ID を検証できます。自動検証を許可する場合、すべての場所で許可することも、信頼できる IP アドレス (社内ネットワークなど) のみに制限することもできます。 |
| Lightning Login を許可 |
ユーザは Lightning Login を使用して、ID 検証で Salesforce Authenticator を信頼し、パスワードを使用せずに Salesforce にログインできます。 |
| ログアウトイベントストリームを有効化 |
ユーザのログアウトイベントを記録します。 この設定では、タイムアウトイベントが記録されません。
|
| 設定ページのクリックジャック保護を有効化 |
Salesforce の設定ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます([設定] ページは [設定] メニューから使用できます)。 |
| 設定以外の Salesforce ページのクリックジャック保護を有効化 |
設定以外の Salesforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。設定ページにはクリックジャック攻撃に対する保護がすでに含まれています([設定] ページは [設定] メニューから使用できます)。すべての組織で、この設定がデフォルトで選択されています。 |
| 標準ヘッダーがある Visualforce ページのクリックジャック保護を有効化 |
ヘッダーが有効になっている Visualforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。フレームまたは iframe 内でカスタム Visualforce ページを使用すると、空白のページが表示されたり、ページがフレームなしで表示されたりすることがあります。たとえば、クリックジャック保護がオンになっていると、ページレイアウトの Visualforce ページが機能しません。
|
| ヘッダーが無効化された Visualforce ページのクリックジャック保護を有効化 |
ページで showHeader="false" を設定するときに、ヘッダーが無効になっている Visualforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。フレームまたは iframe 内でカスタム Visualforce ページを使用すると、空白のページが表示されたり、ページがフレームなしで表示されたりすることがあります。たとえば、クリックジャック保護がオンになっていると、ページレイアウトの Visualforce ページが機能しません。
|
| 設定ページ以外の GET 要求の CSRF 保護を有効化 |
設定以外のページを変更して、クロスサイトリクエストフォージェリ (CSRF) 攻撃から保護します。設定以外のページでランダムな文字列を URL パラメータに挿入するか、非表示のフォーム項目として追加します。GET および POST 要求が実行されるたびに、アプリケーションがこの文字列の有効性をチェックします。期待される値に一致する値が見つからない限り、アプリケーションはコマンドを実行しません。すべての組織で、この設定がデフォルトで選択されています。 |
| 設定ページ以外の POST 要求の CSRF 保護を有効化 |
| XSS 保護 |
反射型クロスサイトスクリプティング攻撃から保護します。反射型クロスサイトスクリプティング攻撃が検出されると、コンテンツのない空白のページがブラウザに表示されます。 |
| コンテンツ盗聴保護 |
ブラウザでドキュメントコンテンツから MIME タイプが推定されないようにします。また、ブラウザで悪意のあるファイルが動的コンテンツ (JavaScript、スタイルシート) として実行されないようにします。 |
| 参照元 URL 保護 |
ページを読み込むとき、参照元ヘッダーには URL 全体ではなく Salesforce.com のみが表示されます。この機能により、完全な URL だと公開されてしまう可能性のある機密情報 (組織 ID など) が参照元ヘッダーに表示されなくなります。この機能は、Chrome と Firefox でのみサポートされています。 |
| サイトとコミュニティの HSTS |
コミュニティおよび Lightning Platform サイトで HTTPS を要求します。この設定を 2 つの場所で有効にする必要があります。[セッションの設定] で [サイトとコミュニティの HSTS] を有効にする必要があり、コミュニティまたは Lightning Platform サイトのセキュリティ設定で [セキュアな接続 (HTTPS) が必要] を有効にする必要があります。「Force.com サイトの作成と編集」を参照してください。
|
| Salesforce の外部にユーザをリダイレクトする前にユーザに警告する |
ユーザが Salesforce から別のドメインに移動する場合、警告メッセージを表示します。この警告メッセージには、外部 URL への完全なリンクとドメイン名が含まれます。この機能を使用して、ユーザを悪意のある URL やフィッシングから保護してください。 |
| ログアウト URL |
ユーザが Salesforce からログアウトした後、認証プロバイダのページやカスタムブランドのページなど、特定のページにユーザをリダイレクトします。この URL は、ID プロバイダ、SAML シングルサインオン、または外部認証プロバイダの設定でログアウト URL が指定されていない場合にのみ使用されます。[ログアウト URL] に値が指定されていない場合、[私のドメイン] が有効でなければ https://login.salesforce.com がデフォルトになります。[私のドメイン] が有効な場合のデフォルトは https://customdomain.my.salesforce.com です。 |