この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

シングルサインオン、ソーシャルサインオン、コミュニティに対する 2 要素認証ログイン要件およびカスタムポリシーの設定

プロファイルポリシーおよびセッションの設定を使用して、ユーザに対する 2 要素認証ログイン要件を設定します。すべての Salesforce ユーザインターフェース認証方式に 2 要素認証要件を適用できます。これらの方式には、ユーザ名とパスワード、代理認証、SAML シングルサインオン、サードパーティ認証プロバイダ経由のソーシャルサインオンなどがあります。Salesforce 組織およびコミュニティのユーザにも 2 要素認証要件を適用できます。
使用可能なインターフェース: Salesforce Classic (���用できない組織もあります) および Lightning Experience の両方
使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

必要なユーザ権限
プロファイルと権限セットを編集する 「プロファイルと権限セットの管理」
仮の確認コードを生成する 「ユーザインターフェースで 2 要素認証を管理」

デモを見る: デモビデオを見るLightning Login Overview (Lightning Login の概要) (英語のみ)

特定のプロファイルに割り当てられたユーザに対して 2 要素認証を必須にするには、[ログインに必要なセッションセキュリティレベル] プロファイル設定を編集します。次に、特定のログイン方法にポリシーを適用するように、組織のセッションセキュリティレベルを設定します。

デフォルトでは、[ログイン時のセッションセキュリティ要件] プロファイル設定は [なし] になっています。プロファイルの [セッションの設定] を編集して要件を [高保証] に変更できます。[高保証] 要件が設定されたプロファイルユーザが、高保証ではなく標準レベルのセキュリティのログイン方法を使用すると、2 要素認証を使用して ID を検証するように求められます。ユーザ認証に成功すると、Salesforce にログインします。

ログイン方法に割り当てるセキュリティレベル (標準または高保証) は、組織の [セッションの設定] で編集できます。

モバイルデバイスを使用するユーザは、Salesforce Authenticator モバイルアプリケーションまたは 2 要素認証用の他の認証アプリケーションを使用できます。内部ユーザは、個人設定の [高度なユーザの詳細] ページで、アプリケーションを自分のアカウントに接続できます。プロファイルで [高保証] 要件が設定されていると、Salesforce Authenticator や他の認証アプリケーションのないプロファイルユーザは、アプリケーションをアカウントに接続するよう求められます。アプリケーションを接続した後、アプリケーションを使用して ID を検証するよう求められます。

ユーザは、登録済み U2F セキュリティキーを 2 要素認証に使用できます。

[高保証] プロファイル要件が設定されているコミュニティメンバーは、ログイン中に認証アプリケーションを接続するよう促されます。

コミュニティで 2 要素認証が有効になっている場合、システム管理者はコミュニティにアクセスするための機能としてログインを使用することができません。「コミュニティユーザの作成」を参照してください。

メモ

  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力し、[プロファイル] を選択します。
  2. プロファイルを選択します。
  3. [セッションの設定] までスクロールして、[ログインに必要なセッションセキュリティレベル] 設定を見つけます。
  4. [編集] をクリックして [高保証] を選択します。
  5. [保存] をクリックします。
  6. [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
  7. [セッションセキュリティレベル] で、[高保証] 列が [2 要素認証] であることを確認します。
    [2 要素認証] が [標準] 列にある場合、標準レベルセキュリティを付与する方法を使用してログインすると、エラーが発生します。

    [有効化] を [高保証] 列に移動することを検討します。この設定により、不明なブラウザまたはアプリケーションから ID を検証するユーザによって、高保証セッションが確立されます。[有効化] が [高保証] 列にある場合は、ログイン時に ID を検証するプロファイルユーザは、再度 ID 検証を求められることがなくなります。

    メモ

  8. 変更内容を保存します。

Facebook および LinkedIn をコミュニティの認証プロバイダとして設定したとします。コミュニティメンバーの多くは、ソーシャルサインオンを使用して、Facebook または LinkedIn アカウントからユーザ名とパスワードを使ってログインします。セキュリティを強化するため、カスタマーコミュニティユーザが Facebook アカウントでログインするときには 2 要素認証の使用を要求します。LinkedIn アカウントでログインするユーザには、自動的に [高保証] アクセス権を付与して、2 要素認証を省略します。
  • カスタマーコミュニティユーザプロファイルで、[ログインに必要なセッションセキュリティレベル] を [高保証] に設定します。
  • 組織のセッション設定で、セッションセキュリティレベルを編集します。
    • Facebook アカウントには 2 要素認証を要求しているため、[標準] 列に [Facebook] が設定されていることを確認します。
    • [2 要素認証] を [高保証] 列に追加します。ユーザが Facebook アカウントでログインするとき、2 つ目の認証要素を提示するように要求されます。
    • [LinkedIn] を [高保証] 列に追加します。ユーザが LinkedIn アカウントでログインするとき、2 つ目の認証要素を提示することなく、[高保証] アクセス権が付与されます。
例の組織のセッションセキュリティレベル。

特定の条件下で ID 検証を開始する場合、ログインフローを使用して、ユーザのセッションセキュリティレベルを変更できます。ログインフローにより、ビジネス要件を満たすカスタムの認証後のプロセスを構築できます。

メモ

2 要素認証に通常使用しているデバイスを紛失したか、忘れたユーザのために、仮の確認コードを生成できます。コードの有効期限が生成後 1 ~ 24 時間後に切れるように設定します。コードは有効期限まで繰り返し使用できます。ユーザが使用できる仮のコードは一度に 1 つのみです。以前のコードがまだ有効な間にユーザが新しいコードを必要とする場合は、以前のコードを期限切れにして新しいコードを生成できます。ユーザは、個人設定で自分の有効なコードを期限切れにできます。

[高保証] プロファイル要件は、ユーザインターフェースログインに適用されます。OAuth トークン交換は要件の対象ではありません。プロファイルに [高保証] 要件が設定される前に取得された OAuth 更新トークンは、引き続き、有効な API アクセストークンに交換できます。トークンは標準保証セッションで取得された場合でも有効です。外部アプリケーションで API にアクセスする前に高保証セッションの確立をユーザに要求するには、そのプロファイルのユーザに対する既存の OAuth トークンを取り消します。次に、プロファイルに [高保証] 要件を設定します。ユーザは 2 要素認証を使用してログインし、アプリケーションを再認証する必要があります。

メモ