この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザ認証の要素
ユーザ認証の設定
ユーザが Salesforce にログインできる範囲と時間帯の制限
拡張プロファイルユーザインターフェースでのログイン IP アドレスの制限
元のプロファイルユーザインターフェースでのログイン IP アドレスの制限
拡張プロファイルユーザインターフェースでのログイン時間帯の表示と編集
元のプロファイルユーザインターフェースでのログイン時間帯の表示と編集
組織の信頼済み IP 範囲の設定
パスワードポリシーの設定
すべてのユーザのパスワードのリセット
セッションセキュリティ設定の変更
ユーザの ID 検証設定の定義
機密情報の操作への高保証セッションセキュリティの要求
ログインフローの作成
ログインフローの設定とプロファイルへの接続
ログインフローの例
2 要素認証の設定
サードパーティの SMS ベースの 2 要素認証のリリース
ログインフローによる同時セッション数の制限
接続アプリケーション
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield Platform Encryption でのデータのセキュリティの強化
組織のセキュリティの監視
リアルタイムイベントモニタリング
Apex および Visualforce 開発のセキュリティガイドライン
PDF

ユーザが Salesforce にログインできる範囲と時間帯の制限

ユーザが Salesforce にログインできる時間帯と、ログインおよびアクセスできる IP アドレスの範囲を制限できます。IP アドレスの制限はユーザのプロファイルおよび不明な IP アドレスからのログインに対して定義され、Salesforce によってユーザのログインが拒否されます。この制限は、未承認のアクセスおよびフィッシング攻撃からデータを保護するのに役立ちます。

ログイン時間帯の制限

プロファイルごとに、ユーザがログインできる時間帯を設定できます。次のトピックを参照してください。

ユーザインターフェースログインの 2 要素認証

プロファイルごとに、ユーザインターフェースを使用してログインするときに 2 つ目の認証方法を使用するようユーザに要求できます。「2 要素認証ログイン要件の設定」および「シングルサインオン、ソーシャルサインオン、コミュニティに対する 2 要素認証ログイン要件およびカスタムポリシーの設定」を参照してください。

API ログインの 2 要素認証

プロファイルごとに、時間ベースのワンタイムパスワードまたは TOTP とも呼ばれる確認コードを要求できます。「API ログインの 2 要素認証」権限を持つユーザは、アカウントのパスワードのリセット時など、要求されたときはいつでも、標準のセキュリティトークンではなく、確認コードを使用します。確認コードは、ユーザが自分のアカウントに接続する認証アプリケーションによって生成されます。「API アクセスの 2 要素認証ログイン要件の設定」を参照してください。

ログイン IP アドレス範囲の制限

Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition の場合、ユーザがどのアドレス範囲からログインできるかを指定する [ログイン IP アドレスの制限] のアドレスを個々のプロファイルに設定できます。ログイン IP の範囲外のユーザは、Salesforce 組織にアクセスできません。

Contact Manager Edition、Group Edition、および Professional Edition の場合、[ログイン IP アドレスの制限] を設定します。範囲を設定するには、[設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。

すべてのアクセス要求に対するログイン IP アドレス範囲の適用

クライアントアプリケーションからの要求を含むページ要求ごとに IP アドレス制限を適用できます。このオプションを有効にするには、[設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択して、[すべての要求でログイン IP アドレスの制限を適用] を選択します。このオプションは、ログイン IP アドレスが制限されたすべてのユーザプロファイルに影響します。

組織全体の信頼できる IP アドレス範囲

すべてのユーザについて、ユーザがログインの問題が発生することなく常にログインできる IP アドレス範囲のリストを設定できます。これらのユーザは、追加の確認情報を提供した後で組織にログインできます。「組織の信頼済み IP 範囲の設定」を参照してください。

ユーザがユーザインターフェース、API、または Salesforce for Outlook、Connect Offline、Connect for Office、データローダなどのデスクトップクライアントを使用して Salesforce にログインする場合、Salesforce は、ログインを次の方法で承認します。
  1. Salesforce は、ユーザのプロファイルにログイン時間の制限が設定されているかどうかを確認します。ユーザのプロファイルにログイン時間の制限が指定されている場合、それ以外の時間にログインを試みようとすると、拒否されます。
  2. ユーザに「ユーザインターフェースログインの 2 要素認証」権限がある場合は、ログイン時に 2 つ目の認証をするように Salesforce がユーザに促します。ユーザのアカウントが Salesforce Authenticator などのモバイル認証アプリケーションにまだ接続されていない場合は、Salesforce がユーザに、まずアプリケーションに接続するように促します。
  3. ユーザに「API ログインの 2 要素認証」権限があり、認証アプリケーションがアカウントに接続されている場合、ユーザは認証アプリケーションで生成される確認コード (TOTP) を入力する必要があります。ユーザが標準のセキュリティトークンを使用している場合、Salesforce はエラーを返します。
  4. Salesforce は次に、ユーザのプロファイルに IP アドレス範囲の制限が定義されているかどうかを確認します。定義されている場合、その IP アドレス範囲外からのログインは拒否されます。[すべての要求でログイン IP アドレスの制限を適用] セッション設定が有効になっている場合、クライアントアプリケーションからの要求も含め、ページ要求ごとに IP アドレス制限が適用されます。
  5. プロファイルベースの IP アドレス制限が設定されていない場合、Salesforce は、ユーザのログイン元のデバイスが、以前 Salesforce へのアクセスに使用されたかどうかを確認します。
    • Salesforce が認識するデバイスやブラウザからユーザがログインしている場合は、ログインが許可されます。
    • 信頼できる IP アドレスのリストに含まれる IP アドレスからのログインであれば、ログインは許可されます。
    • Salesforce で認識された信頼できる IP アドレス、デバイス、またはブラウザからユーザがログインしていない場合、ログインはブロックされます。
ログインがブロックされるか、API ログインの失敗エラーが返された場合、Salesforce は、ユーザの ID を検証します。
  • ユーザインターフェース経由でアクセスする場合、ユーザは、Salesforce Authenticator (バージョン 2 以降) を使用して検証するか、確認コードを入力するように求められます。

    ユーザが Salesforce に初めてログインするときは、確認コードを要求されません。

    メモ

  • API またはクライアントアプリケーション経由でアクセスする場合、ユーザプロファイルに「API ログインの 2 要素認証」権限が設定されているときは、認証アプリケーションで生成された確認コードをユーザが入力します。

    この権限が設定されていない場合、ユーザはログインパスワードの末尾にセキュリティトークンを追加する必要があります。セキュリティトークンは Salesforce から生成されるキーです。たとえば、パスワードが mypassword で、セキュリティトークンが XXXXXXXXXX の場合は、ログイン時に「mypasswordXXXXXXXXXX」と入力します。また、クライアントアプリケーションによっては、別個にセキュリティトークン用の項目があります。

    セキュリティトークンを取得するには、Salesforce ユーザインターフェースを通じてパスワードを変更するか、セキュリティトークンをリセットします。ユーザがパスワードを変更するか、セキュリティトークンをリセットすると、Salesforce がユーザの Salesforce レコードのメールアドレス宛に新しいセキュリティトークンを送信します。セキュリティトークンは、ユーザがセキュリティトークンをリセットするか、パスワードを変更するか、またはパスワードがリセットされるまで有効です。

    新しい IP アドレスから Salesforce にアクセスする前に、[私のセキュリティトークンのリセット] を使用して信頼できるネットワークからセキュリティトークンを取得しておくことをお勧めします。

    ヒント

ログイン制限の設定に関するヒント

ログイン制限を設定するときには、次の点を考慮してください。
  • ユーザのパスワードが変更されると、セキュリティトークンがリセットされます。API またはクライアントを使用してログインする場合は、生成されるセキュリティトークンをユーザがパスワードの末尾に追加するまで、ログインがブロックされる場合があります。
  • パートナーポータルとカスタマーポータルのユーザは、ログインを行うためにブラウザをアクティベートする必要はありません。
  • 次のイベントは、ロックアウトされるまでの無効なパスワードによるログイン試行回数のカウントの対象となります。
    • ユーザが ID 検証が促された場合
    • ユーザが API またはクライアント経由で Salesforce にログインするときに、パスワードの末尾に追加したセキュリティトークンまたは確認コードが誤っていた場合