この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

多要素認証ログイン要件の設定

プロファイルポリシーおよびセッションの設定を使用して、多要素認証 (MFA) ログイン要件を設定します。すべての Salesforce ユーザインターフェース認証方式に MFA 用件を適用できます。これらの方式には、ユーザ名とパスワード、代理認証、SAML シングルサインオン (SSO)、ソーシャルサインオン (外部認証プロバイダを使用した SSO) などがあります。Salesforce 組織とコミュニティの MFA 用件を有効にすることもできます。
使用可能なインターフェース: Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方
使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

必要なユーザ権限
プロファイルと権限セットを編集する 「プロファイルと権限セットの管理」
仮の確認コードを生成する ユーザインターフェースで多要素認証を管理

多要素認証は 2 要素認証 (2FA) と呼ばれていました。

メモ

次のいずれかの方法を使用して、MFA ログイン要件を設定します。

ユーザ権限

「ユーザインターフェースログインの多要素認証」権限をコピーしたユーザプロファイルまたは権限セットに割り当てます。「ユーザインターフェースログインの多要素認証」権限があるユーザは、Salesforce 組織またはコミュニティにログインするときに、検証方法を通じて 2 つ目の要素を入力する必要があります。ユーザは、モバイル認証アプリケーションや Universal Second Factor (U2F) セキュリティキーなどのサポートされる任意の検証方法を使用できます。

プロファイルベースのポリシー

特定のプロファイルに割り当てられたユーザに対して多要素認証を必須にするには、ログインに必要なセッションセキュリティレベルのプロファイル設定を編集します。次に、特定のログイン方法にポリシーを適用するように、組織のセッションセキュリティレベルを設定します。

デフォルトでは、ログイン時のセッションセキュリティ要件のプロファイル設定は [なし] になっています。プロファイルの [セッションの設定] を編集して要件を [高保証] に変更できます。[高保証] 要件が設定されたプロファイルユーザが、高保証ではなく標準レベルのセキュリティのログイン方法を使用すると、MFA を使用して ID を検証するように求められます。ユーザ認証に成功すると、Salesforce にログインします。

ログイン方法に割り当てるセキュリティレベル (標準または高保証) は、組織の [セッションの設定] で編集できます。

モバイルデバイスを使用するユーザは、Salesforce Authenticator モバイルアプリケーションまたはサードパーティ認証アプリケーションを MFA の検証方法として使用できます。内部ユーザは、個人設定の [高度なユーザの詳細] ページで、アプリケーションを自分のアカウントに接続できます。プロファイルで [高保証] 要件が設定されていると、Salesforce Authenticator や他の認証アプリケーションのないプロファイルユーザは、アプリケーションをアカウントに接続するよう求められます。アプリケーションを接続した後、アプリケーションを使用して ID を検証するよう求められます。

また、登録済みの U2F セキュリティキーを MFA 用の検証方法として使用することもできます。

[高保証] プロファイル要件が設定されているコミュニティメンバーは、ログイン中に認証アプリケーションを接続するよう促されます。

コミュニティで多要素認証が有効になっている場合、システム管理者はコミュニティにアクセスするために「...としてログイン」機能を使用することができません。「コミュニティユーザの作成」を参照してください。

メモ

ユーザが OAuth 認証フローを使用してログインする場合、多要素認証を 2 回使用して ID を検証するよう要求される場合があります。1 回目は、UI セッションのときです。2 回目は、アクセストークンが UI にブリッジされるときです。[高保証] のセッションセキュリティレベルをアクセストークンに転送することはできません。

  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力し、[プロファイル] を選択します。
  2. プロファイルを選択します。
  3. [セッションの設定] までスクロールして、[ログインに必要なセッションセキュリティレベル] 設定を見つけます。
  4. [編集] をクリックして [高保証] を選択します。
  5. [保存] をクリックします。
  6. [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
  7. [セッションセキュリティレベル] で、[高保証] 列が [多要素認証] であることを確認します。
    [多要素認証] が [標準] 列にある場合、標準レベルセキュリティを付与する方法を使用してログインすると、エラーが発生します。

    [有効化] を [高保証] 列に移動することを検討します。この設定により、不明なブラウザまたはアプリケーションから ID を検証するユーザによって、高保証セッションが確立されます。[有効化] が [高保証] 列にある場合は、ログイン時に ID を検証するプロファイルユーザは、再度 ID 検証を求められることがなくなります。

    メモ

  8. 変更内容を保存します。

Facebook および LinkedIn をコミュニティの認証プロバイダとして設定したとします。コミュニティメンバーの多くは、ソーシャルサインオンを使用して、Facebook または LinkedIn アカウントからユーザ名とパスワードを使ってログインします。セキュリティを強化するため、顧客が Facebook アカウントでログインするときには多要素認証の使用を要求します。LinkedIn アカウントでログインするユーザには、自動的に [高保証] アクセス権を付与して、MFA を省略します。
  • カスタマーコミュニティユーザプロファイルで、[ログインに必要なセッションセキュリティレベル] を [高保証] に設定します。
  • 組織のセッション設定で、セッションセキュリティレベルを編集します。
    • Facebook アカウントには MFA を要求しているため、[標準] 列に [Facebook] が設定されていることを確認します。
    • [多要素認証] を [高保証] 列に追加します。ユーザが Facebook アカウントでログインするとき、ユーザ名とパスワードに加えてもう 1 つの検証方法を用意するように要求されます。
    • [LinkedIn] を [高保証] 列に追加します。ユーザが LinkedIn アカウントでログインするとき、検証方法を用意しなくても、[高保証] アクセス権が付与されます。
例の組織のセッションセキュリティレベル。

特定の条件下で ID 検証を開始する場合、ログインフローを使用して、ユーザのセッションセキュリティレベルを変更できます。ログインフローにより、ビジネス要件を満たすカスタムの認証後のプロセスを構築できます。

メモ

MFA に通常使用しているデバイスを紛失したか、忘れたユーザのために、仮の確認コードを生成できます。コードの有効期限が生成後 1 ~ 24 時間後に切れるように設定します。コードは有効期限まで繰り返し使用できます。ユーザが使用できる仮のコードは一度に 1 つのみです。以前のコードがまだ有効な間にユーザが新しいコードを必要とする場合は、以前のコードを期限切れにして新しいコードを生成できます。ユーザは、個人設定で自分の有効なコードを期限切れにできます。

[高保証] プロファイル要件は、ユーザインターフェースログインに適用されます。OAuth トークン交換は要件の対象ではありません。プロファイルに [高保証] 要件が設定される前に取得された OAuth 更新トークンは、引き続き、有効な API アクセストークンに交換できます。トークンは標準保証セッションで取得された場合でも有効です。外部アプリケーションで API にアクセスする前に高保証セッションの確立をユーザに要求するには、そのプロファイルのユーザに対する既存の OAuth トークンを取り消します。次に、プロファイルに [高保証] 要件を設定します。ユーザは MFA を使用してログインし、アプリケーションを再認証する必要があります。

メモ