ログインフローの例

ログイン時のユーザデータの収集と更新

このログインフローでユーザに確認または更新を要求する電話番号は、ユーザアカウントで更新されます。

1. ユーザオブジェクトを照会してユーザの電話番号を検索します (存在する場合)。
2. 電話番号を表示し、ユーザに確認または更新するように要求します。
3. 新しい番号が入力された場合は、ユーザオブジェクトを更新します。

フローの作成

1. Flow Builder に移動します。
2. ツールボックスの [マネージャ] タブで、[新規リソース] をクリックし、ユーザの ID を保存できる変数を作成します。

   ログインイベントはコンテキスト属性のリストをフローに渡します。フローが開始されると、対応する属性の値が該当の入力変数に入力されます。フローでこれらの属性を使用するには、LoginFlow_ATTRIBUTE_NAME 形式を使用してローカルテキスト変数を定義します。たとえば、LoginFlow_UserId を使用して、ログインしているユーザの ID を検証し、関連するユーザオブジェクトを照会できます。

   

   各変数を追加すると、[マネージャ] タブに表示されます。

   次の入力変数がサポートされています。

   • LoginFlow_LoginType
   • LoginFlow_IpAddress
   • LoginFlow_UserAgent
   • LoginFlow_Platform
   • LoginFlow_Application
   • LoginFlow_Community
   • LoginFlow_SessionLevel
   • LoginFlow_UserId

   また、これらの属性はフローに出力属性として保存することもできます。

   • LoginFlow_FinishLocation (Text 型) — この変数によって、フロー完了時のユーザの移動先が決まります。
   • LoginFlow_ForceLogout (Boolean 型) — この変数が true に設定されていると、ユーザは直ちにログアウトされます。
3. [マネージャ] タブで、[新規リソース] をクリックし、ユーザ空の値を保存できるレコード変数を作成します。
   
4. レコード取得要素を追加して、ログインしようとしているユーザを検索します。
   
5. 変数に保存するユーザ項目を指定します。たとえば、Phone や MobilePhone などです。
   
6. 記録されている電話番号の確認をユーザに要求するためのようこそ画面を作成します。
   
7. 画面の各電話コンポーネントのデフ���ルト値を設定するには、[値] を {!user} レコード変数の該当する項目に設定します。電話の場合は {!user.Phone} です。携帯電話の場合は {!user.mobilePhone} です。
8. 各電話コンポーネントについてのユーザの入力内容を保存するには、コンポーネントの [出力値を保存] セクションで、[値] を前のステップと同じ項目に設定します。
   
9. {!user} レコード変数の値を使用するレコード更新要素を追加して、ユーザの電話番号を更新します。各電話画面コンポーネントの出力を {!user} レコード変数の項目に保存しているため、フローではユーザを更新するためにこれらの値が使用されます。
   
10. 要素と要素を接続します。
    
11. ログインフローに名前を付けて保存します。
    
12. ログインフローをユーザプロファイルに接続します。ベストプラクティスは、テストプロファイルを持つ専用のテストユーザを作成することです。

    ログインフローが適切に動作することを確認するまで、ログインフローをシステム管理者プロファイルに関連付けないでください。そうしないと、失敗した場合にシステム管理者が組織にログインできなくなります。

    メモ

13. ログアウトし、テストユーザとしてログインしてフローをテストします。

    Welcome Flow の例をテストすると、Lightning Experience では次のような画面が表示されます。

    

多要素認証 (MFA) の設定

この例では、時間ベースのワンタイムパスワード (TOTP) 認証を Salesforce でサポートされる MFA 方式で拡張します。TOTP アルゴリズムは共有秘密鍵と現在時刻からワンタイムパスワードを計算します。

フローは次の処理を行います。

• ユーザが未登録の場合、新しい秘密鍵を生成し、ユーザにクイックレスポンス (QR) コードで鍵を登録するように促します。ユーザが有効な TOTP トークンを入力すると、秘密鍵がユーザレコードに保存されます。この鍵は、以降のログインで再利用されます。
• ユーザが登録済みの場合、ユーザに TOTP トークンの入力のみを促します。

ユーザは Salesforce Authenticator や Google Authenticator などの時間ベースの認証アプリケーションを使用して QR コードをスキャンし、TOTP トークンを生成できます。

会社のロゴ、会社の色などを追加して、このフローを拡張し、ユーザ操作をカスタマイズできます。さまざまなポリシーを追加して適用することさえできます。たとえば、IP ベースの MFA プロセスを作成して、IP アドレスが特定の範囲外である場合にのみ第 2 認証要素を要求できます。

この例では TwoFactorInfo オブジェクトと Auth.SessionManagement Apex クラスを使用して、Salesforce でサポートされる標準ベースの TOTP 多要素認証をカスタマイズおよび管理します。

1. 現在のユーザの TwoFactorInfo オブジェクトを検索します。ユーザが未登録の場合、鍵を生成します。
2. ユーザが TOTP に登録済みかどうかを判別します。
3. ユーザが登録済みの場合、ユーザに TOTP トークンを入力するように促します。
4. ユーザが未登録の場合、ユーザに QR コードで登録し、TOTP トークンを入力するように促します。
5. TOTP トークンを検証します。トークンが有効な場合、ログインフローは完了し、ユーザはログインします。
6. TOTP トークンが無効な場合、ユーザはステップ 2 に戻されます。

TOTP フローの設定

1. 変数を作成します。
   • secret – 多要素操作の秘密鍵を保存します。
   • qr_url – 秘密鍵の QR コードエンコーディングの URL を保存します。
   • IsTokenValid – 検証結果を保存します。

   secret および qr_url は Text 変数で、IsTokenValid は Boolean 変数です。

   
2. TOTP に未登録のユーザに対して新しい秘密を生成するには、Apex アクション (従来) 要素をキャンバスにドラッグし、TOTPPlugin の従来の Apex アクションを選択します。
   

   Apex アクションとは、フローの標準機能を拡張する Apex クラスです。Apex アクションを使用して、複雑な計算、外部サービスへの API コールなどを実行できます。

   TOTPPlugin は Salesforce の TOTP メソッドにアクセスし、時間ベースの秘密鍵と QR コードを生成し、TOTP を検証します。TOTPPlugin の Apex クラスは、ログインフローのサンプルパッケージから入手できます。

   この従来の Apex アクションには、次の入力パラメータがあります。

   • OTP_INPUT – ユーザが入力する TOTP トークン。
   • OTP_REGISTRATION_INPUT – ユーザが最初の登録時に入力する TOTP トークン。
   • SECRET_INPUT – TOTP の生成に使用される秘密鍵。

   次の出力値が返されます。

   • SECRET_OUTPUT – このプラグインで生成された秘密鍵。
   • QR_URL_OUTPUT – 秘密鍵の QR エンコーディング。
   • IsValid_OUTPUT – 検証が成功した場合、true を返します。ない場合は false を返します。

   ユーザが未登録の場合、新しい秘密鍵と QR コードを生成するようにこの TOTPPlugin のインスタンスを設定します。この場合、入力は渡されません。

   

   秘密鍵と QR コードの URL は、secret および qr_url 変数に保存されます。

   
3. ユーザを登録するための決定要素を設定します。

   この決定は、secret が null かどうかを検証します。null ではない場合、ユーザの登録が必要です。[Registration (登録)] を決定の結果として定義します。null の場合、ユーザは登録済みであり、TOTP トークンの入力のみを要求する必要があります。デフォルトの結果のラベルを [Get TOTP (TOTP を取得)] に変更します。

   
4. TOTP 画面を設定します。

   登録済みのユーザは、この画面に転送され、TOTP トークンを要求されます。フローの後半で、テキストコンポーネント (OTP_input) の API 名を参照して、ユーザが入力する TOTP トークンを使用できます。

   
5. 登録画面を設定します。QR コードをスキャンして、TOTP クライアントアプリケーションを初期化し、TOTP トークンを入力するようユーザに要求します。
   
6. ユーザが入力する TOTP トークンを検証するには、TOTPPlugin の従来の Apex アクションの別のインスタンスを設定します。

   この TOTPPlugin の従来の Apex アクションは、次の両方の使用事例をサポートしています。

   • ユーザが登録画面から移動してきます。ユーザは QR コードをスキャンして TOTP トークンを入力する必要があります。TOTP トークンと秘密の両方が検証のために TOTPPlugin に渡されます。TOTPPlugin は秘密に対して TOTP トークンを検証します。有効な場合、秘密はユーザレコードに登録され、以降のログインで使用されます。
   • ユーザがトークンの取得画面から移動してきます。ユーザは登録済みであり、TOTP トークンのみを入力します。TOTP トークンは、検証のために TokenInput パラメータを介して TOTPPlugin に渡されます。
   

   isTokenValid パラメータは検証状況を返し、その値は isTokenValid フロー変数に保存されます。

   
7. 2 つのいずれかの結果で別の決定要素を設定し、ユーザをログインするかどうかを判別します。
   • IsTokenValid が true の場合、トークンは有効です。
   • それ以外の場合、トークンは無効です。

   検証が成功した場合、ユーザはフローの最後まで進み、クリックして次のステップに移動し、アプリケーションにログインします。検証が失敗した場合、フローはユーザをフローのステップ 2 にリダイレクトして戻します。ステップ 2 では、登録済みユーザに新しい TOTP トークンの入力が要求されます。ユーザが未登録の場合、ユーザには新しい TOTP トークンの登録と入力が要求されます。

   
8. 要素と要素を接続します。
   • [Registration (登録)] の決定を [Registration (登録)] 画面に接続するには、[Registration (登録)] の結果を選択します。
   • [Registration (登録)] の決定を [Get TOTP (TOTP を取得)] 画面に接続するには、[Get TOTP (TOTP を取得)] の結果を選択します。
   • [ログイン] の決定を [Registration (登録)] の決定に接続するには、[Token is invalid (トークンは無効)] の結果を選択します。
9. ログインフローを保存し、有効化し、ユーザプロファイルに接続します。

サードパーティの強力な認証方式の統合

ログインフローを使用すると、API を使用して外部のサードパーティ認証プロバイダとやりとりすることができます。

たとえば、Yubico は YubiKey という物理的なセキュリティキーを使用する強力な認証を提供しています。Yubico はまた、GitHub で Apex ライブラリとログインフローの例も提供しています。このライブラリには、YubiKey ワンタイムパスワード (OTP) を検証するための Apex クラスが含まれています。これらのクラスを使用すると、Salesforce ユーザは、ログイン時の第 2 認証要素として YubiKey を使用できます。詳細は、yubikey-salesforce-client を参照してください。

Twilio や TeleSign のようなサードパーティの SMS または音声配信サービスを導入して、SMS ベースの多要素認証と ID 検証フローを実装することもできます。詳細は、「サードパーティの SMS ベースの多要素認証のリリース」を参照してください。

ログインフローのサンプルパッケージ