この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

セッションセキュリティレベルを使用した MFA の有効化

Salesforce の [セッションの設定] のログイン方法に割り当てられたセキュリティレベル (標準保証または高保証) を使用する多要素認証 (MFA) を有効にできます。
使用可能なインターフェース: Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方
使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

必要なユーザ権限
プロファイルと権限セットを編集する 「プロファイルと権限セットの管理」
仮の確認コードを生成する 「ユーザインターフェースで多要素認証の管理」

MFA は以前は 2 要素認証 (2FA) と呼ばれていました。

メモ

特定のプロファイルに割り当てられたユーザに対して MFA を必須にするには、[ログインに必要なセッションセキュリティレベル] プロファイル設定を編集します。次に、特定のログイン方法にポリシーを適用するように、セッションセキュリティレベルを設定します。

デフォルトでは、ログイン時のセッションセキュリティ要件のプロファイル設定は [なし] になっています。プロファイルの [セッションの設定] を編集して要件を高保証に変更できます。高保証要件が設定されたプロファイルユーザが、高保証ではなく標準レベルのセキュリティのログイン方法を使用すると、MFA を使用して ID を検証するように求められます。ユーザ認証に成功すると、Salesforce にログインします。

モバイルデバイスを使用するユーザは、Salesforce Authenticator モバイルアプリケーションまたはサードパーティ認証アプリケーションを MFA の検証方法として使用できます。ユーザは、個人設定の [高度なユーザの詳細] ページで、アプリケーションを自分のアカウントに接続できます。プロファイルで高保証要件が設定されていると、Salesforce Authenticator や他の認証アプリケーションのないプロファイルユーザは、アプリケーションをアカウントに接続するよう求められます。アプリケーションを接続した後、アプリケーションを使用して ID を検証するよう求められます。

また、登録済みの U2F セキュリティキーを MFA 用の検証方法として使用することもできます。

高保証プロファイル要件が設定されている Experience Cloud サイトメンバーは、ログイン中に認証アプリケーションを接続するよう促されます。

サイトで MFA が有効になっている場合、システム管理者はサイトにアクセスするために「...としてログイン」機能を使用することができません。「Experience Cloud ユーザの作成」を参照してください。

メモ

ユーザが OAuth 認証フローを使用してログインする場合、MFA を 2 回使用して ID を検証するよう要求される場合があります。1 回目は、UI セッションのときです。2 回目は、アクセストークンが UI にブリッジされるときです。高保証セッションセキュリティレベルをアクセストークンに転送することはできません。

  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力し、[プロファイル] を選択します。
  2. プロファイルを選択します。
  3. [セッションの設定] までスクロールして、[ログインに必要なセッションセキュリティレベル] 設定を見つけます。
  4. [編集] をクリックして [高保証] を選択します。
  5. 変更内容を保存します。
  6. [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
  7. [セッションセキュリティレベル] で、[高保証] 列が [多要素認証] であることを確認します。
    [多要素認証] が [標準] 列にある場合、標準レベルセキュリティを付与する方法を使用してログインすると、エラーが発生します。

    [有効化] を [高保証] 列に移動することを検討します。この設定により、不明なブラウザまたはアプリケーションから ID を検証するユーザによって、高保証セッションが確立されます。[有効化] が [高保証] 列にある場合は、ログイン時に ID を検証するプロファイルユーザは、再度 ID 検証を求められることがなくなります。

    メモ

  8. 変更内容を保存します。

Facebook および LinkedIn をサイトの認証プロバイダとして設定したとします。サイトメンバーの多くは、ソーシャルサインオンを使用して、Facebook または LinkedIn アカウントからユーザ名とパスワードを使ってログインします。セキュリティを強化するため、顧客が Facebook アカウントでログインするときには MFA の使用を要求します。LinkedIn アカウントでログインするユーザには、自動的に高保証アクセス権を付与して、MFA を省略します。
  • カスタマーコミュニティユーザプロファイルで、[ログインに必要なセッションセキュリティレベル] を [高保証] に設定します。
  • セッションの設定で、セッションセキュリティレベルを編集します。
    • Facebook アカウントには MFA を要求しているため、[標準] 列に [Facebook] が設定されていることを確認します。
    • [多要素認証] を [高保証] 列に追加します。ユーザが Facebook アカウントでログインするとき、ユーザ名とパスワードに加えてもう 1 つの検証方法を用���するように要求されます。
    • [LinkedIn] を [高保証] 列に追加します。ユーザが LinkedIn アカウントでログインするとき、検証方法を用意しなくても、[高保証] アクセス権が付与されます。
例の組織のセッションセキュリティレベル。

特定の条件下で ID 検証を開始する場合、ログインフローを使用して、ユーザのセッションセキュリティレベルを変更できます。ログインフローにより、ビジネス要件を満たすカスタムの認証後のプロセスを構築できます。

メモ

MFA に通常使用しているデバイスを紛失したか、忘れたユーザのために、仮の確認コードを生成できます。コードの有効期限が生成後 1 ~ 24 時間後に切れるように設定します。コードは有効期限まで繰り返し使用できます。ユーザが使用できる仮のコードは一度に 1 つのみです。以前のコードがまだ有効な間にユーザが新しいコードを必要とする場合は、以前のコードを期限切れにして新しいコードを生成できます。ユーザは、個人設定で自分の有効なコードを期限切れにできます。

高保証セキュリティ設定は、UI ログインに適用されます。OAuth トークン交換は要件の対象ではありません。プロファイルに高保証セキュリティ設定が適用される前に取得された OAuth 更新トークンは、引き続き、有効な API アクセストークンに交換できます。トークンは標準保証セッションで取得された場合でも有効です。外部アプリケーションで API にアクセスする前に高保証セッションの確立をユーザに要��するには、そのプロファイルのユーザに対する既存の OAuth トークンを取り消します。次に、プロファイルに高保証セキュリティ設定を割り当てます。ユーザは MFA を使用してログインし、アプリケーションを再認証する必要があります。

メモ