Salesforceにログインする際、多要素認証(MFA)が必要になっています。Salesforceにおいて多要素認証(MFA)を実現するためのツールが「Salesforce Authenticator」です。
この記事では多要素認証(MFA)の基本から、Salesforce Authenticatorの具体的な導入方法をわかりやすく解説します。
多要素認証(MFA)とは?はぜ必要なのか
多要素認証(MFA)とは、Multi-Factor Authenticationの略で、以下に挙げられる3つの要素のうち、2つ以上を掛け合わせることで、セキュリティレベルを高める方法です。
- 知識情報:ID・パスワードや秘密の質問
- 所持情報:スマホ認証やICカード、PCに挿して認証する専用ハードウェアなど
- 生体情報:指紋、静脈、声紋など
多要素認証(MFA)と二段階認証の違い
MFAは、前述の認証3要素、「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせた認証手法です。
一方、二段階認証は認証の段階が2つあるものの、要素の組み合わせは問いません。例えば、IDとパスワードの後に秘密の質問に回答する場合、両方とも「知識情報」に分類されるため、多要素になっておらず、二段階認証となります。
Salesforce Authenticatorは、IDとパスワードの後に、スマホのアプリでログインを承認するステップを挟みます。つまり「知識情報」「所持情報」の2要素(多要素)での認証となります。
Salesforce Authenticatorとは?
Salesforce Authenticatorは、Salesforceログイン時に多要素認証(MFA)を実現するためのツールで、主にスマートフォンにインストールして使用します。
使い方のイメージとしては、PCからSalesforceにログインする際に、IDパスワードの他に、スマホ側でログイン承認ボタンを押すことでセキュリティを高める形となります。
これにより、もしパスワードが漏洩したり、PCを紛失しても不正アクセスを防ぐことができます。
Salesforce Authenticatorを有効化した場合のログイン手順はどう変わる?
手順①:まずはいつも通り、PCのログインページからログインします。
すると、Salesforce Authenticatorをインストールしてアカウント紐づけ済みのスマートフォンに通知が来ます。通知センターに下図の通知が表示され、スマーとフォンが振動します。
手順②:スマートフォンからSalesforce Authenticatorを開き、承認ボタンを押します。これでログインできます。もしapple watchをお使いであれば、スマホを開いて認証せずともapple watchから承認ボタンを押すことが出来ます。
Salesforce Authenticator以外の方法でMFAを実現できる?
Salesforce Authenticatorを導入することでセキュリティが高まることは嬉しいですが、ログイン時の手間が増えてしまう点は否めません。
さらに社用スマホが無い場合に個人のスマホにSalesforce Authenticatorをインストールさせなければならないので、なかなか導入に踏み切れない場合もあるかと思います。
Salesforce Authenticatorの具体的な設定方法を確認する前に、他の選択肢がないのか、検討するための情報をご提供します。
| 特徴 | Salesforce Authenticator | サードパーティの認証アプリケーション | 物理キー | 組み込み Authenticator |
|---|---|---|---|---|
| 説明 | モバイルアプリを使用してログイン。 | Google Authenticator、Microsoft Authenticator、Authyなど。 | 公開鍵暗号化を使用する物理デバイス。 | Windows Hello、 Touch ID、Face ID など |
| 詳細 | ログイン時にモバイルアプリにプッシュ通知する。 | 多様なアプリケーションから選択できる。 | 物理キーをPCに差して使用する。バッテリーは不要。 | アプリが不要。 ユーザーのアカウントに固有の強力な暗号化。 |
| 考慮事項 | モバイルデバイスが必要。 | コードを手動で入力するときに入力エラーが発生する可能性がある。 ブラウザベースのTOTP 認証アプリケーションもMFA要件を満たす場合があるが非推奨。 | ユーザーがキーを置き去りにしたり、常に接続したままにするリスクがある。 | 使っているデバイスに依存する。機材を追加購入しなくてはならない可能性がある。 |
MFAの代わりにシングルサインオン(SSO)を使用できるか
詳細はSalesforce社のHelpに記載がありますが、SSOとSalesforceのMFAを両方使用する必要は必ずしもありません。GoogleのSSOでSalesforceにログイン出来ることは私の環境では確認できています。詳細はSSO の提供元に確認する必要があります。
※参考:SSO ID プロバイダーの MFA サービスの使用
Salesforce Authenticatorの設定方法
Salesforce Authenticatorを設定する全体の流れとしては、以下の通りです。
- googleかappleのストアからSalesforce Authenticatorをスマホにインストールする
- PCのSalesforce側で多要素認証を有効化する
- スマホアプリとSalesforceアカウントを接続する
それでは個別のステップを確認していきます。
ステップ1.Salesforce Authenticatorをスマホにインストールする
以下のストアからアプリをインストールしましょう。
- iPhone を利用の場合は App Store
- Android を利用の場合は Google Play Store よりインストールします。
インストール後、スマホでアプリを開くと以下のようなツアー画面が表示されます。
時間が無い場合は右上のスキップを押して、飛ばしてしまっても構いません。
ステップ2.PCのSalesforce側で多要素認証を有効化する
Salesforce側で多要素認証を有効化するには、プロファイル、もしくは権限セットで「ユーザーインターフェースログインの多要素認証」をONにする必要があります。それぞれ手順を見ていきます。
多要素認証をプロファイルから有効化
【設定>プロファイル】から多要素認証を有効化したいプロファイルを選択して開きます。
「編集」ボタンを押して編集画面にします。
ctrl+Fで「ユーザーインターフェースログインの多要素認証」を検索します。
一般ユーザー権限のセクションにありますので、チェックして保存すれば完了です。
多要素認証をプロファイルで設定する場合には、プロファイルに属するユーザーが一気に有効化されます。それが便利な場合もあれば、影響が若干怖い場合もあります。
そんな時には、次に紹介する権限セットで1ユーザーずつテストしながら有効化することも可能です。
多要素認証を権限セットから有効化
【設定>権限セット】を開き、「新規」ボタンを押して権限セットを作っていきます。
適宜名称を入力して保存します。
次に、下図1枚目の画面になります(名称は先ほど設定した名称)ので、下にスクロールし「システム」セクションのシステム権限をクリックします。(下図2枚目)
ctrl+Fで「ユーザーインターフェースログインの多要素認証」を検索すると見つかりますので、チェックを入れて保存します。
以下の画面が出ますが保存して問題ありません。
「割り当ての管理」から権限セットにユーザーを割り当てていきます。
「割り当てを追加」をクリック。
ユーザーを選択し、次へをクリック。
割り当てをクリックして完了です。
ステップ3.スマホアプリとSalesforceアカウントを接続する
ここまでの設定で多要素認証は有効になっていますので、スマホアプリとSalesforceのアカウントを接続していきます。
まずは、PC側のSalesforceをログアウトし、再度ログインを試みます。
すると、PC のブラウザ画面が遷移し、下図の画面になり、Salesforce Authenticator の接続を要求されます。
次に、スマホアプリを開き、「アカウントを追加」をタップします。
スマホに以下のような2語の語句が表示されます。
これをPCのSalesforceに入力します。
すると、スマホ画面で接続するか否かを聞かれますので、接続をタップします。
スマホに下図の表示がポップアップします。これでPC側のSalesforceにもログイン出来ているはずです。
初回ログインの際はスマホの「2語の語句」をSalesforceに打ち込む必要がありましたが、次回ログインする際には必要ありません。Salesforceでログインしようとすると、スマホ側でヴヴっと反応しますので、スマホアプリを開いて承認ボタンを押せばOKです。
また、もしapple watchをお持ちの場合はスマホと連動し、時計から承認ボタンを押すことも出来ますのでスマホを持ち上げてロックを解除する手間を省くことが出来ます。
Salesforce Authenticatorが入ったスマホを機種変更する方法
ひとつのSalesforce環境でユーザー1人につき、接続できるスマートフォンは1台のみです。機種変更の際には、Salesforce Authenticatorを複数端末で使用することが出来ませんので、移行作業が必要となります。
これから機種変更をする場合の手順をご紹介します。
①:旧端末の Salesforce Authenticator を開き、左上の歯車マークを押して設定画面を開きます。
②:「アカウントをバックアップ」を有効にします。
③:「バックアップパスコードを変更」からパスワード設定を、「メールアドレスを変更」からメールでのアカウント認証を行っておきます。
④:次に、新端末の方でSalesforce Authenticatorをインストールし、開きます。すると下図の画面になりますので、バックアップから復元を押します。
⑤:復元方法を選択する画面になります。メールアドレスで復元を押します。
⑥:「③」で登録しておいたメールアドレスに検証コードが届きますので、それをSalesforce Authenticatorに入力します。
⑦:すると、「③」で設定したパスワードを聞かれます。ここで入力すれば、スマホの機種変更は完了です。新端末でSalesforce Authenticatorが使えるようになり、旧端末の方は自動的に使用不可になります。ひとつのSalesforce環境でユーザー1人につき、接続できるスマートフォンは1台のみだからです。
Salesforce Authenticatorを誤って削除してしまった場合の対応は?
スマートフォンからSalesforce Authenticatorを誤って削除してしまった場合には、自社のシステム管理者に連絡し、対応してもらいます。
自社に自分しかシステム管理者権限をもつユーザーがいない場合には、Salesforceのサポートに問い合わせます。ログインできないので自分で問合せできない場合には、社内の誰かに問い合わせを上げてもらうか、電話で問い合わせることになります。
ここでは、Salesforce Authenticatorを誤って削除してしまったという問い合わせを受けたシステム管理者の方向けに、対応方法を記載します。
ログインできなくなってしまったユーザーを設定画面で開き、「アプリケーション登録: Salesforce Authenticator」の右側にある「切断」をクリックします。(下図参照)
そのうえで、ログインできなくなってしまったユーザーで再度ログインしようとすると、2段階認証の登録画面に遷移するので、そこから新たにSalesforce Authenticatorの紐付けを行えば解決できます。
まとめ
多要素認証はSalesforce以外のツールでも求められることが増えてきており、セキュリティを担保する手段としてグローバルスタンダードになりつつあります。
とはいえ一般ユーザーにとってはそこまで慣れ親しんだ認証方法ではありません。
導入の際には、社内向けになぜ必要なのか、そして操作手順などをしっかりと伝えたうえでテスト、リリースへと進んでいく必要があります。
なかなか骨の折れる作業ではありますが、本記事が参考になれば幸いです。
