MFA設定済みユーザで代理ログイン
代理ログインがないと生きていけません。
Admin
{{getTime(record.UpdatedTime)}}
当たり前に作業をしていたのであらためて確認をしていなかったのですが、「言われてみれば、何か変わっているのか?」と思ったのが、MFA設定済みのユーザに対する代理ログインです。
レイアウトを変えたり、レポートやダッシュボードを作成したとき、最後に必ず代理ログインして見え方を確認しますよね。トラブルシューティングのときにも代理ログインを行って問題を確認するときもあります。我々 Salesforceの管理者にとって、代理ログインはとても重要な機能です。「Professional Editionだから代理ログインが使えない!」と判明したときはショックを受け、設定作業がより慎重になります。
というわけで、Salesforceさん(セールスフォース・ジャパンさんとセールスフォース・ドットコムさんあわせて両方という意味で)のヘルプなどを調べたことをまとめてみました。
※現在私が管理している Salesforce組織を確認しましたが、このオプションが見当たらなかったため、基本的にSalesforce サポートへ依頼して有効化してもらうようです。
②対象のユーザのプロファイルで「セッションの設定」が「高保証」となっている場合でも、代理ログインの操作を行うシステム管理者自身がMFAでその組織にログインを行っていれば、代理ログインができる。
③ ①の [Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証] が有効になっており、該当のユーザに「ユーザインターフェースログインの多要素認証」が付与されている場合は、そのユーザが登録している検証方法からコードの提供、または承認の操作が必要となる。検証方法には、認証アプリケーション、Universal Second Factor (U2F) セキュリティキー、仮の ID 確認コードなどがある。
◇ SALESFORCE >HELP >Salesforce 多要素認証に関する FAQ
ログイン関連のヘルプページにも、MFA関連の記述が追加されているような気がします(自分が気が付かなかっただけかも😓)。
◇ SALESFORCE >ヘルプ >ドキュメント >ユーザの識別およびアクセス権の管理 >ログインアクセス
代理ログインについても厳しく制限をかけるような会社は、おそらく代理ログイン自体を許可していないと思いますし、[Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証]の設定も、よほど厳しく管理しているところでなければ使用しないかと思っています。こちらのオプションについての記述がヘルプの1ページでしか確認できなかったので、新しい情報がわかればまた記事にしたいと思います。
SandboxとDeveloper EditionでのMFAとMFA必須化のスケジュールについて
Google Authenticator(認証システム)でSalesforce にログインしてみた
多要素認証でセキュリティ強化&手間を最小限にする
ユーザの権限③ 権限セットとは(プレミアムコンテンツ)
ユーザの権限 ④ 権限セットを設定する(プレミアムコンテンツ)
ログイン ⑤認識されていないコンピュータの有効化(プレミアムコンテンツ)
ログイン ⑥ 多要素認証(MFA)有効化必須に備えて(プレミアムコンテンツ)
ログイン ⑦ Salesforce Authenticatorとは(プレミアムコンテンツ)
ログイン ⑧ Lightning LoginでIDとパスワードの入力を不要とする(プレミアムコンテンツ)
ログイン ⑨ MFA導入時の管理者の準備(プレミアムコンテンツ)
代理ログインからログアウト後の、再ログインを回避する
Professional Edition できないこと、できることを再確認
Summer’22 リリースノート日本語版が公開されました&MFAのスケジュール最新版
レイアウトを変えたり、レポートやダッシュボードを作成したとき、最後に必ず代理ログインして見え方を確認しますよね。トラブルシューティングのときにも代理ログインを行って問題を確認するときもあります。我々 Salesforceの管理者にとって、代理ログインはとても重要な機能です。「Professional Editionだから代理ログインが使えない!」と判明したときはショックを受け、設定作業がより慎重になります。
というわけで、Salesforceさん(セールスフォース・ジャパンさんとセールスフォース・ドットコムさんあわせて両方という意味で)のヘルプなどを調べたことをまとめてみました。
ポイント
①該当のユーザに対するMFAの設定を行っていても、 [Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証)] が有効になっていなければ、システム管理者はそのユーザとして代理ログインが可能。※現在私が管理している Salesforce組織を確認しましたが、このオプションが見当たらなかったため、基本的にSalesforce サポートへ依頼して有効化してもらうようです。
②対象のユーザのプロファイルで「セッションの設定」が「高保証」となっている場合でも、代理ログインの操作を行うシステム管理者自身がMFAでその組織にログインを行っていれば、代理ログインができる。
③ ①の [Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証] が有効になっており、該当のユーザに「ユーザインターフェースログインの多要素認証」が付与されている場合は、そのユーザが登録している検証方法からコードの提供、または承認の操作が必要となる。検証方法には、認証アプリケーション、Universal Second Factor (U2F) セキュリティキー、仮の ID 確認コードなどがある。
つまり、
[Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証] ×「ユーザインターフェースログインの多要素認証」の設定がされている場合は 代理ログイン時に ID検証の手間が発生する。なので、
[Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証] を有効化していない限り、あまり気にすることはない。参考
まずは、MFAの情報が書かれているページを探しました。◇ SALESFORCE >HELP >Salesforce 多要素認証に関する FAQ
MFA は [他のユーザとしてログイン] オプションに影響しますか?
Salesforce Platform 上に構築された製品の場合: Salesforce システム管理者がトラブルシューティングのために別のユーザとしてログインするためのオプションは、組織のユーザの MFA が有効になっている場合でも引き続き使用できます。
システム管理者がユーザと協力して MFA チャレンジに対応させる必要があるのは、ユーザのプロファイルでログイン時に高保証セッションが求められるが、システム管理者が標準セキュリティセッションレベルでログインしている場合のみです。この状況を回避するために、システム管理者は常に MFA を使用してログインするようにします。こうすれば自動的に高保証セッションになります。
関連情報:
Salesforce ヘルプの「ログインアクセスポリシーの制御」
ログイン関連のヘルプページにも、MFA関連の記述が追加されているような気がします(自分が気が付かなかっただけかも😓)。
◇ SALESFORCE >ヘルプ >ドキュメント >ユーザの識別およびアクセス権の管理 >ログインアクセス
考慮事項
セキュリティ上の理由で、システム管理者およびサポートユーザが別のユーザとしてログインする場合、次の対策が適用されます。
●別のユーザとしてログインしたシステム管理者やサポートユーザは、そのユーザの OAuth データアクセスを承認できません。たとえば、システム管理者が別のユーザとしてログインした場合、サードパーティアプリケーションでのユーザアカウントへの OAuth アクセスを承認できません。この制限にはシングルサインオンが含まれます。
●別のユーザとしてログインしたシステム管理者またはサポートユーザは、そのユーザのアカウントメールが確認されない限り、Salesforce からメールを送信するアクションを実行できません。
●システム管理者またはサポートユーザは、ユーザとしてログインしている間、他のユーザ名に切り替えることができません。たとえば、システム管理者が別のユーザとしてログインした場合、Lightning Experience のプロファイルメニューから別のユーザ名を選択すると、システム管理者はログアウトされます。
●別のユーザとしてログインしているシステム管理者またはサポートユーザは、次の権限が有効な場合、多要素認証 (MFA) の要件を満たす必要があります。
・組織で [Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証] が有効になっている。組織でこのオプションを有効にするには、Salesforce サポートにお問い合わせください。
・ユーザの「ユーザインターフェースログインの多要素認証」権限が有効になっている。この権限については、「2 要素認証ログイン要件の設定」を参照してください。
たとえば、[Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証)] が有効になっており、ユーザに「ユーザインターフェースログインの多要素認証」権限がある状況を考えてみます。システム管理者がユーザとしてログインするときに、そのユーザはそのアカウントで登録している検証方法からコードまたは承認を提供する必要があります。検証方法には、認証アプリケーション、Universal Second Factor (U2F) セキュリティキー、仮の ID 確認コードなどがあります。ただし、組織で [Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証)] が有効になっていない場合、システム管理者はユーザの検証方法を提供せずにそのユーザとしてログインできます。この 2 つ目のシナリオは、ユーザの「ユーザインターフェースログインの多要素認証」権限が有効になっていたとしても適用されます。
●システム管理者またはサポートユーザが多要素認証を使用せずにログインし、レポートなど、高保証セッションを必要とするリソースにアクセスしようと試みます。組織の高保証ポリシーによって、システム管理者またはサポートユーザがレポートにアクセスできるかどうかが決定されます。詳細は、「セッションセキュリティ設定の変更」を参照してください。
たとえば、組織の高保証ポリシーが [ブロック] に設定されている場合、システム管理者またはサポートユーザはレポートにアクセスできません。ポリシーが [セッションを高保証に上げる] に設定されている場合、システム管理者またはサポートユーザは ID を検証するために 2 つ目の要素を入力する必要があります。
最後に
セキュリティは大事ですから、より安全なログイン手段で対策を講じておくのに異論はありませんが、やはり日頃の作業で手間が増えるのは避けたいところです。代理ログインをしていてこれまで問題はなかったので大丈夫だとは思っていましたが、ヘルプを確認して現時点では特に運用を変えたり何かを変えることはないようなので安心しました。代理ログインについても厳しく制限をかけるような会社は、おそらく代理ログイン自体を許可していないと思いますし、[Multi-Factor Authentication for UI Logins During Log In As (別名でログイン中の UI ログインの多要素認証]の設定も、よほど厳しく管理しているところでなければ使用しないかと思っています。こちらのオプションについての記述がヘルプの1ページでしか確認できなかったので、新しい情報がわかればまた記事にしたいと思います。
関連記事
※プレミアムコンテンツは会員登録(無料)いただくと閲覧できます。SandboxとDeveloper EditionでのMFAとMFA必須化のスケジュールについて
Google Authenticator(認証システム)でSalesforce にログインしてみた
多要素認証でセキュリティ強化&手間を最小限にする
ユーザの権限③ 権限セットとは(プレミアムコンテンツ)
ユーザの権限 ④ 権限セットを設定する(プレミアムコンテンツ)
ログイン ⑤認識されていないコンピュータの有効化(プレミアムコンテンツ)
ログイン ⑥ 多要素認証(MFA)有効化必須に備えて(プレミアムコンテンツ)
ログイン ⑦ Salesforce Authenticatorとは(プレミアムコンテンツ)
ログイン ⑧ Lightning LoginでIDとパスワードの入力を不要とする(プレミアムコンテンツ)
ログイン ⑨ MFA導入時の管理者の準備(プレミアムコンテンツ)
代理ログインからログアウト後の、再ログインを回避する
Professional Edition できないこと、できることを再確認
Summer’22 リリースノート日本語版が公開されました&MFAのスケジュール最新版