セキュリティキーを使ってSalesforceのログインをMFAに対応する #Salesforce

はじめに

2022年02月01日にSalesforceのログインにMFA（多要素認証）が必須になります。
もう一ヶ月もないですが、yubicoのセキュリティキーを使ってMFAの必須化に備えたいと思います。

この記事ではSandboxを使用していますが、SandboxはMFA必須化の対象外です（一部例外があります）。「知的財産、顧客データ、その他の Salesforce 製品データが格納される環境」ではSandboxであってもMFAが推奨されています。 Developer EditionもMFA必須化の対象となりません。必須化の対象となる環境は下記の公式のヘルプでご確認ください。

ChromeでU2Fのサポートの廃止が発表されました。 Salesforceで引き続きU2Fを使用できるように対応を続けるようです。最新の情報は英語版のFAQ（日本語版は更新が遅いため英語版です）とknown issueで確認するようにしてください。 ※日本語版が表示される場合は右下の言語選択でEnglishを選択してください。

セキュリティキーの準備

この記事ではyubicoのSecurity Key NFCを使っていきます。yubicoの製品はAmazonでも購入可能です。使用できるセキュリティキーは公式ヘルプで確認してください。

Salesforceの設定

MFAのオプションでセキュリティキーを使用できるようにします。設定画面のクイック検索で「ID」と入力し、「ID 検証」をクリックします。「ユーザが物理的なセキュリティキー (U2F) を使用して ID を検証できるようにする」にチェックします。

つぎに、ユーザに対してMFAを有効化します。プロファイルまたは権限セットで「ユーザインターフェースログインの多要素認証」にチェックします。

ユーザがMFAを登録する

ログインにセキュリティキーを使用できるようにするためには、ユーザ側で設定が必要です。
まず、通常のログイン画面でIDとパスワードを入力します。

ログインするとSalesforce Authenticatorの接続画面が表示されます。セキュリティキーを登録するため、「別の検証方法を選択」をクリックします。すでに別の方法でMFAを設定していると「別の検証方法を選択」が表示されません。この場合の設定方法は後述します。

「Universal　Security Factor（U2F）キーを使用」を選択して次へをクリックします。

セキュリティキーの登録画面が表示されます。アラートが表示されたら許可をクリックします。
セキュリティキーをUSBポートに挿し、キーにボタンがある場合はボタンを押します。

yubicoのSecurity Key NFCの場合は中央の金属プレートに触れます。

登録成功画面が表示されたら登録は完了です。

MFAの登録状況は「高度なユーザの詳細」で確認できます。セキュリティキーの登録を解除したい場合はこの画面の削除ボタンをクリックします。
すでに他の方法でMFAを設定している場合、この画面からセキュリティキーの設定を行います。

MFAでログインする

上記の設定後、ログイン時にパスワードを入力した後にセキュリティキーの検証ページが表示されます。検証が完了したらログインできます。

ユーザがデバイスを紛失してしまった場合

管理者が、対象のユーザの詳細画面からMFA登録を削除することができます。
削除後、ユーザはログイン時にMFAの登録が求められます。
セキュリティキーなどを利用せずに一時的にログインさせるときは「仮の確認コード」を発行します。

仮の確認コードを発行するときは有効期限を設定します。

参考

日本語のヘルプは情報が古い場合があります。右下の言語選択からEnglishを選択して、改訂履歴（Revision History）を確認するようにしてください。