こんにちは
本橋孝昭です
今回はSalesforceの設定でプロファイルの
・ログイン時間帯の制限
・ログイン IP アドレスの制限
ネットワークアクセスの設定の
・信頼済みIP範囲
について主に解説します
今回の内容は動画でも公開しています
ログイン時間帯の制限、ログインIPアドレスの制限について
ログイン時間帯の制限、ログインIPアドレスについてはプロファイルごとに設定します
プロファイルごとに設定しログインの制限をかけることが可能です
これの設定をした場合、該当するそのプロファイルのユーザはSalesforceに「ログインできない」です
ログイン時間帯の制限 詳細
これを設定した場合、その時間にログインできないプロファイルのユーザはログインできません
例えば上記画像の場合、このプロファイルのユーザは午前9時から午後7時の間でしかログインできません
ログインIPアドレスの制限
ログインIPアドレスを制限したら、その範囲内のプロファイルのユーザはログインが可能です。
その範囲外のプロファイルのユーザはログインは出来ません
なお、ログインIPアドレスの設定
開始IPアドレス 0.0.0.0
終了IPアドレス 255.255.255.255
で設定した場合、IP の全範囲を含めることになります
さて、ここで似たような話としてネットワークアクセスから設定できる
「信頼済みIP範囲」がありますのでご説明します
「信頼済みIP範囲」とは
第三者の不正アクセスを管理するための設定になります
具体的に言えば、いままでSalesforceユーザでログインしたことのないパソコンや携帯において、はじめてSalesforceでログインした場合、
・これは本当にそのユーザとしてアクセスしているのかな?
と確認するために(携帯電話などで)認証コードなどを送り不正アクセスか否か判断する設定です
使い方としては
(第三者の不正アクセスを管理するとしても、さすがに自社オフィス内であきらかにログインしているユーザに対しても管理するか?)ということを考えた場合、自社オフィスのIPアドレスの範囲内のみは確認させずにログインさせる のような設定が可能です
さて、ここで
・ログイン時間帯の制限(プロファイル設定)
・ログイン IP アドレスの制限(プロファイル設定)
・信頼済みIP範囲(ネットワークアクセス)
についてなんだか大事な設定が3つ出てきましたね
今回はそれの違いについてわかりやすく図にしたので解説します
大事なポイントは
・ログインIPアドレスの範囲内か?
で
・設定なし の場合のみ信頼済みIP範囲の話になる
というところでしょうか
ログインIPアドレスの範囲内ならログイン可能になるので信頼済みIP範囲の設定は関係ないです
では、ここで
・ログイン時間帯の制限(プロファイル設定)
・ログイン IP アドレスの制限(プロファイル設定)
・信頼済みIP範囲(ネットワークアクセス)
が分かったところで3つのクイズを出します
問題1
本橋太郎さんは営業部のプロファイルのユーザです。
営業部 プロファイルには
・ログイン時間帯の制限
があり、月曜は朝9時から夜18時までしかログインできません
もしも本橋太郎さんが月曜の19時にログインしようとした場合、どうなるか?
正解 ログインできない
解説 ログイン時間帯の制限外であればログインすることはできません
問題2
本橋太郎さんは営業部のプロファイルのユーザです。
営業部 プロファイルには
・ログイン IP アドレスの制限
があり、株式会社TAKAAKI 大阪オフィスがログインIPアドレスの範囲内の設定になっています
もしも本橋太郎さんが株式会社TAKAAKI 大阪オフィスからログインしようとした場合、
どうなるか?
(なお、ログイン時間帯の制限内とする)
正解 ログインできる
解説 ログイン IP アドレスの制限 範囲内であればログイン可能です
問題3
株式会社TAKAKIのSalesforce環境のネットワークアクセスの信頼済みIP範囲では
「東京オフィスのログインIPアドレスのみが信頼済みIP範囲」となっております。
本橋太郎さんは営業部のプロファイルのユーザです。
営業部 プロファイルには
・ログイン IP アドレスの制限
があり、株式会社TAKAAKI 大阪オフィスがログインIPアドレスの範囲内の設定になっています
もしも本橋太郎さんが株式会社TAKAAKI 大阪オフィスからログインしようとした場合、
どうなるか?
(なお、ログイン時間帯の制限内とする)
これはいかがでしょうか
内容としては
・ログイン IP アドレスの制限(プロファイル設定)
は範囲外
・信頼済みIP範囲(ネットワークアクセス)
は範囲内
ですね
正解
ログインできる
解説
ログイン IP アドレスの制限 範囲内であれば
(信頼済みIP範囲 は範囲外でも)ログイン可能です
おまけ1 ログインIPアドレス制限の適用範囲
先ほど説明したプロファイル設定「ログインIPアドレス制限の適用範囲」
ですが、2つの設定が可能です
1 ログイン時のみIPアドレスの制限をする(ログインページのみIPアドレス制限をかける)
2 ログイン時はもちろん、ログインしてからすべてのページでIPアドレスの制限をする
これはセッション設定の
[すべての要求でログイン IP アドレスの制限を適用]
が有効であれば
2 ログイン時はもちろん、ログインしてからすべてのページでIPアドレスの制限をする
[すべての要求でログイン IP アドレスの制限を適用]
が無効であれば
1 ログイン時のみIPアドレスの制限をする
です
例として
・田中太郎はプロファイルのログインIPアドレスが絞られているため、オフィスでしかSaledforce がログインできないユーザ。オフィスでSaledforceでログインしたあと、そのログイン端末をオフィス外に持ち出して画面遷移をしたらどうなるか?
です
[すべての要求でログイン IP アドレスの制限を適用]
が有効であれば画面遷移時に(IPアドレスの制限範囲から外れたため)Saledforceからログアウトされます
[すべての要求でログイン IP アドレスの制限を適用]
が無効であれば画面遷移時でもSaledforceからログアウトされません
なお、
[ログイン時の IP アドレスとセッションをロックする] と [すべての要求でログイン IP アドレスの制限を適用] でこれらの機能を同時に有効にすると
[すべての要求でログイン IP アドレスの制限を適用] が適応されるようです
詳細はこちらのヘルプをご確認ください
[ログイン IP アドレスの制限] で IPアドレスを継続的に適用する
https://qiita.com/drafts/7a2ae2f6ecf27b347c29/edit
おまけ2 そのほかセッションの設定について
セッションの設定では
・セッションのタイムアウト値(セッションが何時間後にタイムアウトするか?)
や
・セッションタイムアウト時に強制的にログアウトするか否か
の設定をすることが可能です
おまけ3 設定変更履歴の参照
今回説明した
・プロファイルの設定
や
・セッションの設定
の変更履歴は
・設定変更履歴の参照
から履歴をたどることが可能です
どのようなときにどのプロファイル設定が変わったか
などはぜひこの
設定変更履歴を確認してみてください
