2020/04/19ライセンスに関して追記。
記載中。。。
ーーーーーーーーーーー
ライセンス
・Identityライセンスは、認証/アプリケーションランチャー機能のみ利用する社内ユーザ向けライセンス。オブジェクトを利用する場合、Salesforceライセンス/Salesforce Platformライセンスとなる。↓こんなイメージ。
・尚、External Identityは、「External」という文字がつくため、社内向けのIdentityライセンスと異なり外部向け。つまり、Communityを使うような外部の顧客が使う場合にこのライセンスを使用。
・ライセンスにPlusという文字がついた場合、レポートなど使える。
・Salesforceライセンスだと色々な標準オブジェクトが利用できるが、SalesforcePlatformだとあまり標準オブジェクトは使えず、基本的にカスタムオブジェクトを利用する。
2段階認証/2要素認証(2FA)
・2段階認証は、要素が同じでもいい。2回やればよい。
・2要素認証は、要素が2つ以上必要。
※要素とは以下3要素を指す。
(1)本人しか知らない情報(ID/PW)
(2)本人の所有物の情報(スマホとか)
(3)もしくは本人の身体特徴(指紋など)の3点を指す。
・中間者攻撃やフィッシングは2要素、2段階で防げない。なぜか?
⇒そもそも偽サイトに飛んでしまっており、かつそのサイトを本物であるとユーザが思い込んでいるため、2要素であっても攻撃の防ぎようがない。(そもそも偽サイトで2段階認証してしまうとか。)
・ソーシャルエンジニアリング
⇒システム周囲の人間などの脆弱性を狙う攻撃手法。カスタマーサポートをだましたり公開鍵を奪ってシステムに侵入し、ユーザ本人と思いこますような、ハッキングを指す。
これも2要素/2段階では防げない。
OAuthの特徴
(例)Salesforceにログインする際に、ID/PWを入れなくとも、FacebookやTwitter、Linkedin経由でログイン(認可)できる場合
代理認証の特徴
・SAMLが使えない場合に代理認証を利用。社内の認証サーバを使いたいとか、SAMLより古い規格を使いたい(SAMLが対応していない)場合など。
・認証のWebサービスはSOAPである必要あり。
・TLSを使うこと。
・RESTは使えない。
・統合IDも使わない。(統合ID使うのはSAML)
・SFDCサポートに依頼して有効化してもらわないと代理認証は使えない。
https://wa3.i-3-i.info/word11616.html
SAMLの特徴
・複数アプリが存在し、それぞれログインするときにID/PW入れるの面倒だよねってなった時にSAMLが登場。どこか1か所(Idp)にユーザ情報を保持し、色んなアプリ(SP)からログインするときに、1か所(Idp)で認証されて、あとは自由にログインできればいいよねってのがざっくり思想。
・ユーザの認証情報をXML形式で記述。
・ユーザオブジェクト上の標準項目である統合ID(フェデレーションID)を利用する。
・SPからのログインも、Idpからのログインもサポート。
・事前にSPとIsp間でTrust必要。
⇒Trustとは要は証明書をIdpがSPに渡し、SPが読み込んでいること。
https://wa3.i-3-i.info/word13374.html
IdentityConnectの特徴
・上段で記載しているIdentityはライセンス。ここで書いてるIdentityConnectは製品。
・どんな製品かというと、ActiveDrectly⇒SFDCへ「SSO」ができる製品。
・IdentityConnectには、ユーザプロビジョニング機能あり。(ADからSFDCへの一方通行に限定。)
⇒ユーザプロビジョニングとは、ログインしたタイミングでユーザがいなければ自動生成(数秒で作成され、ログインできるようになる)される機能。ユーザが退職したら同期して無効化することも可能。
更新トークン
・これで新しいトークンを要求する。
・アクセストークンは有効期限があるため、期限切れたら更新トークン使って再取得が必要。
お世話になったサイト