忘れそうなので、備忘で記載。
SalesforceのMFAが必須化。(セキュリティ対策を強化のため。)
・ただし、外部ユーザ(顧客)・連携ユーザなどは任意。あくまで社内ユーザが必須。
・Sandbox(=テスト環境)は任意。
・SSOをした場合、Salesforce側の他要素認証は不要(SSO側でMFAを実施しているという仕切り。)
そもそも多要素認証とは?
複数の要素を組み合わせた認証。(2要素以上を組み合わせた認証)
要素とは3種類あり。
①知識・・・パスワード、秘密の質問など、頭に入っている知識の情報
②生体・・・指紋、静脈など、身体の情報
③所持・・・携帯電話、ICカードなど所持している物の情報
なので、ID/PW(①)だけや、ID/PW+秘密の質問(いずれも①)の認証だけだと1要素となってしまい、多要素とならない。(後者のID/PW+秘密の質問は、多【段階】の認証となる。)
※③は、ワンタイムパスワードが飛んでくるものもあれば、時間内に許可を実行するものなどさまざま(OTP、TOTPなど)
具体的な多要素認証の方式例
1.ID/PW+Salesforce Authenticator (③所持) ※無料
2.ID/PW+Google Authenticatorなど3rd Party(③所持)
3.ID/PW+ユビキー(③所持)
4.ID/PW+3rd Partyの生体認証(②生体)
※上記以外にSSOなど
Salesforce Authenticator手順
<前提>手元のスマホに「Salesforce Authenticator」をインストール済み
1.(一括で組織にMFAを有効化してよいなら、)設定>ID検証>Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要 にチェック
※権限セットを使い、1人1人にMFAの指定も可能。
2.Salesforceにログインしようとすると、手元のSalesforce Authenticatorに、2Wordが表示されるため(例:moderate water)入力を行い、紐づけ。
3.あとはSalesforceにログインする際に、適宜Authenticator側に許可する画面が表示されるので、適宜許可をすることにより認証。
その他
・スマホを紛失した場合 →システム管理者にて、現状のスマホとの紐づけを切断可能。
・位置情報で自動的にAuthenticator側の許可も可能
・Lightning Loginを使い、パスワードレスでログインも可能(Authenticator側の認可だけ。)
→Lightning Login は MFA の一種ですか?
はい、Lightning Login を使用することで、Salesforce Platform 上に構築された製品の MFA 要件を満たすことができます。この機能を使用すると、ユーザーは拡張 MFA 環境を使用して、パスワードなしですばやく安全に Salesforce アカウントにアクセスできます。Lightning Login は、Salesforce Authenticator (ユーザーが持っているもの) とモバイルデバイスでの PIN または生体認証スキャン (ユーザーを表す物) という 2 つの認証要素を要求することで、MFA 標準を満たします。詳細は、Salesforce ヘルプの「Lightning Login の有効化によるパスワードを使用しないログイン」を参照してください。