このスーパーバッジを獲得するための実習内容
シングルサインオンおよび多要素認証のユーザーを監査します。
認証監視レポートとダッシュボードを構築します。
同時セッションの電子メールアクションを使用してフローをカスタマイズします。
Use Case
Cloud Nine Credit Lines (CNCL) は、Salesforce 組織に対して厳格なセキュリティ ポリシーを維持しています。CNCL の顧客は、同社がデータを保護してくれると信頼しており、セキュリティの脆弱性に対処するための積極的なアプローチを期待しています。 ユーザ認証は、Salesforce 組織を保護するための最初の防御線です。しかし、
ゴールデン パーカーに取り組む価値のある管理者なら誰でも、それが単に「設定して忘れる」ことができるものではないことを知っています。 効果的なセキュリティ管理とポリシーには、組織が最高の状態にあることを確認するための定期的な監査活動が含まれます。 ここがあなたの出番です。CNCL の管理者として、あなたは認証ポリシー、権限、割り当てを確認するように求められています。また、認証監視手順を改善するための素晴らしいアイデアもいくつかあります。 仕事に取り掛かりましょう!
Business Requirements
シングルサインオンと多要素認証
CNCL はシングル サインオン (SSO) を使用して、すべてのアプリケーションへのユーザー アクセスを 1 か所で制御します。
すべてのユーザーは SSO 経由でログインし、SSO アイデンティティ プロバイダー (IdP) からの多要素認証 (MFA) チャレンジを完了する必要があります。
例外が 1 つあります。Break Glass 管理者プロファイルを持つユーザーは、IdP で障害が発生した場合に組織に直接ログインできる必要があります。
これらのユーザは、Salesforce 組織から発生する MFA チャレンジを完了する必要があります。 組織を監査して、
すべてのユーザーに正しい認証権限が割り当てられていることを確認し、必要な更新を行ってください。 組織には次の認証権限セットがあります:
Single Sign-On
MFA Authorization Required
ユーザーアクセスと権限アシスタントアプリが組織にインストールされています。 このツールは上記の権限セットの監査に役立ちますが、必要な更新を識別するために使用する方法はチェックされません。
注: このスーパーバッジ ユニットの組織への簡単なアクセスを維持するには、上記の SSO および MFA 要件からユーザを除外できます。
認証監視レポート
CNCL は毎週、新規従業員の成長と新人研修を行っています。 Salesforce ユーザーの数が増加するにつれて、組織へのログインを監視する必要性も高まります。
セットアップのログイン履歴ログと ID 検証履歴ログは役に立ちましたが、より堅牢でプロアクティブな監視機能が必要な時期が来ています。
あなたは、この取り組みを支援するためにいくつかのレポートを作成するために手を挙げました。 そして、あなたは知識豊富な管理者なので、レポートのニーズと要件を以下の表にまとめました。
新しいユーザー認証レポートは、すべてのユーザーを表示し、過去 30 日間のログイン データを表示するようにフィルター処理する必要があります。 レポートの詳細を非表示にして、
グループ化とレコード数のみが表示されるようにします。 最後に、これらのレポートを保存するために、「User Authentication Reports」というラベルの付いたフォルダーを作成します。
注: ユーザー アクセスと権限アシスタント アプリには、標準のレポート オブジェクトとは異なる [レポート] タブが含まれています。
Report Name Description
Login Attempts by Status All login attempts grouped by login status
Failed Login Attempts by User All unsuccessful login attempts grouped by username and login status
Verification Challenges by Method All identity verification challenges grouped by method and status
Logins without SSO and MFA All successful login attempts where login type does not include SSO and (Identity Verification) Method is blank; grouped by username and login type
同時セッションの電子メール通知
昨年、一部のユーザーがアクセス制限を回避するためにログイン資格情報を共有していることがあなたのチームの注意を引きました。
ユーザーがデスクトップとモバイル デバイスの両方でアクティブなセッションを持つことは許容されますが、各ユーザーに 2 つを超える同時セッションを許可する必要はありません。
CNCL の管理者は、開発者の協力を得て、1 人のユーザーに対して 3 つを超える同時セッションをブロックするフロー「同時ユーザー認証ログイン フロー」を構築しました。
新しいフローはテストされており、期待どおりに動作しています。 現在、CNCL のセキュリティ チームは、このフローで同時セッションがブロックされるたびに電子メールを受け取りたいと考えています。
同時セッションがブロックされたときにセキュリティ チームに電子メールを送信するアクションを含む既存のフローを変更します。
新しいアクションを既存の「ブロック」画面要素の前に配置し、ブロックの結果によってのみトリガーされるようにします。 既存の要素を変更する必要はありません。
注: 電子メールの件名と本文のリソースは、フロー内にすでに構築されています。
Element API Name AlertAdmins
Body {!EmailBody}
Subject {!EmailSubject}
Recipient Email Address* Security@CloudNineCreditLines.example.com
新しいバージョンのフローがアクティブ化されたら、このフローが標準ユーザーおよびカスタム: 営業プロファイル プロファイルを持つすべてのユーザーに対して実行されることを確認する手順を完了します。
このフローは、管理者プロファイルを持つユーザーには適用されません。
新しいログイン フローには次の名前を使用します。
- Standard User - Concurrent User Authentication Login Flow
- Sales Profile - Concurrent User Authentication Login Flow
テストのヒント: テストのために自分自身を電子メール受信者として設定します。シークレット ブラウザで複数のタブを使用して、該当するプロファイルを持つアクティブ ユーザーの同時セッションをテストすることもできます。
Audit SSO and MFA Users
Review company policies related to SSO and MFA, audit users, and make the necessary adjustments to user permissions.
①Campfire Calaを追加
②Single Sign-Onに下記ユーザを追加
Build Authentication Monitoring Reports
Build the authentication monitoring reports according to the specifications outlined in the requirements.
①create a folder labeled User Authentication Reports to store these reports
②
Configure Concurrent Session Email Action
Modify the existing Concurrent User Authentication Login Flow with an action that sends an email every time a concurrent session is blocked. Make sure the activated flow is triggered by login flows for those with the Standard User and the Custom: Sales Profile profiles.
