Salseforce MFA (FIDO2 /U2F) の管理者操作手順
セキュリティキー (FIDO2 / U2F) を使用した MFA の設定方法および運用方法を説明します。
2022/06/15 記事更新
SalesfoceのWebAuthn (FIDO2) 対応により、FIDO2対応セキュリティキーによる登録、認証方法を追加しました。
FIDO2対応キーの設定や初期化方法についてはこちらを参照ください。
News
2022/06/12
SalesforceのSummer'22バージョンの適用により、 WebAuthn (FIDO2)セキュリティキーをサポートするようになりました。この変更によりユーザはID検証用にWebAuthn (FIDO2)またはU2Fセキュリティキーを登録できます。以前にFIDO U2Fとして登録したキーがある場合は、Summer'22の適用により、FIDO2としての認証シーケンス(PIN)が求められる場合があります。
環境情報
端末: Windows 10
インターフェース: Lightning Experience
ブラウザ: Chrome
※使用するOSやブラウザによっては説明イメージと異なる場合がございます。
ページ内リンク
Salesforce MFA (FIDO2 / U2F) の設定
MFA の設定はシステム管理者で操作してください。
Salesforce MFA (FIDO2 / U2F) を設定するには、ID 検証の設定、権限セットの作成、権限セットのユーザ割り当てが必要になります。下記手順にしたがって設定を行ってください。
1. ID 検証の設定
ユーザがセキュリティキーを使用した ID 検証ができるように設定を行います。
設定ホームのクイック検索に「ID」と入力し、「ID 検証」項目をクリックします。
次に、「ユーザが物理的なセキュリティキー (U2F または WebAuthn) を使用して ID を検証できるようにする」にチェックします。
最後に画面下側の「保存」ボタンをクリックします。
2. 権限セットの作成
ユーザがログイン時に多要素認証ができるように権限セットを作成します。
設定ホームのクイック検索に「権限セット」と入力し、「権限セット」をクリックします。
そして、「新規」ボタンをクリックします。
権限セット情報を入力します。
(表示ラベルやAPI 参照名に関しては例として記載しています。)
表示ラベル: MFAログインの有効化
API 参照名: MFALogin
説明: (任意)
最後に「保存」ボタンをクリックします。
次に、画面下部の「システム権限」をクリックします。
画面上側の「編集」ボタンをクリックする。
編集画面が表示されると、画面中程の「ユーザインターフェースログインの多要素認証」にチェックを入れます。
画面上部に戻り、「保存」ボタンをクリックします。
確認のモーダルが表示されるので、「保存」ボタンをクリックします。
権限セットの設定は完了です。
3. 権限セットのユーザ割り当て
権限セットをユーザに割り当てる前に、各ユーザーにセキュリティキーを配布する必要があります。
権限セットをユーザに割り当てた段階で、そのユーザの次回ログイン時にセキュリティキーの登録が求められるようになります。
手順2で作成した権限セットをユーザに割り当てます。
設定ホームのクイック検索に「権限セット」と入力します。
「権限セット」をクリックし、手順2で作成した権限セットをクリックします。
「割り当ての管理」ボタンをクリックします。
「割り当てを追加」ボタンをクリックします。
権限セットを割り当てたいユーザにチェックを入れ、「割り当て」ボタンをクリックします。
「完了」ボタンをクリックします。
Salesforce でのログイン時にセキュリティキー (FIDO2 / U2F) を使用した MFA の有効化は以上です。
ユーザのセキュリティキー登録状況の確認方法
管理者がユーザのセキュリティキーの登録状況を確認する方法を説明します。
設定ホームのクイック検索に「ユーザ」と入力します。
項目の中から「ユーザ」をクリックし、対象のユーザをクリックします。
ユーザ画面下画の「セキュリティキー (U2F または WebAuthn)」項目に [削除] と表示されていれば、セキュリティキーが登録されていると判断できます。
【セキュリティキーの削除】
セキュリティキー項目右側の [削除] をクリックすることで、管理者側からユーザのセキュリティキーを削除することが可能です。セキュリティキーが削除されたユーザは次回ログイン時にセキュリティキーの登録が求められます。
管理画面から自身のセキュリティキーを登録する方法
ユーザ設定の権限があるプロファイルのユーザで操作してください。
(システム管理者は操作可能です。)
設定ホームのクイック検索に「ユーザ」と入力します。
項目の中から「ユーザ」をクリックし、対象のユーザをクリックします。
ユーザ画面下側の「セキュリティキー (U2F または WebAuthn)」項目の [登録] をクリックします。
確認コードがメールで送信されるので、メールに記載の確認コードを入力し、「検証」ボタンをクリックします。
セキュリティキーを登録ページに遷移します。
「登録」ボタンをクリックします。
セキュリティキー登録ページ移動後、自動で「セキュリティキーのセットアップ」ポップアップが表示されるので、「OK」ボタンをクリックします。
次に、「セットアップの続行」が表示されるので、「OK」ボタンをクリックします。
USB ポートにセキュリティキーを挿入します。
以降は、FIDO2対応のセキュリティキーとFIDO U2Fのみに対応しているセキュリティキーで登録のシーケンスが異なります。
簡単な見分け方は以下です。
U2F: セキュリティキーにタッチするだけでセットアップが完了します。
FIDO2: セットアップ時にPINが求められます。
※セキュリティキーにPINが設定されていない場合は、PIN設定の画面が表示されます。
FIDO U2Fセキュリティキーでの登録の場合
FIDO U2Fにしか対応していないセキュリティキーの場合は、PINが求められることはなく、セキュリティキーのボタンや金属部分にタッチするだけでセットアップが完了します。
FIDO2セキュリティキーでの登録の場合
FIDO2対応のセキュリティキーの場合は、PINの入力が求められます。
セキュリティキーにPINを設定していない場合は、設定用の画面が表示されるので、PINを設定してください。
セキュリティキーのボタンや金属部分にタッチします。
最後に、セキュリティキー名を入力し、「保存」ボタンをクリックするとセキュリティキーの登録が完了します。
※FIDO2 / U2F どちらも登録完了後にセキュリティキー名を設定する流れとなります。
セキュリティキーを紛失または忘れた場合
Salesforce には「仮の確認コード」を設定することで、セキュリティキーの代わりに確認コードによる一時的なログインが可能になる機能があります。
この操作はシステム管理者で行う必要があります。
また、確認コードを発行する場合は、発行者自身にセキュリティキーが設定されている必要があります。セキュリティキーが未設定の場合は、「管理画面から自身のセキュリティキーを登録する方法」を参考に設定を行ってください。
【セキュリティキーの紛失に関して】
セキュリティキーを紛失した場合は、「ユーザのセキュリティキー登録状況の確認方法」の情報に記載されている削除方法を元に、セキュリティキーの削除を行ってください。セキュリティキーを削除した上で確認コードを発行します。確認コードの使用は一時的な対処のため、なるべく早く新規セキュリティキーをユーザに配布し、再登録を依頼してください。
仮の確認コードの設定方法
設定ホームのクイック検索に「ユーザ」と入力します。
項目の中から「ユーザ」をクリックし、対象のユーザをクリックします。
ユーザ画面下側の「仮の確認コード」項目の [生成] をクリックします。
ID 検証画面でセキュリティキーが求められた場合は、FIDOによる認証を行って下さい。
※FIDO2の認証の場合はPINが求められます。
USB ポートにセキュリティキーを挿入します。
セキュリティキーにタッチします。(ボタンや金属部分にタッチします。)
仮のコード生成画面で時間を指定し、「コードの生成」ボタンをクリックします。
確認コード確認画面が表示されるので、確認コードを控えて、ユーザに確認コードと有効期限を伝えます。
(確認コードは1度しか表示されないため、必ず控えてください。)
「完了」ボタンをクリックすることでホームに戻ります。
【確認コードを無効化したい場合】
「設定>ユーザ>対象ユーザ選択」から「仮の確認コード」項目の [今すぐ期限切れにする] をクリックすると、無効化することができます。
【確認コードを忘れた場合】
「設定>ユーザ>対象ユーザ選択」から「仮の確認コード」を無効化し、再発行する必要があります。