🔒

【Salesforce】MFA必須化対応

2022/01/22に公開約2,300字

Salesforceの多要素認証(MFA)が必須になります

2022年2月1日より、Salesforce製品へのアクセスにはMFAが必須条件になります。

顧客データを守るパートナーとして、Salesforce は 2022 年 2 月 1 日より、Salesforce 製品 へのアクセスには MFA の使用を必須条件とすることを決定しました。MFA を使用 するために追加の費用は不要です。

多要素認証 (MFA) への対応のお願い

https://help.salesforce.com/s/articleView?id=000356005&type=1

MFAの設定

MFAを必須にする方法は二つあります。
※それぞれの設定で動作に違いがありますので注意点を読んで実装してください。

その1 プロファイルで適用

  • セキュリティ > セッションの設定

  • セッションセキュリティレベルの高保証で他要素認証を追加します。

  • ユーザ > プロファイル

  • 対象のユーザにあたっているプロファイルを編集し、セッション設定の「ログインに必要なセッションセキュリティレベル」をなしから高保証にします。

  • プロファイルを割り当てたユーザは次回ログイン時にMFAの設定を求められるようになります。

その2 権限セットで適用

  • ユーザ > 権限セット
  • MFA用の権限セットを作成し、システム権限の「ユーザインターフェースログインの多要素認証」にチェックをいれて保存します。
  • この権限セットを割り当てたユーザは次回ログイン時にMFAの設定を求められるようになります。

注意点

MFAの設定方法は二通りあるわけですが、どっちでもいいということではなく動作に違いがあります。
まず、プロファイルでMFAを設定した場合は、ユーザインターフェースでのログインの他、APIでもMFAを求められるようになリます。
そのためMarketoやDocuSignなど外部サービスとAPIで連携してるアカウントをプロファイルによるMFAの設定をすると連携が正常に完了しないことがあります。

それに対して権限セットでMFAを設定した場合は、ユーザインターフェースのログインのみがMFAの対象になり、APIではMFAが求められません
(権限セットで「ユーザインターフェースログインの多要素認証」を選択しているからなんですが)

SalesforceのヘルプによるとMFAが必須になるのは、ユーザインターフェースのログインになり、API/インテグレーションログインは必須ではありません。
ログイン種別と認証方式ごとの MFA 要件

私は知らずにプロファイルでMFAを設定したところ外部連携が軒並みコケていたのは上記の理由ということが分かり権限セットで適用させました。

※SSOでMFAを必須化する場合はこちらをご参照ください。
シングルサインオン (SSO) を介してアクセスされる Salesforce 製品に MFA は必須ですか?

API限定ユーザに変更する

中にはグループアドレスで一般ユーザを作成し、連携用ユーザとして運用していることもあると思います。
このままいわゆる共有アカウントの状態で、MFA必須化の対象になります。

そのため、連携用ユーザはユーザインターフェースからのログインができないようなAPI限定ユーザに変更します。
安全な Salesforce API ユーザの作成

https://help.salesforce.com/s/articleView?id=000331470&type=1

API限定ユーザはユーザインターフェースからのログインができず、インテグレーションのシナリオとは異なった目的でユーザが使用されることを防げるため、MFA必須の対象外になります。

  • ユーザ > プロファイル
  • 連携用ユーザに当たっているプロファイルを編集、システム管理者権限の「API限定ユーザ」にチェックを入れます。
  • ユーザインターフェースからログインできないこと、連携が正常なことが確認できれば完了です。

Discussion

ログインするとコメントできます