ログインのセキュリティ設定をおこなう
Salesforce のログインに関わるセキュリティ機能を理解する。
0.はじめに
セキュリティに関する機能のうち、ここではログインに関係する機能を説明します。
1.プロファイルごとのIPアドレス制限
プロファイルの設定でIP アドレス制限を設定すると指定された IP アドレス以外からのログインは拒否されます。
プロファイルについては【組織のユーザにライセンスと権限を割り当てる】で説明しています。
IP アドレスが設定されている場合は、何よりもこの設定が優先されます。
したがって、あとで説明する「組織全体の信頼できるIP アドレスリスト」で許可されているIPアドレスからのアクセスであっても、プロファイルのIPアドレス制限で許可されていない場合、ユーザはSalesforceにログインすることができません。
プロファイルごとのIPアドレス制限を指定するには次のような設定を行います。
手順
– [設定] から [ユーザの管理] | [プロファイル] をクリックして、プロファイルを選択します。
– [ログイン IP アドレスの制限] 関連リストの [ 新規 ] をクリックします。
– 許可するIP アドレスの範囲を入力します。
– [保存] をクリックします。
- 右上の [ 歯車マーク ] | [ 設定 ] をクリックし、[ クイック検索 ] に「プロファイル」と入力し [ プロファイル ] をクリック。プロファイル設定一覧画面 から 制限をしたいプロファイル名をクリック。
- [ ログイン IP アドレスの制限 ] 関連リストの [新規] をクリックします。
- 許可するIP アドレスの範囲を入力します。
- [ 保存 ] をクリックします。
複数のIPアドレス範囲を指定する場合は、上記手順を繰り返し設定してください。
2.プロファイルごとの時間帯制限
プロファイルごとにユーザがログインできる時間帯を指定できます。
手順
– [設定] から [ユーザの管理] | [プロファイル] をクリックして、プロファイルを選択します。
– [ログイン時間帯の制限] 関連リストの [編集] をクリックします。
– このプロファイルを持つユーザがシステムを使用できる曜日と時間帯を設定します。
– ユーザがいつでもログインできるようにするには、[すべての時刻を解除] をクリックします。特定の曜日にユーザがシステムを使用できないようにするには、開始時刻と終了時刻に同じ値を設定します。
– ユーザがログインしている間にログイン時間帯が終了した場合、現在のページは引き続き表示できますが、他のアクションを実行することはできなくなります。
– [保存] をクリックします。
- 右上の [ 歯車マーク ] | [ 設定 ] をクリックし、[ クイック検索 ] に「プロファイル」と入力し [ プロファイル ] をクリック。プロファイル設定一覧画面 から 制限をしたいプロファイル名をクリックします。
- [ ログイン時間帯の制限 ] 関連リストの [ 編集 ] をクリックします。
- プロファイルを持つユーザがシステムを使用できる曜日と時間帯を設定します。
- [ 保存 ] をクリックします。
– ユーザがログインしている間にログイン時間帯が終了した場合、現在のページは引き続き表示できますが、他のアクションを実行することはできなくなります。
3.フィッシング防止機能
コンピュータの有効化
ユーザがブラウザから正しくログインしていることをチェックします。具体的にはブラウザのCookie情報あるいはIPアドレスをみて、過去にログインの記録がないものであれば、24時間有効な認証用の確認コードをユーザのメールに送信し、そのコードを入力しないとログインができません。
セキュリティトークン
API経由(外部システムや、アプリケーションとやりとりする場合)でログインする際に、正当なログインかどうかを確認するために「トークン」とよばれるランダムな文字列を、管理画面で発行して、パスワードのあとにスペースを置かず追記する必要が有ります。
4.組織全体の信頼できる IP アドレスリスト(ネットワークアクセスの設定)
組織全体で信頼できるIPアドレスを設定できます。
設定されたIPアドレス内では上記で説明した「コンピュータの有効化」を利用せず、Salesforceへアクセスすることができます。
手順
画面上部の [ 設定 ] をクリックし、左に開いたサイドバーで [ 管理 ] | [ セキュリティのコントロール ] | [ ネットワークアクセス ] の順にクリックします。
この画面で「信頼済み IP 範囲」の [ 新規 ] をクリックし、設定します。
▼設定された信頼済みIP範囲
右上の [ 歯車マーク ] | [ 設定 ] をクリックし、[ クイック検索 ] に「ネットワークアクセス」と入力し [ ネットワークアクセス ] をクリック します。
この画面で「信頼済み IP 範囲」の [ 新規 ] をクリックし、設定します。
▼設定された信頼済みIP範囲
5.パスワードポリシー
組織のセキュリティを確保するために、下記のようにさまざまなパスワードおよびログインのポリシーを設定できます。
| パスワードの有効期間 | 30日, 60日, 90日, 180日, 1年から指定 |
| 過去のパスワードの利用制限回数 | 過去のパスワードは再利用できなくする(制限なし、または1~15回から指定) |
| 最小パスワード長 | 5文字以上, 8文字以上, 10文字以上 から選択 |
| パスワード文字列の制限 | 英字・数字両方含めるかどうか |
| パスワード質問の制限 | パスワードのヒントの質問にパスワードをを含めない設定にするか否か |
| ログイン失敗によりロックするまでの回数 | 3回, 5回, 10回, 制限なし から指定 |
| ロックアウトの有効期間 | ログイン失敗によりロックが有効な期間。 15分, 30分,60分,無制限 から指定 |
| パスワードのリセットの秘密の回答を非表示にする | パスワードのリセットの秘密の回答の入力文字をパスワードのように伏せ字する |
手順
右上の [ 歯車マーク ] | [ 設定 ] をクリックし、[ クイック検索 ] に「パスワードポリシー」と入力し [ パスワードポリシー ] をクリック します。パスワードの有効期限や、パスワードに含む文字列の制限などを設定します。
6.演習
要件1
自分が利用しているPCおよび会社からSalesforceにログインする可能性のあるPCのIPアドレスを信頼済みネットワークに追加してください。
また、運用上IPアドレスの制限を追加する必要のない場合や設定予定が先の場合はこの要件はスキップして次にすすんでください。
要件2
会社のセキュリティポリシーにしたがってパスワードポリシーを設定してください。
