SSO と MFA 要件

SSO プロバイダにその MFA サービスの使用についてお問い合わせください。

Salesforce Platform 上に構築された製品の場合、SSO レベルで MFA を有効にする代わりに Salesforce で提供される無料の MFA 機能を使用できます。詳細は、Salesforce ヘルプの「SSO ログインでの Salesforce MFA の使用」を参照してください。

すべての Salesforce ユーザが MFA を使用する必要があります。製品に直接ログインするユーザ (Salesforce システム管理者など) がいる場合、それらのアカウントを保護するために Salesforce の MFA を有効にします。こちらの動画を参照してください。

適切に実装された SSO 戦略を使用すれば、脆弱なパスワードやパスワードの再利用によるリスクが低減され、ユーザはよく使用するアプリケーションに簡単にログインできるようになります。ただし、SSO 実装がユーザログイン情報のみに依存していると、ユーザアカウントがフィッシングやクレデンシャルスタッフィングなどよくある攻撃に対して脆弱なままになるおそれがあります。

組織のセキュリティ管理者は、機密性の高いビジネスおよび顧客データ (名前、メールアドレス、その他の個人識別情報など) を保護する重要な役割を担います。フィッシング攻撃、クレデンシャルスタッフィング、アカウントの乗っ取りなどの脅威は増加の一途をたどっている状況において、MFA はアカウントへの不正アクセスを防止する最も効果的な方法の 1 つになります。セキュリティチームや IT チームと連携し、MFA 要件を会社の全体的なセキュリティ目標に即応させ、各チームと協力して要件を満たすことをお勧めします。

SSO 経由で Salesforce にアクセスするユーザの MFA を実装しないと、ビジネスや顧客に損害を与える可能性のあるサイバー攻撃のリスクが増大します。

いいえ。SSO ID プロバイダに対して MFA が有効になっている場合、SSO 経由でログインするユーザの Salesforce の MFA を有効にする必要はありません。ただし、Salesforce 製品に直接ログインするシステム管理者や他の特権ユーザがいる場合、それらのユーザの Salesforce の MFA を設定する必要があります。

MFA 要件で重要なのは、すべての Salesforce ユーザは Salesforce 製品にアクセスするとき、パスワードに加えて強力な検証手段を提供しなければならないという点です。必要に応じて、複数の MFA ソリューションをリリースすることでこれを実現できます。たとえば、SSO ユーザと非 SSO ユーザが混在している場合、SSO ユーザに対しては MFA を有効にし、直接ログインするユーザに対しては Salesforce 製品の MFA 機能を有効にします。

一般的なシナリオとして、 大半の Salesforce ユーザが SSO と MFA を使用してログインするように設定することをお勧めします。ただし、SSO を使用しないシステム管理者アカウントの場合は、Salesforce 製品で MFA を有効化して、システム管理者がユーザ名とパスワードで直接ログインするときの保護を一層強化できます。

Salesforce Platform 上に構築された製品の場合、SSO プロバイダの MFA サービスではなく Salesforce で提供される MFA 機能を使用できます。この手法の場合、ユーザは SSO ログインページからログインします。ログインすると Salesforce に進み、MFA 検証手段を提供して ID を確認するように求められます。

注意:このオプションは他の Salesforce 製品では使用できません。

詳細は、Salesforce ヘルプの「SSO ログインでの Salesforce MFA の使用」を参照してください。

まず、直接ログインに SSO ID プロバイダの MFA サービスまたは Salesforce の MFA を使用しているかどうかに関係なく、要件を満たさない検証手段から説明します。

• メールメッセージ、テキストメッセージ、または電話によってワンタイムパスコードを配信することは認められません。これらの方法は、傍受やなりすまし、その他の攻撃に対して本質的に脆弱であるためです。
• セキュリティの質問
• 信頼できるデバイスや信頼できるネットワークを単独で使用することは、MFA 要件の適した検証手段ではありません。ただし、これらの手段を組み合わせて MFA を実現すれば、要件を満たすことができます。詳細は、MFA の FAQ で「会社の信頼できるデバイスで MFA 要件を満たすことはできますか?」、「信頼できるネットワークにログインを制限することで MFA 要件を満たすことはできますか?」、「Does using VPN or Zero Trust Network Access satisfy the MFA requirement? (VPN またはゼロトラストネットワークアクセスを使用すると MFA 要件を満たすことはできますか?)」を参照してください。

MFA 要件を満たすには、サイバー攻撃 (フィッシング攻撃、中間者攻撃など) に対する耐性が高い検証手段を使用する必要があります。このような手段では、Salesforce 製品にアクセスするユーザが本人であることが高いレベルで保証されます。SSO 実装の場合、上記のオプション以外で、ID プロバイダの MFA ソリューションでサポートまたは統合されているいずれかの手段を使用します。

リスクベースの認証 (適応型認証、リスクと信頼性の継続的な適応型評価 (CARTA) ともいう) は、ユーザ、ユーザのデバイス、ユーザがサービスにアクセスする方法やタイミングに起因する各種のシグナルを監視するという方法で、ユーザに関連するリスクを継続的に分析する認証システムです。特定の状況におけるリスクがあるレベルに達すると、ID プロバイダまたは認証サービスが自動的に追加のセキュリティチャレンジに回答することをユーザに義務付けます。詳細は、こちらの記事を参照してください。 

リスクベースの認証システムをすでに SSO ソリューションに統合している場合は、その実装が MFA 要件に準拠します。この種のソリューションを検討する場合、提携可能なテクノロジプロバイダが多数存在します。

SSO ID プロバイダの MFA サービスを設定し、ユーザがログインするたびにユーザ名とパスワードのほか、強力な検証手段を使用するよう義務付けることを強くお勧めします。

サードパーティ ID プロバイダ (IdP) を使用して Salesforce 製品にアクセスする場合、Salesforce で把握できる MFA 実装は限定的になります。MFA 要件の管理に必要なインサイトを得るために、SSO ログイン時に使用される認証方式を記述する SSO プロトコルの標準ベースの属性が活用される予定です。

大部分の SSO プロバイダでは、2 つのプライマリ属性がサポートされています。OpenID Connect (OIDC) では認証メソッド参照 (amr) が使用され、SAML では認証コンテキスト (AuthnContext) が使用されます。現在、OIDC amr は Salesforce Platform 上で構築された製品で使用でき、データをエクスポートすれば LoginHistory の値を確認できます。今後のリリースで、OIDC amr が他の Salesforce 製品に拡張され、SAML AuthnContext のサポートがすべての製品に追加される予定です。

MFA の有効化は、「Salesforce Trust and Compliance Documentation (Salesforce の信頼とコンプライアンスに関するドキュメント)」に従った契約上の要件です。

Salesforce がお客様の代わりにアクションを実行して、SSO ID プロバイダの MFA を有効にすることはありません。また、SSO サービスで MFA が義務付けられていないからといって、Salesforce 製品へのアクセスをブロックしたり、MFA チャレンジをトリガしたりする予定もありません。このポリシーは将来変更される可能性があります。

ただし、契約上のこの MFA 要件は、Salesforce の「Trust and Compliance Documentation (信頼とコンプライアンスに関するドキュメント)」に従っており、SSO を使用して Salesforce 製品にアクセスするすべての Salesforce 内部ユーザに適用されます。期日の 2022 年 2 月 1 日までに MFA を有効にできなかった場合は、法務部門と相談のうえ、義務を遵守しないことによる帰結について理解しておいてください。

MFA を要求する Salesforce の目的は、Salesforce 環境のセキュリティ強化を優先するように促し、そのためのツールを提供することです。セキュリティチームや IT チームと連携し、MFA 要件を会社の全体的なセキュリティ目標に即応させ、各チームと協力して要件を満たすことをお勧めします。要件を満たすことに関して懸念がある場合は、Salesforce の担当者にお問い合わせください。Salesforce がお客様と協力して解決策を模索します。

システム管理者は常に、お使いの Salesforce 製品に自分のユーザ名とパスワードで直接ログインできるようにしておく必要があります。SSO 実装でサービスの停止などの問題が発生するとログインできなくなってしまうため、Salesforce システム管理者に対して SSO を有効化することはお勧めしません。たとえば、サードパーティの SSO プロバイダでサービス停止が続いている場合、システム管理者は Salesforce 製品の標準ログインページから自分のユーザ名とパスワードを使用してログインし、問題が解決されるまで SSO を無効化できます。Salesforce システム管理者の場合、SSO を使用する代わりに、Salesforce 製品で直接システム管理者アカウントに対して MFA を有効化することをお勧めします。

会社で SSO を使用して Salesforce にアクセスする場合、すべての標準ユーザの直接ログインを無効にすることをお勧めします。Salesforce ユーザ名とパスワードを使用したログインを防止するには、ユーザが SSO システムをバイパスできないようにします。影響を受けるユーザが、SSO ログインページにアクセスできる URL を認識していることを確認します。これを行う手順についての詳細は、Salesforce ヘルプの「Disable Logins with Salesforce Credentials for SSO Users (SSO ユーザの Salesforce ログイン情報を使用したログインの無効化)」を参照してください。