tyoshikawa1106のブログ

- Force.com Developer Blog -

SFDC:Lightning Loginと Two Factor Authencicationを試してみました

Lightning LoginとTwoFactorAuthencication有効化を試してみました。以前にも試したことのある機能なのですが、久しぶりに設定した際により便利にアップデートされていたので改めてやってみました。

f:id:tyoshikawa1106:20180408144508p:plain


これらの機能を有効化する場合はプロファイルではなく権限セットで個別に設定します。
f:id:tyoshikawa1106:20180408144544p:plain


権限セットのシステムのセクションで下記を有効化します。

  • Lightning Login ユーザ
  • ユーザインターフェースログインの 2 要素認証


用意した権限セットは対象のユーザに割り当てます。
f:id:tyoshikawa1106:20180408144705p:plain


この機能を利用するには専用のアプリが必要です。業務で利用する携帯電話にインストールしておきます。
f:id:tyoshikawa1106:20180408144833p:plain

「Salesforce Authenticator」をApp Storeで


権限を追加すると次回ログイン時に次の画面が表示されます。
f:id:tyoshikawa1106:20180408145101p:plain


先ほどインストールした専用アプリを起動して画面下側にある新規アカウントをタップします。すると2語の語句が表示されます。
f:id:tyoshikawa1106:20180408145308p:plain:w200


これを認証画面に入力して次に進めます。
f:id:tyoshikawa1106:20180408145426p:plain


携帯電話のアプリで承認依頼が届くので承認します。
f:id:tyoshikawa1106:20180408145630p:plain:w200


承認するとログインが実施されて次回ログインからTwoFactorAuthencication (2要素認証)が有効化されます。実際に試してみるとわかりますが、ログインするとアプリの通知が届き、アクセスすると承認ページが表示されています。承認するだけでログイン完了するのでランダムなキーワードを入力する必要はありません。


さらにLightning Login機能を有効化していると次ページが表示されます。
f:id:tyoshikawa1106:20180408145950p:plain

f:id:tyoshikawa1106:20180408150009p:plain


画面に従って有効化と承認を行います。
f:id:tyoshikawa1106:20180408150130p:plain:w200


なお、Lightning Logiinの機能を利用するにはログイン時にユーザ情報を保存しておく必要があります。
f:id:tyoshikawa1106:20180408150252p:plain:w200

f:id:tyoshikawa1106:20180408150148p:plain

※保存しても設定が反映されないことがあるのでLightning Loginが利用できるようになるまで少し時間がかかるのかも知れません。


Lightning Loginなどの無効化はユーザの詳細ページから行うことができます。
f:id:tyoshikawa1106:20180408150557p:plain


また、2要素認証の機能には「ワンタイムパスワードジェネレータ」と「Salesforce Authenticator」の二種類がありますが、基本的にはタップだけで認証できる「Salesforce Authenticator」を利用すればいいと思います。


Lightning Loginは「Salesforce Authenticator」を有効化した後により作業を効率化出来る機能となっています。

Lightning Loginを有効化した後

ログインページにユーザ名が表示されます。
f:id:tyoshikawa1106:20180408150844p:plain


クリックするとアプリに通知が届くので承認します。それでログイン完了です。
f:id:tyoshikawa1106:20180408151016p:plain


TwoFactorAuthencicationのメインであるスマートフォンの承認があればセキュリティが保証されているという考え方だと思います。認証デバイスは複数登録できないと思われます。必ずユーザの手元にある状態であることが重要です。携帯電話を使い回す場合は利用できません。また共用PCへのユーザ登録も避けて下さい。うっかり登録してしまった場合はユーザ詳細ページで無効にします。

関連記事