コラム詳細
はじめに
セラクCCCのSalesforce推進部のNです。Salesforce Authenticatorは、Salesforceへのログインをより安全にするための多要素認証アプリ(MFA)です。Salesforce Authenticatorを設定した後は、ユーザはパスワードとスマートフォン上のアプリから提供される一時的な認証コードを使用してログインする必要があります。Salesforce Authenticatorのアプリをインストールしたスマホが手元にない、アプリとアカウントの紐づけを削除してしまった場合はログインができないため注意が必要です。本記事では、Salesforce Authenticatorでログインできない場合の対処法を解説します。
他にもSalesforceを利用する上で大切な、セキュリティについて詳しく解説しているこちらの資料「Salesforceアクセス制御 権限設定のポイント」もあわせてご活用ください。
Salesforce Authenticatorの活用でよくあるのが、インストールしたスマホがなんらかの事情で手元に存在せず、ログインできないケースです。この場合、システム管理者に仮の確認コードを生成してもらい、それを使ってログインする方法があります。
仮の確認コードの生成と、ログインの手順は以下のとおりです。
システム管理者のアカウントで、「設定」から「ユーザ」を開き、仮の確認コードを発行したいユーザ名をクリックします。選んだユーザの詳細画面が出てくるので、「仮の確認コード(1~24時間後に有効期限切れ)」から「生成」をクリックしてください。
<「生成」をクリック>
「モバイルデバイスを確認」のメッセージが表示されるので、システム管理者のスマホでAuthenticatorのアプリを開きます。
<「モバイルデバイスを確認」のメッセージ表示>
アプリ内で「仮の確認コードを生成」といった画面が表示されるので、ユーザ名に間違いがないか確認し「承認」をタップしましょう。
再びシステム管理者のSalesforce画面に戻り、仮の確認コードの有効期限を選択して「コードの生成」をクリックします。
<「コードの生成」をクリック>
「ユーザ用に生成されたコード」の画面に表示された仮の確認コードを確認し、ログインできなくなったユーザに共有しましょう。
<「ユーザ用に生成されたコード」の画面>
ログインできなくなったユーザは、まず通常通りのログイン操作をします。「IDを検証」の画面が表示されるので、システム管理者から受け取った仮の確認コードを入力しましょう。
<「IDを認証」の画面>
なお仮の確認コードは、有効期限内であれば何度もログインに使用できるため、都度発行する必要はありません。期限内に正常なアクセス方法を回復できるように準備しておきましょう。
期間が終了する前に仮の確認コードを無効にする場合は、仮の確認コードを発行した際と同じように、システム管理者の画面で「設定」から「ユーザ」をクリックしましょう。表示されたユーザの詳細画面で「今すぐ期限切れにする」をクリックすれば、有効期限が終わる前に仮の確認コードを無効にできます。
<「今すぐ期限切れにする」をクリックする>
SalesforceアカウントとSalesforce Authenticatorの紐づけを削除してしまうと、ログインしようとしても「Salesforce Authenticatorアプリケーション内でSalesforceアカウントを見つけることができません」というエラーメッセージが表示され、ログインが不可能になります。
この問題を解決するには、システム管理者ユーザ側からSalesforce Authenticatorの切断の実行が必要です。
「設定」から、「クイック検索」ボックスに「ユーザ」と入力し、同名の項目を選択します。ユーザの詳細ページを開き、「アプリケーション登録:Salesforce Authenticator」項目の横にある 「切断」をクリックしてください。
<「切断」をクリック>
これでSalesforce Authenticatorの切断操作は完了です。ログインできなくなったユーザが通常通りログインしようとすると、Salesforce Authenticator の登録画面が表示されるので、再登録しましょう。
<Salesforce Authenticatorの登録画面>
先ほどご紹介した方法は、いずれもシステム管理者がログインできることが前提です。もしシステム管理者がログインできない場合は、Salesforceのサポートを受ける必要があります。
サポートを利用する場合、有償サポートの追加費用や問い合わせに時間がかかるなど、いくつかのデメリットが発生するため、できるだけこのような事態は避けたいところです。
システム管理者がログインできない状況にならないよう、次に解説する対策をしておきましょう。
Salesforceにログインできない状況を防ぐ対策方法は、システム管理者以外のユーザにも「仮の確認コード生成」や「Salesforce Authenticatorの切断」ができる権限を付与しておくことです。権限セットの作成と割り当ての手順について、以下に詳しく解説します。
まずは特定のユーザやプロファイルにカスタムの権限を付与する「権限セット」を作成します。「設定」から「権限セット」を選択し、「新規」をクリックしましょう。
<権限セットを選択後「新規」をクリック>
「表示ラベル」「API参照名」を入力したら、「保存」をクリックしてください。
<「保存」をクリック>
作成した権限セットの設定画面が開くので、「システム権限」「編集」とクリックし、「ユーザインターフェースで多要素認証を管理」にチェックを入れます。
<「システム管理」をクリック>
<「ユーザインターフェースで多要素認証を管理」にチェック>
内容を確認できたら、「保存」をクリックしてください。
「多要素認証の管理」の権限セットの画面が表示されるので、右側にある「割り当ての管理」をクリックしましょう。
<「割り当ての管理」をクリック>
すでに権限が割り当てられているユーザの一覧が表示されます。割り当てられたユーザがいない場合には「割り当てが定義されていません」と表示されているはずです。右側の「割り当てを追加」をクリックしましょう。
<「割り当てを追加」をクリック>
権限を付与したいユーザにチェックを入れて「割り当て」をクリックし、最後に「完了」をクリックしましょう。
<「割り当て」をクリック>
これで、割り当てたユーザが仮の確認コード発行や、Salesforce Authenticator切断の操作ができるようになります。
Salesforceにログインできない状況を防止するために、Salesforce Authenticatorの他の認証方法を設定しておくことも有効です。たとえば「Google Authenticator」などのサードパーティ認証アプリを利用する方法があります。
TOTP 認証アプリケーションを使用した ID の検証|Salesforce公式ヘルプ
またパスワードレス認証の「U2F」や「WebAuthn」も設定可能です。
ID 検証のための U2F または WebAuthn セキュリティキーの登録|Salesforce公式ヘルプ
これら代替の認証方法を設定しておけば、Salesforce Authenticatorに問題が発生した際でもログインができます。自社のセキュリティポリシーや業務上のニーズなどに応じて、このような代替の認証方法も検討しておきましょう。
Salesforce Authenticatorはセキュリティ面でメリットがある反面、さまざまな要因でログインできない場合もあります。ログインができない場合に備えてシステム管理者以外のユーザに権限を割り当てる、代替の認証方法を活用するなどの対策が必要です。Salesforceの設定・活用方法でお困りごとがございましたら、お気軽にご相談ください。当社には300名(23年5月時点)を超える専門コンサルタントが在籍しており、お客様の視点に立ってSalesforceの定着・活用支援サービスを行っています。
Salesforceでお悩みなら、
まずはお気軽に
お問い合わせください
Salesforceでお悩みなら、
まずはお気軽に
お問い合わせください