Salesforceの多要素認証(MFA)は「Salesforce Authenticator」以外も活用できるのはご存じですか?
Salesforceで使えるMFAの1つに「ワンタイムパスワード認証」があります。
この記事では、Google Authenticatorを使ったワンタイムパスワード認証の設定方法、メリット、そしてSalesforceでの利用方法について詳しく解説します。
Google AuthenticatorでSalesforceのセキュリティを大幅に向上させましょう!
Google Authenticatorを使った多要素認証の導入
Google Authenticatorとは?
Google Authenticatorは、Googleから提供されている2段階認証用のアプリです。
このアプリを使用して、ログイン時に2つ目の確認手順を追加し、オンラインアカウントのセキュリティを強化できます。
アプリでは、スマートフォンで生成される確認コードを使用して、追加の認証を行います。
ネットワーク接続が不要で、Googleアカウントとの同期も可能です。
Google Authenticatorのメリット3選
- 1.料金が無料
-
Google Authenticatorは無料で使用できます。
専用アプリをApp StoreもしくはGoogle Playのいずれかからご自身のモバイル端末にインストールしてください。 - 2.設定が簡単
-
QRコードをスキャンするだけで、認証システムアカウントを自動設定できます。
また一つのアプリで複数のアカウントを管理することも可能です。 - 3.端末移行がスムーズ
-
万が一スマートフォンを紛失した場合でもGoogleアカウントを同期することにより、コードの利用が可能です。
SalesforceでGoogle Authenticatorを使用するための設定
Google Authenticatorのインストール
モバイルデバイスにGoogle Authenticatorアプリをインストールします。
iPhoneの場合: App Storeからインストール
Androidの場合: Google Play Storeからインストール
Salesforceの設定
ここで紹介するSalesforce側の設定は、システム管理者による一括設定でなくGoogle Authenticatorを使用する各ユーザーが実施する必要があります。
緑色のステップはPC、青色のステップはスマートフォンの作業です。
この時、すでにSalesforce Authenticatorと接続している場合はSalesforce Authenticatorによる認証を求められますので、そのまま認証を実行してください。
ログイン後、再び[高度なユーザーの詳細]にアクセスしてください。
[アプリケーション登録:ワンタイムパスワード認証]が[接続]から[切断]に変わっていたら成功です。
Google Authenticator接続後のログイン
- Salesforceのログインページでユーザー名とパスワードを入力する
- 確認コード入力のページに遷移するので、Google Authenticatorを立ち上げ、アプリに表示された6桁のコードをブラウザに入力する
なお、複数のアカウントを管理している場合は、ログインしようとしているユーザー名の下に表示されているコードを使用してください。
すでにSalesforce Authenticatorを導入している場合のログインはどうなるの?
Salesforce AuthenticatorとLightning Loginを登録している場合は上記の手順とはログイン手順が異なります。
認証の優先順位は、デフォルトの設定1ではLightning Login ≒ Salesforce Authenticator > その他の認証です。
- Salesforce Authenticatorを登録している場合
-
ブラウザにはSalesforce Authenticatorによる認証画面が表示されます。
Google Authenticatorなどのワンタイムパスワード認証に移動したい場合は、画面下部に表示された「お困りですか?」をクリックし、表示された画面で「別の検証方法を使用してください」をクリックします。
- Lightning Loginを登録している場合
-
パスワードを入力すると通常のSalesforce Authenticatorによる認証へ進みますが、パスワードを未入力もしくは保存したログイン情報が表示された状態でログインした場合はLightning Loginへ進みます。
Lightning Loginではなくワンタイムパスワード認証を実行するには画面下部の「電話を持っていません」をクリックします。
その後、通常のユーザー名とパスワードのログインページに遷移するので、そこからパスワードとユーザー名を入力したログイン&Salesforce Authenticatorを使用した認証(もしくはワンタイムパスワード認証)を実行してください。
なお、Salesforce AuthenticatorとGoogle Authenticatorによる認証(ワンタイムパスワード認証)の両方を登録する目的はMFAの認証に複数の選択肢を持つ目的で解説します。
バックアップと移行方法
Google AuthenticatorはGoogleアカウントと同期できるため、スマートフォンを機種変更した際や紛失した場合でもコードを利用できます。
またQRコードを使用して新しいデバイスにアカウントを移行することも可能です。
- Googleアカウントを持っている場合
-
- 移行先のアカウントにGoogle Authenticatorをインストールする
- アプリを立ち上げ、移行元のGoogleアカウントを選択し「〇〇(アカウント名)で続行」をクリック
- Googleアカウントを持っていない場合
-
STEP移行元のアプリの左上からメニューを開き、「アカウントを移行」を選択するSTEPアカウントのエクスポートで「続行」をタップするSTEPFace ID等の認証が完了するとGoogle Authenticatorに登録されているアカウントが表示されるので、移行したいアカウントのチェックをONにした状態で「エクスポート」をタップするSTEP表示されたQRコードを移行先の端末のアプリで読み取る
なおGoogle Authenticatorは複数の端末で同時に認証を管理できるため、新しい端末に移行しても以前の端末を認証に使用できます。
安心して多要素認証を運用するために複数の認証方法を登録しよう
MFAの認証に複数の選択肢を持つ目的
SalesforceではMFAに複数の認証方法を併用できます。
一般的な選択肢としてはSalesforce Authenticator、Google Authenticator、Microsoft Authenticator、Authyなどがあり、ユーザーは業務要件などに合わせて自分に最適なアプリを選択できます。
ただし、認証に使っている端末を紛失してログインできなくなってしまうといったような不測の事態が起こるかもしれません。
スマートフォンを落としてしまったけどSalesforce Authenticatorのバックアップを取っていなかった……
万が一の事態に備えてMFAのベストプラクティスとして、Salesforceは組織内で複数のユーザーがMFAを管理できる権限を保有していることを推奨していますが、ライセンス数の関係でそれが難しい場合もあります。
そんなときのために、Salesforceは複数のMFAの認証手段を設定することを勧めています。
円滑に運用できるよう、システム管理者は常に複数の回避策を用意しておくと安心です。
Salesforce Authenticatorの連携情報を削除してしまったので今回はワンタイムパスワード認証でログインします!
第2の選択肢としてのGoogle Authenticator
残念ながらSalesforce Authenticatorは複数の端末で管理することはできません。
しかしGoogle Authenticatorはメインで使っているスマートフォンだけでなく、タブレットなど別の端末でも同じ認証情報を管理できます。
またGoogleアカウントにバックアップが紐づいているため、Googleアカウントを持っていれば簡単に復旧も可能です。
もしSalesforce AuthenticatorとGoogle Authenticatorをインストールした端末を紛失してしまい、どちらの認証手段も使えなくなったら?
そういった状況への対策としても、Google Authenticatorはおすすめです。
まとめ
Google Authenticatorを利用することで、SalesforceのMFAをさらに安心・安全に運用できるようになります。
無料で簡単に設定できるこのアプリは、セキュリティの向上に欠かせないツールです。
ぜひ、Google Authenticatorを導入し、Salesforceのセキュリティを強化しましょう。
- [設定]の[ID検証]にアクセスし、「Salesforce Authenticator の使用を開始する代わりにすべての検証方法登録オプションを表示」のチェックをONにすることでユーザが有効にしている検証方法すべてから選択できるようになります ↩︎
