Salesforce初心者など、Salesforce導入時に必要不可欠な多要素認証(MFA)の設定や利用方法に困っている方もいるのではないでしょうか?特に初めてSalesforceを利用する場合、「ログインするだけでも難しい」と感じる場面もあるかもしれません。
本記事では、Salesforceへのログイン時に契約上必須とされている多要素認証(MFA)について、その基本から具体的な設定方法、よくある悩みへの対処法、実際の体験談まで丁寧に解説します。
多要素認証とは
多要素認証(MFA: Multi-Factor Authentication)とは、ログイン時に複数の認証要素を使ってユーザーの本人確認を行う仕組みです。一般的には「知識要素(パスワード)」「所持要素(スマホなどのデバイス)」「生体要素(指紋や顔認証)」のうち2つ以上を組み合わせて認証を行います。
Salesforceでは、セキュリティ強化の観点から多要素認証の導入が強く推奨されており、特定の環境では設定が必須となっています。特に企業などで導入している場合は、社内セキュリティポリシーにより設定しないとログインすらできないケースもあるため、早期の対応が重要です。
Salesforce Authenticatorとは
Salesforce Authenticatorは、Salesforceが公式に提供している無料の多要素認証用アプリです。このアプリをスマートフォンにインストールすることで、Salesforceログイン時にスマホへ通知が届き、ボタン一つで簡単に承認できるようになります。これにより、ログイン時の安全性を高めながら、操作の手間も最小限に抑えられます。
iOSおよびAndroidの両方に対応しており、Salesforce以外のTOTP(時間ベースのワンタイムパスワード)方式を採用するサービスでも使用可能です。多くの業務系ツールがこの方式に対応しているため、Salesforce Authenticator一つで複数サービスの認証管理を行うことも可能です。
必須環境とは?SandboxやDeveloper Editionでも必須?
Salesforceは2022年2月1日以降、すべてのユーザーに対してMFAの使用を義務付ける方針を発表しましたが、実際の強制対象は本番環境(Production Org)に限られています。
一方で、Sandbox環境やDeveloper Editionにおいては、義務化はされていないものの、セキュリティ意識の高まりを背景に、多くの管理者や開発者が自主的にMFAの設定を行っています。特にテストデータや顧客情報を扱う場合には、環境にかかわらず多要素認証を適用することが推奨されます。
また、場合によっては設定をしていないとログインできないエラーに遭遇することもあります。
【補足】SandboxやDeveloper EditionでMFAを有効化する手順(組織全体で有効化)
- 管理者ユーザーで対象のSandboxまたはDeveloper Editionにログインします。
- 右上の設定ギアアイコンから「設定(Setup)」を開きます。
3. 左側のクイック検索で「ID検証」と入力し、押下します
4. 「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」を有効化する(チェックをつける)
5. 下までスクロールし、「保存」を押下
これにより、次回以降ログインには以下の画面が表示し要素認証を求められるようになります。
Salesforce Authenticator 接続方法(バージョン4.4.0以降対応)
Salesforce Authenticatorの接続は非常にシンプルで、スマートフォンとSalesforceアカウントさえあればすぐに完了します。
【スマートフォンでの操作①】
- App StoreまたはGoogle Playから「Salesforce Authenticator」アプリをダウンロードしてスマホにインストールします(バージョン4.4.0以降を使用してください)。
- ダウンロードしたSalesforce Authenticatorを起動する
- 「次へ」または「スキップ」を押下
4. 「はい」を押下
5. 「アカウントを接続」を押下し、2語の語句を確認
※補足:接続キーフレーズの入力ではなく、QRコードを使いたい場合は、Salesforce画面に表示されたQRコードをAuthenticatorアプリのカメラ機能で読み取って接続することも可能です。
【パソコンでの操作】
- パソコンのブラウザにてSalesforceログインサイトにユーザー名とパスワードを入力しログインボタンを押下
2. スマートフォンのSalesforce Authenticatorで確認した語句を入力し「接続」を押下
3. スマートフォンアプリにて接続したいアカウントが対象となっているか確認し「接続」を押下
4. 以下の画面表示後に接続、ログインが完了する
【スマートフォンでの操作②】
次回以降のログイン認証や機種変更時の以降を簡易的にするため、以下の設定を行う
・「プッシュ通知の有効化」と「位置情報へのアクセスの有効化」
・アカウントのバックアップ
「プッシュ通知の有効化」と「位置情報へのアクセスの有効化」
- アカウント接続後に表示する以下の画面にて「プッシュ通知の有効化」と「位置情報へのアクセスの有効化」を行う
2. 有効化後、以下の状態となったら「次へ」を押下
アカウントのバックアップ
- 「アカウントのバックアップ」を押下
2. メールアドレスを入力し「コードを送信」を押下
3. 入力したメールアドレス宛に送られたメール内の6桁の検証コードを入力し、「検証」を押下
4. 4桁のパスコードを設定
【次回以降のログイン方法】
- Salesforceログイン画面でユーザー名とパスワードを入力してログインします。
- MFAが有効化されている場合、Salesforce Authenticatorに通知が送信されます。
3. スマートフォンの通知をタップしてSalesforce Authenticatorを開き、「Approve(承認)」をタップします。
4. 認証が完了し、自動的にSalesforceの画面が表示されます。
よくある悩みとその解決策
機種変更したとき
スマートフォンを機種変更すると、旧端末に登録されたMFA情報が新端末には引き継がれません。そのため、古い端末でのバックアップ取得が非常に重要です。
もしバックアップを取っていない場合は、新しい端末にアプリを再インストールし、Salesforceの設定画面から「既存のMFA接続を削除」してから再登録を行う必要があります。
通知が来ないとき
ログイン時にスマホに通知が届かない場合、以下の点を確認してください。
- スマートフォンの通知設定でSalesforce Authenticatorの通知が有効になっているか
- 通信環境(Wi-Fi/モバイルデータ)が正常かどうか
- スマホの省電力設定でバックグラウンド通信が制限されていないか
接続できないとき
アプリとSalesforceの連携が切れている可能性があります。再度接続しましょう。
ログインできないとき
MFAが求められているのにスマホが使えない、通知が来ない、旧端末が手元にない、といった状況では、管理者に連絡してMFAのリセットや一時的な無効化を依頼する必要があります。復旧には多少時間がかかる場合もあるため、事前にバックアップや予備の認証手段を設定しておくと安心です。
スマホアプリのアカウントを削除してしまったとき
管理者(システム管理者ユーザー)にMFAのリセットを依頼してください。
管理者はあなたのユーザーに対して多要素認証の登録をリセットできます。
複数端末を使用するとき
Salesforce Authenticatorは基本的に1つのデバイスでの利用を前提としています。ただし、TOTP機能を使うことで、Google Authenticatorなど他のアプリと併用することも可能です。業務や個人端末で複数台を使い分けている場合は、どの端末で認証するか明確にしておくことが大切です。
新卒一年目社員の感想
新卒一年目Salesforce開発者の著者として正直なところ、Salesforce Authenticatorによる認証は少しめんどくさい印象があります。認証自体は管理者による承認依頼通知のワンクリックで済むのですが、顧客の本番環境へログインする際にはSalesforce Authenticatorでの承認が求められるので、その度に顧客の管理者へ連絡し承認していただいています。
また、実務経験はないのですが今回初めてdeveloper editionでSalesforce Authenticatorの有効化を行い、非常にスムーズに実施することができました。ただ、調べていく中で上記のようなログイン時のトラブルが生じている人が多い印象を受けました。
また、developer editionでSalesforce Authenticatorの有効化を試したあとは、絶対にSalesforce Authenticatorアプリからアカウントの削除はしないようにしましょう。著者は興味本位で削除し再接続しようとしたのですが、再接続はログインしなければできず、developer editionごと再作成することとなりました…
(アカウント削除は以下の「>」から可能)
