1 Salesforce Developer Edition のアカウント登録
2 Salesfroceを例としたセキュリティ設定体験
- 2.1 設定画面に移動
- 2.2 権限設定グループ（Salesforceで言えばプロファイル）によるセキュリティ設定
  - 2.2.1 システム管理者を例に、プロファイルにセキュリティ設定
    - 2.2.1.1 ログインIPアドレスの制限設定
    - 2.2.1.2 ログイン時間帯の制限設定
    - 2.2.1.3 パスワードポリシー
3 シングルサインオン
- 3.1 SAMLベースの場合
- 3.2 OpenID Connect を使う場合
- 3.3 認証基盤「Keycloak」

Salesforce Developer Edition のアカウント登録

https://developer.salesforce.com/jpblogs/2016/04/developer-edition-signup/ << こちらにアクセスし、Developer Editionのアカウント登録を行います。

Salesfroceを例としたセキュリティ設定体験

SaaSおよびPaaSとして、代表例にあげられることが多い「Salesforce」のセキュリティ設定のうち、わかりやすい例としてログイン時のIPアドレス制限、ログインできる時間帯の制限、パスワードポリシーについて触れてみましょう。

設定画面に移動

アカウント登録したSalesforce Developer Editionにログインすると、次のような画面になります。

画面右上の歯車のアイコンをクリックし、さらに「設定」をクリックします。

Salesforceの設定画面が表示されます。「設定」画面で、アプリ開発や他システムとの連携、ユーザー管理などを行います。

設定画面の左側のサイドメニューを下に移動し、「管理」の「ユーザ」を見つけます。「ユーザ」をクリックすることで、あなた契約したSalesforce環境を利用する各ユーザーのセキュリティ設定を変更することができます。

権限設定グループ（Salesforceで言えばプロファイル）によるセキュリティ設定

Salesforceでは、登録している各ユーザーに「プロファイル」と呼ばれる権限設定グループを使っており、「プロファイル」を使って、各ユーザー別のセキュリティ設定を行います。一般的に、プロファイルは、会社であれば部門別、学校であれば、教員、職員、生徒のように分けます。学部ごとにプロファイルを設けても良いでしょう。ユーザー管理画面を見ると、誰に、どのプロファイルが適用されているか確認できます。

システム管理者を例に、プロファイルにセキュリティ設定

ログインIPアドレスの制限設定

Salesforceの設定画面で、「管理」>>「ユーザ」>>「プロファイル」の順にクリックし、「システム管理者」の「プロファイル」を探します。画面下の「次へ」をクリックすると、次のページへ移動し、隠れているプロファイル名が表示されます。

もしくは、「管理」>>「ユーザ」>>「ユーザ」から、一覧表示されるユーザ情報から、「システム管理者」の「プロファイル」をクリックして、システム管理者のプロファイルを表示しても良いでしょう。

「ログインIPアドレスの制限」をクリックします。たとえば、今接続しているネットワークからのみ、Salesforceのログインを許可する場合、たとえば、会社や学校内からしか利用できないように制限をかける場合は、「新規」をクリックします。

許可するIPアドレスの範囲を入力します。IPアドレスが1つの場合は、「開始IPアドレス」と「終了IPアドレス」の両方に同じIPアドレスを入力します。「説明」には、「学校のネットワーク」や「会社のネットワーク」などのように入力しておきましょう。「保存」をクリックします。使用中のIPアドレスを確認するには、https://www.cman.jp/network/support/go_access.cgi 。

「保存」すると、下図のように表示されます。

これで、記載したIPアドレスの範囲からでしか、ログインができなくなりました。

このセキュリティにより、会社のネットワークからしかSalesforceを利用できなくすることができます。持ち帰りの仕事で社外からSalesforceを利用する場合は、VPN等で会社のネットワークを経由する必要があります。不要な場合は、設定を放置せずに、「ログインIPアドレスの制限」で、不要なIPアドレスは「削除」をクリックしておきましょう。

ログイン時間帯の制限設定

引き続き、「システム管理者」の「プロファイル」を題材に、「ログイン時間帯の制限」の設定について触れていきます。

「ログイン時間帯の制限」は、そのままの意味で、指定した時間外の場合にSalesforceにログインできなくさせる仕組みです。たとえば勤務時間中だけに限定することができます。「ログインIPアドレスの制限」と組み合わせれば、セキュリティレベルを高めることができます。

プロファイル画面で下に移動し、「ログイン時間帯の制限」を見つけます。「編集」をクリックします。

月曜日～日曜日までのログイン可能な時間帯を指定します。指定後、「保存」をクリックします。

土日のみログイン時間帯の制限をかけた場合は、下図のように表示されます。これで、土日は指定の時間帯以外ではログインできなくなります。

パスワードポリシー

引き続き、「システム管理者」の「プロファイル」を題材に、「パスワードポリシー」の設定について触れていきます。プロファイル画面で下に移動し、「パスワードポリシー」を見つけます。「編集」をクリックします。

プロファイル全体の変更が可能になります。「パスワードポリシー」の欄まで移動します。所属組織（企業、自治体、学校等）のセキュリティポリシーに合致するように、「パスワードの有効期間」や「過去のパスワードの利用制限回数」等の各項目を設定していきます。設定後、「保存」をクリックします。

「プロファイル」の編集では、パスワードポリシー以外に、Salesforceの各画面など細かく、「参照（=見る）」のみで編集不可など設定することができます。

もし、セキュリティポリシーがない場合は、セキュリティポリシーを定めてから変更しなければなりません。「プロファイル」で設定した内容は、同じ「プロファイル」が適用されているユーザー全員に適用されます。使いようによっては働き方の改善に誘導することも可能です。「プロファイル」を部門単位で設定している場合、同じ部門に平日深夜土日出勤で働く人がいるのであれば、「プロファイル」設定で、「ログインIPアドレスの制限」や「ログイン時間帯の制限」で、会社のネットワークかつ勤務時間内のみのような制限をかけることで、平日深夜土日出勤せずに、定時、つまり平日の勤務時間内で仕事が終わるように、生産性を向上し、仕事のやり方を工夫するように強制することもできます。

シングルサインオン

Salesforceも、SAMLに対応しているため、シングルサインオンを行う認証基盤と連携することができます。認証基盤には、誰でも無料でとりかかれるものとして、「Keycloak」があります。認証基盤構築後、Salesforce側との連携設定が必要になります。

SAMLベースの場合

Salesforceヘルプサービスプロバイダとして Salesforce を使用した SAML シングルサインオン

OpenID Connect を使う場合

Salesforceヘルプ OpenID Connect を使用した認証プロバイダの設定

認証基盤「Keycloak」

https://www.keycloak.org/documentation << Keycloakの公式ドキュメント。困ったときは公式ドキュメントを読むことが最善の行動。

<< クラウドプラットフォーム実習Ⅱで扱うOpenID Connectによるシングルサインオンのハンズオン資料。OpenID ConnectとSAMLベースの両方のシングルサインオンを試すことができる。

講義サポート

Salesforceを例としたセキュリティ設定体験