MFA および カスタムドメインでのサインイン

  • iPad
  • iPhone

多要素認証の導入や、OAuth 2.0 および SAML を含む幅広いシングルサインオン (SSO) ソリューションを MDM を使用せずに実現できます。また、iPad および iPhone ユーザは、カスタムドメインを使用して Veeva CRM にサインインすることも可能です。これにより、あらゆるプラットフォームにおいて、ユーザが使い慣れた一貫したサインイン体験を提供することができます。

例えば、Verteo BioPharmaは Ping で SSO を使用しており、ユーザの MFA を必須化したいと考えています。管理者は Ping の MFA を設定し、ユーザにカスタムドメインリンクでサインインするよう求めます。Verteo BioPharma のユーザである Sarah Jones は、Veeva CRM を起動し、[カスタムドメインを使用] リンクを選択します。彼女は Salesforce サインイン URL を入力して自分の SSO 資格でサインインします。MFA チャレンジが表示されます。彼女がチャレンジを完了し、ID を確認すると、ホームページが表示されます。

代わりに、Sarah Jones は Veeva CRM を起動し、[カスタムドメインを使用] リンクを選択します。彼女はカスタムドメインフィールドに Verteo BioPharma のマイドメイン名を入力し、[次へ] を選択します。Verteo BioPharma のロゴがあるマイドメインログインページが埋め込みブラウザーに表示されます。Sarah は認証情報を入力し、サインインします。

特記事項

  • ユーザはアクティブなインターネット接続を持っている必要があります
  • 同意書取得において、同意書取得ページのロックアイコンは表示されません

カスタムドメインサインインのためのユーザプロファイルの管理

カスタムドメインの使用リンクは常にログインページに表示されます。どのユーザでもこのリンクを表示し、選択することができます。しかし、特定のユーザのプロファイルにのみ [カスタムドメインを使用] リンクを使用してサインインできるようにしたい場合もあります。

[カスタムドメインを使用] リンクから特定のユーザのプロファイルにのみサインインを許可するには:

  1. ライトニング では、設定>アプリ > 接続済みのアプリ > 接続済みのアプリの管理、セールスフォースクラシック では設定 > 管理設定 > アプリの管理 > 接続済みのアプリに進みます
  2. Veeva CRM アプリで編集を選択します。
  3. OAuth ポリシーセクションの 許可されたユーザフィールドで、管理者が承認したユーザは事前認証済みオプションを選択します。
  4. 保存を選択します。
  5. プロファイルセクションのプロファイルを管理を選択します。
  6. 適切なプロファイルを選択します。
  7. 保存を選択します。

権限を持たないユーザがリンクからサインインしようとすると、認証に失敗し、[カスタムドメインを使用] 画面が表示されます。

リフレッシュトークンポリシーの定義

ユーザが [カスタムドメインを使用] リンクを使用してサインインし、アクティブな Salesforce セッションを開始すると、そのセッションは恒久的ににアクティブなままです。ただし、管理者はセッションがアクティブになる期間を定義して、セッションが無制限にアクティブになることを防ぐことができます。ユーザがサインインすると、アプリは有効なリフレッシュトークンを受け取り、アクティブなセッションが開始されます。セッションが終了したとき、リフレッシュトークンがまだ有効であれば、新しいセッションが自動開始され、新しいリフレッシュトークンが取得されます。有効なリフレッシュトークンがある限り、ユーザは再度サインインすることなくアプリを開始し、使用することができます。デフォルトでは、ユーザが [カスタムドメインを使用] リンクからサインインしても、リフレッシュトークンの有効期限が切れることはありません。

リフレッシュトークンポリシーを定義するには:

  1. 設定 > アプリ > 接続アプリ >接続アプリの管理に進みます。
  2. Veeva CRM アプリで編集を選択します。
  3. OAuth ポリシーセクションの リフレッシュトークンポリシーに、該当する選択リストを選択します。使用可能なオプションは以下の通りです:
    • リフレッシュトークンは取り消されるまで有効です – デフォルトで選択されています。リフレッシュトークンは、管理者によって特に取り消されない限り、無期限で有効です。トークンの取り消しは、OAuth 接続アプリまたはOAuth 接続アプリ使用設定ページにある、ユーザの詳細ページで行います。
    • リフレッシュトークンの即時失効 - リフレッシュトークンは、ユーザがサインインした直後に失効します。現在のセッションはアクティブであっても、アプリを終了して再度起動した後、ユーザは再度サインインする必要があります。
    • 規定時間の使用がない場合のレフレッシュトークンの失効 – 指定された時間内にセッションを開始するために使用されなかった場合、リフレッシュトークンは失効します。例えば、リフレッシュトークンが 7 日間使用されないと失効するように設定されている場合、ユーザはサインインしてリフレッシュトークンを取得してから 7 日以内に、アプリで少なくとも 1 回のフルセッションを使用する必要があります。これにより、リフレッシュトークンは新しいセッションを開始するために使用され、その後新しいトークンに交換されます。新しいトークンは、さらに 7 日間有効です。また、セッションの非アクティブ状態のモニタリング期間もリセットされます。
    • リフレッシュトークンの n 時間後の失効 – リフレッシュトークンの有効期間を一定にします。例えば、リフレッシュトークンの有効期間を 24 時間に設定した場合、ユーザがアクティブなセッションを維持できるのは 24 時間のみとなります。

多要素認証の実施

お客様は、Salesforce または独自の IDP を通じて MFA を設定し、適切なユーザプロファイルまたは権限セットに対して MFA を有効化することができます。MFA を有効化すると、ユーザはサインイン時に MFA チャレンジを完了する必要があります。MFA チャレンジは、追加の保護レイヤーを提供するための二次的なバリデーション方法です。iPad および iPhone デバイスに MFA を適用したいお客様は、[カスタムドメインを使用する] リンクを使用してサインインするようユーザに要求する必要があります。

フィールドユーザ

Salesforce の標準的な認証に Salesforce MFA を設定するには:

  1. セットアップ > ユーザ > プロファイルの順に移動します。
  2. 適切なユーザプロファイルを選択します。
  3. システムセクションで、システム権限を選択します。
  4. 編集を選択します。
  5. API ログインの多要素認証ログインおよびユーザインターフェイスログインの多要素認証チェックボックスを選択します。

    API ログインの多要素認証オプションを有効にすると、ユーザは既存の認証方法を使用してサインインすることができなくなります。

  6. 保存を選択します。
  7. プロファイルの概要ページに戻ります。
  8. システムセクションで、セッション設定を選択します。
  9. 編集を選択します。
  10. ログイン時に必要なセッションセキュリティレベルをなしに設定する。
  11. 保存を選択します。

拡張プロファイルユーザインターフェースのユーザ管理設定が有効化されていない場合、ユーザプロファイルのシステム権限およびセッション設定が同じページに表示され、同時に編集することができます。オリジナルのプロファイルインターフェースについて詳しくは、Salesforce ドキュメンテーションをご覧ください。

IDP を使用して SSO に MFA を適用するお客様は、IDP で MFA を別途設定する必要があります。MFA を設定した後でも、ユーザは Salesforce の認証情報でサインインすることにより、MFA チャレンジをスキップできます。ユーザが MFA チャレンジを完了するようにするには、管理者はユーザが Salesforce の認証情報でサインインできないようにする必要があります。

  1. 設定 > アイデンティティ > シングルサインオン設定に進みます。
  2. 編集を選択します。
  3. 認証情報でのログインを無効化チェックボックスを選択します。
  4. セットアップ > ユーザ > プロファイルの順に移動します。
  5. 適切なユーザプロファイルを選択します。
  6. システムセクションで、システム権限を選択します。
  7. 編集を選択します。
  8. Is Single Sign-On Enabled チェックボックスを選択します。
  9. 保存を選択します。
  10. プロファイルの概要ページに戻ります。
  11. システムセクションで、セッション設定を選択します。
  12. 編集を選択します。
  13. ログイン時に必要なセッションセキュリティレベルをなしに設定する。
  14. 保存を選択します。

SSO ユーザ向けにプロファイルを使用して Salesforce MFA を設定する:

  1. セットアップ > ユーザ > プロファイルの順に移動します。
  2. 適切なユーザプロファイルを選択します。
  3. 編集を選択します。
  4. 一般ユーザ権限セクションに移動します。
  5. ユーザインターフェースログイン用の多要素認証チェックボックスを選択します。
  6. セッション設定セクションに移動します。
  7. ログイン時に必要なセッションセキュリティレベルをなしに設定する。
  8. 保存を選択します。

システム管理者

システム管理者が統合ユーザではないことを確認してください。統合ユーザは、設定では不可となっている、API を介したサインインができる必要があります。

Salesforce の標準的な認証に Salesforce MFA を設定するには:

  1. セットアップ > ユーザ > プロファイルの順に移動します。
  2. 適切なユーザプロファイルを選択します。
  3. システムセクションで、セッション設定を選択します。
  4. 編集を選択します。
  5. ログイン時に必要なセッションセキュリティレベルを高保証に設定します。
  6. 保存を選択します。

インテグレーションユーザ

Salesforce の標準的な認証に MFA を設定するには:

  1. セットアップ > ユーザ > プロファイルの順に移動します。
  2. 適切なユーザプロファイルを選択します。
  3. システムセクションで、システム権限を選択します。
  4. 編集を選択します。
  5. ユーザインターフェースログイン用の多要素認証チェックボックスを選択します。
  6. [保存] を選択します。
  7. プロファイルの概要ページに戻ります。
  8. システムセクションで、セッション設定を選択します。
  9. 編集を選択します。
  10. ログイン時に必要なセッションセキュリティレベルを高保証に設定します。
  11. 保存を選択します。

サインイン

ユーザは、以下の認証方法で Veeva CRM にサインインすることができます:

  • 既存の認証
  • 以下をサポートするカスタムドメインリンクを使用します:
  • Salesforce の標準的な認証情報
  • Salesforce がサポートする任意の SSO 方法。Salseforce での SSO について詳しくは、Salesforce ドキュメンテーションをご覧ください。

サインインするには:

  1. ログインページで、カスタムドメインを使用を選択します。
  2. カスタムドメインフィールドに、組織の完全なカスタムドメイン URL を入力します。https:// は含めないでください。

    ユーザが以前にカスタムドメインでサインインしたことがある場合、この画面はスキップされ、マイドメインのログインページが自動的に埋め込みブラウザーに表示されます。

  3. 次へを選択します。
  4. 埋め込みブラウザで適切な認証情報を入力します。
  5. ログインを選択します。
  6. 該当する場合は、MFA チャレンジを完了します。
  7. 許可を選択してアプリにアクセスします。この手順は、ユーザが特定の認証情報のセットで初めてサインインするときのみ必要です。

ユーザがサインインに成功すると、アクティブな Salesforce セッションが開始されます。セッションがアクティブな間は、アプリを閉じても、ユーザはサインインしたままです。セッションを終了するには、サインアウトするか、リフレッシュトークンの有効期間が切れるまで待つ必要があります。詳細はリフレッシュトークンポリシーの定義を参照してください。