第28回 Winter'17新機能 ~Lightning Login~
皆さん。こんにちは。
dreamforce'16の余韻に浸る間もなく、Winter'17が日本でもリリースされましたので、早速新機能を試してみました。
Lightning Loginによる強固なセキュリティ
dreamforce'16のIT Keynoteでも強いメッセージとして発信されていましたが、Salesforceの生命線となっているのは「信頼性」です。
Salesforceは自身のセキュリティ水準を維持するために毎年多額の投資をしています。
そして今回のWinter'17では、従来の多要素認証に新しい手法である「Lightning Login」を提供しました。
Lightning Loginでは「知識」と「所持」を組み合わせることによってパスワードレス認証を提供することで、ログインにおけるセキュリティレベルを高めています。
ここでいう「知識」とはLightning Login利用時に入力する「6桁のPin」、「所持」とはアカウントに紐付けられた「デバイス」を意味しています。
つまり、「6桁のPinを知っている者」が「正当なデバイスを所持」している場合にのみ、Salesforceへのログインが許可されます。
Lightning Loginの利用方法
Lightning Loginの設定方法は下記となります。
① セッション設定でLightning Loginを許可する
② ユーザーにLightning Loginの利用権限を付与する
③ ユーザーの詳細画面からLightning Loginを登録する
④ スマートデバイス でSalesforce Authenticatorを設定する
⑤ Pinを設定する
それでは実際に設定してみます。
① セッション設定でLightning Loginを許可する
設定画面の「セッション設定」から「Lightning Loginを許可」にチェックを入れます。
この作業はこれで完了です。
② ユーザーにLightning Loginの利用権限を付与する
Lightning Loginをユーザーが利用するためには、プロファイルまたは権限セットのいずれかの方法でユーザーに利用権限を付与する必要がありますが、今回は権限セットで付与する方法をご紹介します。
設定メニューの「権限セット」から、新しい権限セット(今回は「Lightning Login」という名称)を作成します。
権限セットの「システム権限」に「Lightning Loginユーザ」という項目があるので、ここにチェックをして保存します。
次に、「割り当ての管理」ボタンをクリックし、Lightning Loginを許可するユーザーへ権限の割り当てを実施します。(下記キャプチャは割り当て後の画面)
これでユーザーへの権限付与作業は完了です。
③ ユーザーの詳細画面からLightning Loginを登録する
続いて、②でLightning Loginの利用権限を付与したユーザーの詳細画面を表示します。
ユーザーの詳細画面では、「Lightning Login」の項目に「登録」リンクが表示されていますので、これをクリックします。
「登録」リンクをクリックすると、確認ダイアログが表示されるので、「登録」ボタンをクリックします。
「登録」ボタンをクリックすると、Salesforceのログイン画面に戻り、再度ログインを促されますので、ユーザーIDとパスワードを入力してログインしてください。
ログインが正常に行われると、Salesforce Authenticatorをインストールしたデバイスとの接続を行うために、2語の語句を入力するダイアログが表示されます。
④ スマートデバイスでSalesforce Authenticatorを設定する
Salesforce Authenticatorは、AndroidまたはiOSを利用しているデバイスにインストール可能です。今回はiPhoneを利用して設定します。
Salesforce Authenticatorを起動し、「アカウントを追加」ボタンをクリックします。
「アカウントを追加」ボタンをクリックすると、スマートデバイスの画面に③の手順で入力を促された2語の語句が表示されます。
これをブラウザのテキストボックスに入力し、「接続」ボタンをクリックすると、下記の画面が表示されます。
一方、スマートデバイスでは下記の画面が表示されています。
ここで「接続」ボタンをクリックすると、Salesforceアカウントと、Salesforce Authenticatorのアカウントの紐付けが完了し、ブラウザにOKアイコンが表示されます。
⑤ Pinを設定する
続けてブラウザの画面ではSalesforce Authenticatorを利用してLightning Loginを行うことの承認を促す画面が表示されます。
スマートデバイスには下記画面が表示されていますので、「承認」ボタンをクリックします。
「承認」ボタンをクリックすると、6桁のPinを入力する画面が表示されます。
6桁のPinを入力すると再びブラウザ画面にOKアイコンが表示されます。
これで、Lightning Loginを利用する準備が整いました。
Salesforceにログインしてみる
Salesforceのログイン画面では、Lightning Loginユーザーとしてブラウザに記憶されたユーザー情報にアイコンが付与されています。
このユーザーのアカウントをクリックすると、ブラウザ画面にはSalesforce Authenticatorでログインの承認を行うよう促す画面が表示されます。
一方、Salesforce Authenticator側ではSalesforceへのログインを承認するか否かの画面が表示されます。
「承認」ボタンをクリックすると、先ほど設定した6桁のPinを入力する画面が表示されますので、正しいPinを入力すると、ログインが完了します。
まとめ
従来からクラウドサービスでは、ID/パスワードの不正利用による成りすましがリスクとされていました。
そのためGoogleやMicrosoftをはじめ、いくつかのクラウドサービスでは多要素認証を実装する動きがはじまっています。また、多要素認証をパブリッククラウド上のサービスとして提供する事業者も登場しています。
今回、Salesforceがこのように認証強化機能の提供を開始したことは、クラウドサービスの成りすまし対策が企業にとって課題となっていることを示唆しています。この機会に皆さんもSalesforceのセキュリティ対策を再確認してみてはいかがでしょうか。
なお、Pin(知識)とデバイス(所持)の組み合わせによるログイン認証は、弊社NTTソフトウェアでも同様のソリューションを取り扱っています。実は安全な認証という課題は、企業の情報システムという観点から見ると、単一システムだけの問題ではありません。Salesforceに限らず、より広い範囲での対策をご検討の方は、ぜひ一度ご覧ください。