見出し画像

Microsoft 365 からSalesforceへのSSOについて

岩澤 樹/NPO業務Hack

SalesforceのMFA認証の必須化の対応をしていたところ、SSOする場合どうなるんだろうって思って調べていました。

SSOの場合、IdP側で2要素認証をしておけば良いということで安心していたのですが、まさかの「メール、電話、SMS」はダメだったので取り急ぎMicrosoft Authenticatorの導入をしました。

今回はMS365のアカウントを用いてSalesforceにSSOする場合の設定について記載していきます。

Salesforce側の前提

SSOを介する場合でもMFAは必須になります。

シングルサインオン (SSO) を介してアクセスされる Salesforce 製品に MFA は必須ですか?

はい、MFA 要件は、Salesforce 製品のユーザインターフェースに直接ログインまたは SSO 経由でアクセスするすべてのユーザに適用されます。Salesforce 製品が SSO と統合されている場合、すべての Salesforce ユーザに対して確実に MFA を有効化します。たとえば、SSO プロバイダの MFA サービスを使用できます。また、Salesforce プラットフォーム上に構築された製品の場合、SSO レベルで MFA を有効にする代わりに Salesforce で提供される無料の MFA 機能を使用できます。詳細は、Salesforce ヘルプの「SSO ログインでの Salesforce MFA の使用」を参照してください。
SSO ID プロバイダ (IdP) を使用してアクセスされるアカウントを保護する責任はすべてお客様が負うものとします。ID プロバイダは、デジタル ID を保存して管理し、ユーザを認証する信頼できるシステムです。

Salesforce 多要素認証に関する FAQ
https://help.salesforce.com/s/articleView?id=000352937&type=1

ちなみに、IdP側でMFAをしているといっても、それがメール、ショートメッセージ、電話はNGになります。

次のオプションによってワンタイムパスコードを配信することは認められません。下記の方法は本質的に、傍受やなりすまし、その他の攻撃に対して脆弱であるためです。
・メールメッセージ
・テキストメッセージ
・電話連絡

Salesforce 多要素認証に関する FAQhttps://help.salesforce.com/s/articleView?id=000352937&type=1

Microsoft (Azure AD)側の設定

今回はSalesforceが許可しているひとつの方法である、「Microsoft Authenticator」を設定していきます。

・Salesforce Authenticator モバイルアプリケーション (App Store® または Google Play™ で入手可能)
・時間ベースのワンタイムパスワード (TOTP) 認証アプリケーション (Google Authenticator™、Microsoft Authenticator™、Authy™ など)
・WebAuthn または U2F をサポートするセキュリティキー (Yubico の YubiKey™、Google の Titan™ セキュリティキーなど)
・Touch ID®、Face ID®、Windows Hello™ などの組み込み Authenticator

Salesforce 多要素認証に関する FAQhttps://help.salesforce.com/s/articleView?id=000352937&type=1

条件付きアクセスの設定

以下より条件付きアクセスを設定していきます。
設定内容としては、「すべてのクラウドアプリに対して、多要素認証を要求する」としています。

ちなみに、いきなりすべてのユーザーを指定して実施する怖いので、テストユーザーで挙動を確認してから実施することをお勧めします。

ユーザー側の挙動

ユーザー側では初回ログイン時に以下のような画面が出力されます。そのため、ユーザーがいきなりログインできなくなる…といった心配はありません。(びっくりするので事前に変えることは連絡しましょう)

「次へ」をクリックするとMicrosoft Authenticatorの案内が出てきます。これに従ってスマートフォンにMicrosoft Authenticatorをインストールしてもらいます。

ちなみに、Microsoft Authenticatorの画面キャプチャはセキュリティポリシー上キャプチャできないので割愛します…

認証すると、次のメソッドで電話番号を登録できます。
…がここは設定しないでブラウザを閉じます。
設定してしまうとMFAとして電話番号やメールアドレスを使えるようになってしまい、Salesforceの要件を満たさなくなってしまいます。

(他のシステムへの影響やMS365としての影響は無視しています。いずれ必要になる可能性はあります)

理想で言えば、電話番号を用いた認証などを拒否したいのですが、今回は調べきれておりません。

すでに電話などの多要素認証を設定している場合

もしすでに多要素認証を設定している場合は、セキュリティ情報から追加することが可能です。追加後に規定のサインイン方法を変更いただくか、電話などの登録済みの認証方法を削除してもらいましょう。


Salesforce側の設定変更を忘れずに

ということで今回はSalesforceにSSOするためのMS365の設定をやってきました。
Salesforceの設定もあるのでそちらも忘れずに行ってください。
SSOではなく、ID/Passでログインするアカウントや、SSOとID/Passの両方を使う場合もあると思います。

それらはSalesforce側で2要素認証の設定が必要になりますし、それをプロファイルで必須化しておく必要があります。

その場合Salesforce Authenticatorを使うか、TOTP認証アプリケーションを用いることになります。

MFA必須化の期日は2022 年 2 月 1 日になりますので焦らないよう事前にご対応くださいー!

いいなと思ったら応援しよう!