はじめに

今回の検証のきっかけはこちらの投稿です。 sf.forum.circlace.com

ユーザはLightningでコピーできるのか、機能を試すという意味で興味を持ったのでやってみることにしました。

検証

実現可否の確認

※以下Salesforce URLは https://mydomain.lightning.force.com/... とします。実際に使用する際はURLはご自身の組織URLに読み替えてください。

まず前提として、LightningでcloneURLパラメータは使えません。
以前業務で必要になってSalesforce社に問い合わせたのですが、「無理」という回答でした。

そのため、Lightningでコピーをするには defaultFieldValues を用いて必要な項目を1つずつ指定する必要があります。
参考：Salesforceヘルプ：デフォルト項目値を含むレコード作成ページの起動

次に、ユーザ新規作成画面で defaultFieldValues URLパラメータが使えるかを検証します。
一般的にユーザを新規作成する際は 設定｜ユーザ｜ユーザ の画面から「新規ユーザ」をクリックしますが、その時のURLは以下のように独特です。

https://mydomain.lightning.force.com/lightning/setup/ManageUsers/page?address=%2F005%2Fe%3FretURL%3D...

試しにこのURLに defaultFieldValues URLパラメータを追加したのですが、全く効きませんでした。

次に、先述したブログの「検証 2 カスタムリンクの作成→Lightningの場合」に記載された新規ユーザ画面に注目します。
この画面は https://mydomain.lightning.force.com/lightning/o/User/new にアクセスすれば表示されます。

しかし、この画面にはユーザ作成に必要なプロファイル等の項目が配置されていないので、ユーザを作ろうとしてもエラーになります。

項目がないならページレイアウトで追加すればいいじゃない、ということで該当ページのページレイアウトを探します。
すると、ユーザオブジェクト設定にある「ユーザプロファイルページレイアウト」が該当ページのページレイアウトであることを確認しました。

ここまで確認できれば、このページレイアウトに必要な項目を配置し、 defaultFieldValues URLパラメータで必要項目を設定すればできるのでは、ということで試してみることにしました。

ユーザコピーを行う

まず、ユーザプロファイルページレイアウトに以下項目を配置します。

• 名前
• 別名
• メール
• ユーザ名
• ニックネーム
• プロファイル
• メールの文字コード
• タイムゾーン
• 地域
• ロール（必須ではない）
• 有効（必須ではない）
• その他必要な項目

なお、ユーザ作成には上記項目の他「言語」項目も必要ですが、ユーザプロファイルページレイアウトにはなぜか配置できません。
そのため、この画面からユーザを作成することはできません。

しかし、defaultFieldValues URLパラメータで「言語」項目を指定すればユーザ作成できるかもしれません。

次に、このユーザ作成画面にdefaultFieldValues URLパラメータを使ってアクセスするカスタムリンクを作成します。
作成したカスタムリンクURLは以下になります。

/lightning/o/User/new?defaultFieldValues=
FirstName={!URLENCODE(User.FirstName)},
LastName={!URLENCODE(User.LastName)},
Alias={!URLENCODE(User.Alias)},
Email={!URLENCODE(User.Email)},
Username={!URLENCODE(User.Username)},
CommunityNickname={!URLENCODE(User.CommunityNickname)},
ProfileId={!User.ProfileId},
TimeZoneSidKey={!URLENCODE(TEXT(User.TimeZoneSidKey))},
LocaleSidKey={!URLENCODE(TEXT(User.LocaleSidKey))},
LanguageLocaleKey={!URLENCODE(TEXT(User.LanguageLocaleKey))}

ちなみにメールの文字コード（User.EmailEncodingKey）、ロール（User.UserRoleId）はカスタムリンクの差し込み項目として使用できなかったため加えていません。
しかし言語（LanguageLocaleKey）は指定できました。

このリンクをクリックして表示された画面が以下になります。

メールの文字コードはデフォルト値が使用されていました。
そしてこの画面で保存をクリックすると…無事保存できました。

おわりに

今回力技でユーザコピーを試しましたが、以下の理由で実用性がないと考えます。

• カスタムリンクの時点でメールの文字コード、ロールがコピー対象から抜け落ちる。
• マーケティングユーザ等の機能ライセンスを割り当てられない。
• ユーザ設定画面から作成した場合には使える「パスワードをリセットしてユーザに通知する」が使えない。

個人的にはユーザをコピーするならデータローダを使うと思います。
理由は上記欠点のうち「パスワードをリセットしてユーザに通知する」が使えない点以外に対応できること、また複数コピーが同時にできるためです。

はじめに

以下のような質問を受けました。

• あるオブジェクトに、以下の項目がある。
  • 年/月を項目値とした選択リスト項目（項目値として2022/01、2022/02、…のように並んでいる）
  • 上記選択リスト項目を基に、年月は選択リスト項目値のものを、日は15日に固定した数式（日付）項目
    • 例：選択リスト項目が「2022/1」の場合は「2022/1/15」となる。
• この時、数式（日付）項目が今年度かどうかを判定する数式項目を作りたい。

この数式作りに結構苦戦したのでここに残しておきます。

数式作り

前提

数式に用いる項目のAPI参照名及び仕様は以下とします。

• 年/月を項目値とした選択リスト項目： picklist_date__c
  • 選択リスト項目値は2022/01、2022/02、…のように、月の部分は2桁固定とします。
• picklist_date__c から作成した数式（日付）項目：formula_date__c
  • 数式は DATE(VALUE(LEFT(TEXT(picklist_date__c),4)), VALUE(RIGHT(TEXT(picklist_date__c),2)), 15) とします。
• 今年度か判定する数式項目：chk_thisyear__c （テキスト項目）
  • 今年度の場合は「今年度」、そうでない場合は「今年度以外」と表示します。

年度が固定の場合

これは formula_date__c が該当年度（〇年4月1日～〇+1年3月31日）の間であることをIF関数を用いてチェックすればOKです。
例として、2021年度か否かを判定する場合は以下数式になります。

IF(AND(formula_date__c >= DATE(2021,4,1), formula_date__c <= DATE(2022,3,31)),
"今年度", "今年度以外")

年度が「今日」を基準にする場合

これは年度固定の場合より少し複雑になります。
なぜなら今日の月によって年の判定が変わるからです。

• 今日が1月～3月の場合
  • formula_date__c が去年の4月1日から今年の3月31日までなら「今年度」
• 今日が4月～12月の場合
  • formula_date__c が今年の4月1日から来年の3月31日までなら「今年度」

formula_date__c を使った数式

そこで、以下のように今日の月によって判定が変わるようIF関数を追加して、以下の数式を作成します。

IF(MONTH(TODAY())<=3, 
    IF(AND(formula_date__c >= DATE(YEAR(TODAY())-1,4,1), formula_date__c <= DATE(YEAR(TODAY()),3,31)),
    "今年度", "今年度以外"),
    IF(AND(formula_date__c >= DATE(YEAR(TODAY()),4,1), formula_date__c <= DATE(YEAR(TODAY())+1,3,31)),
    "今年度", "今年度以外")
)

すると、数式サイズが5000文字オーバーとしてエラーになってしまいました。

formula_date__c を使うパターンではこれ以上簡単な数式を作れなかったので、再考を求められました。

formula_date__c を使わない数式

formula_date__c を使わないとなると、picklist_date__cから年、月を取り出して、そこから今日の日付と比較を行う必要があります。
また、数式サイズ削減のためDATE関数を使用できないので、年と月を個別に比較する必要があります。
考えた結果、以下の表を作成してからそれを数式に当てはめました。

• 表

• 数式

IF( 
    OR(
        AND(MONTH(TODAY())<=3,VALUE(right(TEXT(picklist_date__c),2))<=3,VALUE(left(TEXT(picklist_date__c),4))=YEAR(TODAY())),
        AND(MONTH(TODAY())>=4,VALUE(right(TEXT(picklist_date__c),2))>=4,VALUE(left(TEXT(picklist_date__c),4))=YEAR(TODAY())),
        AND(MONTH(TODAY())<=3,VALUE(right(TEXT(picklist_date__c),2))>=4,VALUE(left(TEXT(picklist_date__c),4))=YEAR(TODAY())-1),
        AND(MONTH(TODAY())>=4,VALUE(right(TEXT(picklist_date__c),2))<=3,VALUE(left(TEXT(picklist_date__c),4))=YEAR(TODAY())+1)
    ),
    "今年度", "今年度以外")

これで数式サイズも5000文字以下となり、利用可能になりました。

最近、会社にてチームメンバーにSalesforce認定アドミニストレータ試験の勉強会を開いています。
その中で、「レコードタイプ、ページレイアウト、セールス/サポート/リードプロセスの使い分けが分かりません」と言われたので、サンプル問題を使って解説しました。
その内容をここにも残しておきます。

サンプル問題

AWコンピュータ社の営業とサポートは、ケースで異なる項目を管理しています。
またCPU、メモリ、マザーボードの3つの製品ラインがあり、それぞれ異なるサポートプロセスと入力が必要な項目があります。
この要件を満たす実装はどれですか？
【選択肢】
A. レコードタイプを2つ、ページレイアウトを6つ、サポートプロセスを2つ
B. レコードタイプを6つ、ページレイアウトを3つ、サポートプロセスを3つ
C. レコードタイプを3つ、ページレイアウトを6つ、サポートプロセスを3つ
D. レコードタイプを3つ、ページレイアウトを2つ、サポートプロセスを3つ

解説

選択肢の機能について

選択肢に記載されている3つの機能について詳しい解説はここでは行いませんが、この中でレコードタイプは特に制約がありません。
一方、他の2つの機能は、以下の通り別の機能が関連します。

• ページレイアウト：レコードタイプとユーザプロファイルによって決まる
• サポートプロセス：レコードタイプによって決まる

つまり、ページレイアウトを分けたいならレコードタイプかユーザプロファイルを追加する必要があり、サポートプロセスを分けたいならレコードタイプを追加する必要があります。

問題文の読み込み

1文目

まず、1文目から読み進めます。
「営業とサポートは、ケースで異なる項目を管理」とのことなので、ここから「営業とサポートには自分たちが管理する項目だけ表示させる必要がある」→「営業とサポートでページレイアウトを分ける必要がある」と読み取れます。
また、営業とサポートは利用ユーザのため、「営業とサポートで別のユーザプロファイルを用意し、各プロファイルごとに別のページレイアウトを割り当てる必要がある」と判断できます。

2文目

次に2文目ですが、
「CPU、メモリ、マザーボードの3つの製品ラインがあり、それぞれ異なるサポートプロセスと入力が必要な項目がある」とのことです。
つまり、サポートプロセスは3つの製品ラインごとに用意する必要があります。
また、「3つの製品ラインごとに異なる『入力が必要な項目』がある」とのことなので、3つの製品ラインごとにページレイアウトも用意する必要がある、と読めます。

ここで、前述の通り「ページレイアウトを分けたいならレコードタイプかユーザプロファイルを追加する必要があり、サポートプロセスを分けたいならレコードタイプを追加する必要がある」ので、3つの製品ラインごとにレコードタイプを用意する必要があります。
結果、2文目からは「3つの製品ラインごとにレコードタイプを用意し、それぞれ別のサポートプロセスとページレイアウトを割り当てる必要がある」と判断できます。

各機能の個数を決める

ここまでの話で、レコードタイプ、サポートプロセスは2文目の要件でしか使用しないこと、また3つの製品ラインごとにレコードタイプを用意することから、「レコードタイプは3つ」、「サポートプロセスは3つ」と決まります。
この時点で、回答はCかDのいずれかです。

【選択肢】
A. レコードタイプを2つ、ページレイアウトを6つ、サポートプロセスを2つ
B. レコードタイプを6つ、ページレイアウトを3つ、サポートプロセスを3つ
C. レコードタイプを3つ、ページレイアウトを6つ、サポートプロセスを3つ
D. レコードタイプを3つ、ページレイアウトを2つ、サポートプロセスを3つ

最後のページレイアウトですが、「問題文の読み込み」節にて以下のように読み取りました。

• 1文目から、営業とサポートで別のユーザプロファイルを用意し、各プロファイルごとに別のページレイアウトを割り当てる必要がある
• 2文目から、3つの製品ラインごとにレコードタイプを用意し、それぞれ別のページレイアウトを割り当てる必要がある

これを表にすると、以下のようになります。

よって、用意するページレイアウトは6つとなり、答えはCとなります。

【選択肢】
A. レコードタイプを2つ、ページレイアウトを6つ、サポートプロセスを2つ
B. レコードタイプを6つ、ページレイアウトを3つ、サポートプロセスを3つ
C. レコードタイプを3つ、ページレイアウトを6つ、サポートプロセスを3つ
D. レコードタイプを3つ、ページレイアウトを2つ、サポートプロセスを3つ

おわりに

この問題を解くのに最も重要な点は、

• ページレイアウト：レコードタイプとユーザプロファイルによって決まる
• サポートプロセス：レコードタイプによって決まる

が理解できていることだと思います。
その上で、問題文からレコードタイプ、ページレイアウト、○○プロセスをどう分けるかを考える力が必要になるでしょう。

（この投稿はSalesforce Advent Calendar 2021の12日目です） qiita.com

どうも、Mark Hammerです。
そういえば今日はSalesforce ハッカソン 2021の発表日ですね。
どういった成果物が出てくるのか楽しみに見たいと思います。

developer.salesforce.com

• はじめに
• Secretコードによる認証アプリの紐づけ
• システム管理者が認証アプリを紐づけする手順
  • データローダでの作業
  • ユーザへのQRコード提示
  • メリットとデメリット
• 悪い例：セキュリティ強度が落ちる紐づけ
• おわりに
• 追記：代理ログインによるMFA紐づけ代行

はじめに

2021年、Salesforce界隈を騒がせたMFA必須化。
皆さん2022/2/1の必須化開始に向けてアプリのインストールや機器の購入、社内調整等で大変かと思います。

私はTrailblazer CommunityのMFAに関するグループをたまに眺めているのですが、そこで出てくるのが「ユーザがMFAアプリを登録するのではなくシステム管理者が登録することはできないのか」という質問。
ちなみにSalesforce AuthenticatorやGoogle Authenticator等サードパーティアプリを使用する場合、以下の流れになります。

1. 事前にSalesforceの私の設定画面でSalesforce AuthenticatorかGoogle Authenticator等サードパーティアプリの紐づけを行う。
2. Salesforceログイン時にMFAを必須にする設定を行う。
3. 2.設定後にSalesforceにログインした際に表示される認証画面で紐づけしたアプリを使用して認証する。

ここで必ずユーザが実施しなければならない作業が1.の紐づけなのですが、これをシステム管理者が代行できるとすれば、以下の要件を満たす必要があると考えます。

1. ユーザの持つアプリを特定できる情報をSalesforce側にインポートできる。
2. 1.でインポートした際にユーザの持つアプリに自動でSalesforce認証用情報が登録される。

しかし1.のインポートといっても、Salesforce Authenticator紐づけの際は英単語2個、サードパーティアプリ紐づけの際はSalesforce側に表示されるQRコードか認証コードを用いる必要があるため、アプリ側の情報をSalesforce側にインポートできるように見えません。
2. に至ってはアプリ側の操作なしに自動でSalesforce認証用情報が登録されるというのは無理があるように見えます。
よって、「頑張ってユーザに紐づけ操作してもらってください。」というのが今までの認識でした。

Secretコードによる認証アプリの紐づけ

この認識が変わったのは2021/11/4に行われたMFA FAQの更新です。（日本語版FAQには投稿時点で未反映）
「What are third-party TOTP authenticator apps?」にて、Salesforceにハードウェアトークンを登録できるとの情報が記載されました。
そこに記載されていた説明文では、データローダ等でTwoFactorInfoオブジェクトに対しSecretコードをインポートできるとの記載がありました。

To associate a hardware token with a user, insert a TwoFactorInfo object into the database, as described in the Salesforce Object Reference. You need to provide the Secret, the user's ID, and specify the Type field as 'TOTP'. You can use the Data Loader, Workbench, or custom Apex to insert TwoFactorInfo objects into the database.

おそらくハードウェアトークンであればSecretコードは製品のどこかに記載があるのだと思います。
ではアプリ紐づけの際に使えるSecretコードを取得することはできないのだろうか、と情報を探しました。
そして、ApexのSessionManagement クラスにて、 getQrCode() 関数の存在を知りました。

Apex 開発者ガイド：SessionManagement クラス より抜粋

getQrCode()
多要素認証 (MFA) 用の認証アプリケーションまたはデバイスを設定するための、QR (Quick Response) コードと時間ベースのワンタイムパスワード (TOTP) の共有秘密への URL が含まれる対応付けを返します。

これで、特定のSecretコードを認証アプリに登録するためのQRコードを発行できるURLを入手できました。

(匿名 Apex コード)
Map<String, String> codeResult = Auth.SessionManagement.getQrCode();
String result = 'URL: '+codeResult.get('qrCodeUrl') + ' SECRET:  ' + codeResult.get('secret');
System.debug(result);

(Output)
USER_DEBUG [3]|DEBUG|URL: https://sampledomain.my.salesforce.com/secur/qrCode?w=200&h=200&t=tf&u=sample%40example.com&s=3C2IC7JFL7SXMGSQSMLTJKFIZSXJOXG0 SECRET:  3C2IC7JFL7SXMGSQSMLTJKFIZSXJOXG0

このURLの secret 部分は英数字であれば書き換えても利用可能です。
これを利用して、Salesforceへの認証アプリ登録をシステム管理者が実施することが可能になりました。

システム管理者が認証アプリを紐づけする手順

データローダでの作業

※作業前に、システム管理者に「API で多要素認証を管理」権限を付与する必要があります。
この権限は「システム管理者」標準プロファイルにはないため、カスタムプロファイルか権限セットで付与してください。

• オブジェクトリファレンス: TwoFactorInfo を参考に、以下のようなCSVを作成する。（Secretコードはサンプル）

• データローダ等を用いて「2要素情報(TwoFactorInfo)」オブジェクトにInsertを行う。
  • データローダ利用の際はオブジェクト選択時に「Show all Salesforce objects」にチェックを入れること。
  • Insert成功時、紐づけ先ユーザには「Salesforce アカウントに新しい検証方法が追加されました」というメールが届くため、事前にユーザに説明が必要。

ユーザへのQRコード提示

上記作業はあくまでSalesforce側への登録のため、これだけではユーザが持つアプリにSalesforce認証用の情報が入りません。
そのため、以下URLやSecretコードを連携してアプリに登録してもらいます。

• URL: https://ap.salesforce.com/secur/qrCode?w=200&h=200&t=tf&u=sample%40example.com&s=0Z1Z2Z3Z4Z5Z6Z7Z8Z9Z0Z1Z2Z3Z4Z5Z
  • u パラメータ: アプリに表示する識別用文字列。通常はユーザ名。(↑のサンプルでは sample@example.com に設定)
  • s パラメータ: Secretコード
• Secretコード: 0Z1Z2Z3Z4Z5Z6Z7Z8Z9Z0Z1Z2Z3Z4Z5Z
  • Authy等、コードを入力して登録する形式の場合はこちらを使ってもらいます。

メリットとデメリット

この方法のメリットとデメリットは以下の通りです。

• メリット
  • ユーザが行うのは認証アプリでのQRコードの撮影、またはコード入力のみ。Salesforceの画面操作は不要。
  • QRコード撮影による登録の場合、アプリに表示する識別用文字列を自由に変更できる。*3
  • 極論、端末さえ貸してもらえればユーザのパスワードやメールで届く認証コードなしで多要素認証のアプリ紐づけが可能なのでシステム管理者のみの作業で済む。
• デメリット
  • ユーザがアプリへの紐づけ登録を行わずに多要素認証を有効化した場合、Salesforceにログインできない状況が発生する。
    • この場合は一旦システム管理者がSalesforce側のアプリ接続を削除するしかない。
  • ユーザがアプリへの紐づけ登録をしたか否かはシステム管理者含む他の人には分からない*4ので、いちいちユーザに登録状況を確認する必要があり、面倒。
  • この方法で登録できるのはワンタイムパスワード認証(TOTP)のみで、Salesforce Authenticatorやセキュリティキーの登録はできない。

個人的には、この方法は「システム管理者が登録を代行したい」という要望がなければ考えない方法であり、あまり有用とは思っていません。
ただ、「こういう方法もあるよ」ということで今回投稿してみました。

悪い例：セキュリティ強度が落ちる紐づけ

通常、TwoFactorInfoオブジェクトに登録する SharedKey （Secretコード）はユーザごとに異なるのですが、 SharedKey 項目にはユニーク制約がないので、複数のユーザに同じSecretコードを設定することができます。
また、複数の認証アプリに同じSecretコードを設定すると、（当然ながら）同じ6桁の認証コードが表示されます。

つまり、以下のような設定も可能なわけです。

• TwoFactorInfoオブジェクトへのインポートで、全ユーザに同じ SharedKey （Secretコード）を設定する。
• ユーザのアプリ紐づけ用QRコードのURL、コードを1つ作成し、全ユーザに連携する。
  • URLの u パラメータは会社名などにする。
• 全ユーザの認証アプリに表示される認証コードは同一のため、自分の端末を失くしても他の人の端末（認証アプリ）があれば認証できる。

…まぁこれは多要素認証の意味がなくなる設定なので、やったらダメですよ。

おわりに

TwoFactorInfoオブジェクトの存在から、MFAの紐づけをシステム管理者がどこまで代行できるか考えてみましたが、最終的なアプリの紐づけはユーザに実施してもらう必要がある*5以上、従来通りSalesforceの「私の設定」から紐づけしてもらうのが一番楽ではないか、という結論になりました。
ただ複数の方法を知っていることは何かの役に立つかもしれませんので、この投稿が（悪い例以外で）お役に立てれば幸いです。

追記：代理ログインによるMFA紐づけ代行

今回の調査を行った後に、システム管理者が他のユーザに代理ログインし、アプリ紐づけができるか試したところできることが分かりました。なので、この方法でもユーザのパスワードなしでMFA紐づけを代行することは可能です。
ただ、代理ログインでのアプリ紐づけの場合、ユーザ確認として確認コードのメール送信か、既に紐づけ済みのアプリによる認証が行われます。
通常アプリ紐づけは初回になるかと思いますので、ユーザに確認コードのメールを転送してもらう必要があります。