はじめに

SalesforceのMFAが「契約上必須」から「機能上必須」に切り替わりそうなタイミングですが、皆様はMFA対応を進めていらっしゃいますでしょうか。
さて、SalesforceにSSO経由でログインする際もMFAが必要となりましたが、SSO経由の場合はIdP側、SP側（Salesforce）どちらかでMFA対応を行えばよいことになっています。
しかし、Salesforce側でMFA対応を行うには現状プロファイル設定にて [ログインに必要なセッションセキュリティレベル] を [高保証] に設定するしかないのですが、この設定を行うとAPIログイン時にもMFAを求められ、「ユーザ名、パスワード入力方式(Password Authentication)ではデータローダでログインできない」といった状況が発生します。

以前行った検証はこちら↓
sfblog.markhammer.net

このためSSO経由ログインを行う場合はIdP側でのMFA対応が必須と考えていました。
しかし「何か方法がないかな…」と思いながら設定画面を眺めていた時に思いついた方法で今回動作したので、その内容を書いていきます。

検証

今回は以下すべての条件を満たすことを目標にします。

• SSO経由でSalesforceにログインした場合に、Salesforce側でMFAを行う。
• データローダでユーザ名、パスワード入力方式(Password Authentication)のログインを行ってもMFAなしでログインできる。
• Salesforceログイン画面経由でログインした場合はMFAを行う。

結論

以下すべての設定を行えば全条件を満たせました。

• プロファイル設定にて [ログインに必要なセッションセキュリティレベル] を [高保証] に設定する。
• プロファイル設定、または権限セットにて「ユーザインターフェースログインの多要素認証」権限を付与する。またはセッションの設定にて「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」を有効化する。
• セッションの設定のセッションセキュリティレベルにて「高保証」に「多要素認証」と「ユーザ名とパスワード」を設定する。

検証の流れ

そもそも [ログインに必要なセッションセキュリティレベル] を [高保証] にしたときにユーザ名・パスワード形式のAPIログインが失敗するのは、セッションセキュリティレベルにて「高保証」に「多要素認証」しかないことが原因です。
しかし、セッションセキュリティレベルにて「高保証」に「ユーザ名とパスワード」も設定できるのを見て、【「高保証」に「ユーザ名とパスワード」を追加すればAPIログインも成功するはず。ログイン画面経由のMFA対応は「ユーザインターフェースログインの多要素認証」権限付与でできるのでは】と思い、試してみました。
以下、試した流れです。

• 検証①：プロファイル設定にて [ログインに必要なセッションセキュリティレベル] を [高保証] に設定し、セッションセキュリティレベルの「高保証」を「多要素認証」だけにする
  • この場合、SSOログイン時にSalesforce側でMFAを行うことは成功しましたが、データローダでユーザ名、パスワード入力方式によるログインを行うと失敗しました。（前述の投稿と同じ動作）
• 検証②：検証①＋セッションセキュリティレベルの「高保証」を「多要素認証」と「ユーザ名とパスワード」にする
  • この場合、データローダでユーザ名、パスワード入力方式によるログインは成功しましたが、Salesforceログイン画面経由でログインした場合はMFAなしになりました。
    これはセッションセキュリティレベルの「高保証」に「ユーザ名とパスワード」が追加されたため、ログイン画面経由でもMFA不要になったことが原因です。
• 検証③：検証②＋権限セットにて「ユーザインターフェースログインの多要素認証」権限を付与する
  • この場合、Salesforceログイン画面経由でログインした場合でもMFA必須になりました。
    「ユーザインターフェースログインの多要素認証」権限はログインに必要なセッションセキュリティレベルの高保証とは別枠で判断されるようです。
    この状態でデータローダログインを試すと成功し、またSSO経由ログインでもSalesforce側でMFAが必要な動作になりました。
• 検証④：検証②＋セッションの設定にて「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」を有効にする
  • この方法でも検証③同様、3条件全てを満たすことができました。

注意事項

そもそもセッションセキュリティレベルの「高保証」は、このヘルプにもある通り機密情報の操作に制限をかけることを目的とした機能です。
「高保証」セッションセキュリティレベルを操作制限に使用している場合は今回の設定はおすすめできません。（実際に設定されているかは「ID検証」設定画面をご確認ください。）

また、今回はSSO経由ログイン時にMFAを求められましたが、Salesforceにとっては高保証のログイン方法でログインできればよいので、「SSO後通常のログイン画面同様ユーザ名とパスワードを求められ、入力すればMFAなしでログイン成功となる」場合がないとは言い切れません。
ただ「ユーザインターフェースログインの多要素認証」権限があるので、この場合は「通常のログイン画面同様ユーザ名とパスワードを求められる→MFAを求められる」流れになる、結果MFA対応OKになるのではないかと予想しています。
（この場合IdP側のパスワードとSalesforceのパスワード両方覚える必要があるので、手間的にNGとなりそうですが）

いずれにしても今回の検証内容はSalesforce側で今後変更されるかもしれない動作ですので、事前の検証を強くお勧めいたします。

はじめに

2022/9に、Salesforceヘルプ：Zulu 18 以降をインストールすると、Windows 版のデータローダで文字化けが発生というヘルプが公開されました。
これはShift-JISのCSVファイルを使用すると文字化けが発生する、というもので、Java18以降のバージョンにて文字セットの指定がない場合、UTF-8をデフォルトの文字セットとして扱うという動作変更が原因です。
Java全体ではこの動作変更により「動作環境によってデフォルトの文字コードがバラバラな状態から固定できる」というメリットがあるようですが、DataLoaderでは起動時に文字セットの指定を行っていないため、Java18以降の環境ではDataLoaderはUTF-8以外は扱えない動作となりました。

現在、DataLoaderの動作環境はJava11以降となっているため、引き続きShift-JISのCSVを使用したい場合はJava11を使用する、というのがSFDCの見解のようですが、Java18以降でもこれまで通りDataLoaderを動作させる方法はないのか調査したところ、 -Dfile.encoding=COMPAT というオプションを付与することでこれまでと同様の動作にできるとのことでした。
ここではDataLoaderで -Dfile.encoding=COMPAT を使う方法と動作確認結果を書いていきます。

オプション付与の方法

環境変数を追加する

Java実行時にオプションを追加するための環境変数として JAVA_TOOL_OPTIONS があります。
この環境変数を使用して、DataLoader起動時に -Dfile.encoding=COMPAT オプションを追加します。
具体的にはコントロールパネル→システム→システムの詳細設定→環境変数の順にアクセスし、システム環境変数に以下の形で追加します。

追加した後にDataLoaderを起動すると、コマンドプロンプト（背景が黒い画面）に以下のようにオプションが設定されたことを表す文言が表示されます。

環境変数が追加できない、同じPCでJavaでの開発を行うので影響されたくないなどの理由がなければこちらの利用をお勧めします。

DataLoader起動用batファイルに記載する

DataLoaderとJavaを別にインストールするようになってから、DataLoaderインストールフォルダには dataloader.bat というDataLoader起動用ファイルが存在します。
そのファイルの中にある、 java から始まる行に -Dfile.encoding=COMPAT オプションを以下のように直接書き込みます。

こちらの場合、書き換える場所が分かりにくい*1、DataLoaderの新しいバージョンをインストールするごとに書き換えないといけないという問題があるため、環境変数追加の対応が難しい方のみ行うのがよいかなと思います。

動作確認

ここでは、 -Dfile.encoding=COMPAT オプション有無による動作の違いを確認します。

環境

• OS: Windows11
• Java: Zulu OpenJDK バージョン 19.0.1
• DataLoader: バージョン 56.0.6

動作結果

Export

DataLoaderのオプション、 -Dfile.encoding=COMPAT オプションの有無とExportで出力される文字コードの一覧です。

Insert

〇はインポート後のSalesforce側の文字が正常なこと、×は文字化けしたことを表します。

• CSVにShift-JISを使用

• CSVにUTF-8を使用

まとめ

動作結果から、以下が分かりました。

• Java18以降でJavaオプション -Dfile.encoding=COMPAT がない場合、"Read/Write all CSVs with UTF-8 encoding"オプションは意味をなさず、全てUTF-8で処理される
• Javaオプション -Dfile.encoding=COMPAT を追加してDataLoaderを起動した場合、これまで通り"Read/Write all CSVs with UTF-8 encoding"オプションにチェックがなければShift-JIS、あればUTF-8で処理される

現状、このような面倒なことを考えずに済むJava11の利用をお勧めしますが、どうしてもJava18以降を使用しないといけないなどの事情がある場合は本投稿を参考にしていただければ幸いです。

参考資料

qiita.com

mail.openjdk.org

openjdk.org

www.gwtcenter.com

docs.oracle.com

はじめに

Trailblazer.me アカウントをご存知でしょうか。
もともとはTrailheadのアカウントだったのですが、いつからかSalesforce関連サイトの統一アカウントとなるような動きを見せ、今ではTrailheadのみならずTrailblazer CommunityやAppExchangeでもTrailblazer.me アカウントが使われています。
今回はTrailblazer.me アカウントのマージでやらかした失敗と、そこから学んだTrailblazer.me アカウント関連について書いていきます。

失敗の経緯

当時、以下のアカウントがありました。

• アカウントA（マージ元）：前の会社で作成したアカウント。TrailheadバッジやいくつかのTrailblazer Community投稿あり。
• アカウントB（マージ先）：今の会社で作成したアカウント。Trailheadバッジが数個。Trailblazer Community投稿はなし。

で、「アカウントBにアカウントAのTrailheadバッジを移したい」と思ったんですね。
正直Trailblazer Community側がどうなるか分からなかったのですが、試しにやってみるとこうなりました。

• Trailhead

期待通り、アカウントBにアカウントAのTrailheadバッジがマージされました。

• Trailblazer Community

しばらくはアカウントAでもTrailblazer Communityを使えていたのですが、マージから数か月後にアカウントAにログインしようとするとアカウント新規作成画面が出るようになり、アカウントAのプロファイルページにログインできなくなりました。
Trailhead Helpに問い合わせると、「アカウントBにアカウントAのSalesforceアカウントを紐づけてください。アカウントAのTrailblazer.meアカウントは二度と使えません。（意訳）」と回答されました。
ただしアカウントAのプロファイルページ自体は公開されたまま残っていました。

正しいTrailblazer.meアカウントの運用を考える

今回の一件から、Trailblazer.meアカウントは以下のようにした方がいいと思いました。

• 自分用のTrailblazer.meアカウントを1つ決める。
• 他のSalesforceアカウントでTrailhead等Trailblazer.meアカウントが必要な場合は、以下の手順を踏む。
  • 自分用のTrailblazer.meアカウントにログイン
  • アカウント設定画面から「接続済みのアカウント」で紐づけたいSalesforceアカウントを紐づける

下手に複数のTrailblazer.meアカウントを持つと、どれかを捨てる判断を迫られることがあります。
それよりは1つのTrailblazer.meアカウントにアカウントをどんどん接続させた方が良いと思います。

追記：紐付きが消えたアカウントのデータ削除

上記の失敗によりアカウントAに紐づいていたプロファイルにはログインできなくなりました。
しかし、プロファイルは公開状態で個人情報がそのまま残っています。
正直これはよろしくない、ということで削除依頼をしました。

結果としては、Trailhead Helpにて「プロファイルにある情報を全削除してほしい」と依頼することで削除可能でした。
ただし、削除にはアカウントの本人確認が必要、ということで「紐づけていたメールアドレスからメールを送ってほしい」と言われました。
ここで問題なのがアカウントAのメールアドレスは前の会社のメールアドレスなので、「退職した会社なので無理。他の方法はないか。」と問い合わせると、「前の会社を退職した証明書を送ってくれ」との回答。
たまたま離職票が手元にあったので写真を撮って送ったところ、無事削除されました。
やり取りは英語ですが日本語の書類でもOKのようです。

アカウントを削除した場合、Trailblazer Community側では投稿及びメンション部分の名前がランダムな数字列になり、名前のリンクは404状態になります。
しかし、プロファイル情報削除後も「Trailblazer Communityのコメントに顔写真が残っている」とか「一部のコメントの名前部分に名前が残っている」ということがあり、逐一指摘して削除してもらう必要があったので面倒でした。
また、他の人のコメントで名前をメンションではなく直書きされている場合はおそらく消せない*1ので、活動内容によってはTrailblazer.meアカウントを削除しても自分の痕跡は残ってしまいます。

正直プロフィール非公開ができればここまで面倒な思いをしてまで全削除する必要はなかったのですが、これも経験としてやってみました。
この投稿が皆様の参考になれば幸いです。

お世話になっております。本ブログ管理者のMark Hammerです。
いつも本ブログをご参照いただきましてありがとうございます。

本ブログは2017年3月より英語しかなかったTrailheadモジュールのChallengeを日本語要約するサイトとしてスタートしました。
その後2019年よりはてなブログに場所を移し、TrailheadのみならずSalesforceに関するノウハウも投稿するようになり皆様より多くのアクセスをいただきました。
まことに感謝しております。

お知らせですが、表題の通り、今後Trailhead日本語要約を投稿することを一旦止めます。
理由は以下の通りです。

• だいたい1年前からChallengeの日本語要約作成がストレスとなり、Challengeを含むTrailheadモジュールの手を止める要因となっていること。
• そもそもChallengeの日本語要約に関する投稿へのアクセス数が少なく、上記のストレスを受ける割に需要が見込めないこと。
• 比較的多いアクセスを頂いている資格更新モジュールのChallengeについてもSalesforce公式の日本語訳、解説があり1ユーザの投稿が必要とは思えないこと。
• Trailhead本体にChallengeの日本語版が掲載されるようになり、必要性が薄れてきたこと。

現在投稿済みのTrailhead日本語要約についてはしばらく残しますが、今後非公開化する場合があります。
本ブログ自体は引き続き継続し、Salesforce関連の投稿を行う予定です。

なお、「このChallengeの日本語要約を作ってほしい！」という依頼がありましたらTwitterにてご連絡ください。
作成するとは明言できませんが、価値があると思えば作成する場合があります。

引き続き本ブログをよろしくお願いいたします。

はじめに

2020年にコロナウィルスが流行してから多くのことが変わりましたが、資格試験の受験環境も例外ではなく、テストセンターの他に自宅でも受けられるようになりました。
自宅で試験を受けた方も多くいらっしゃるかと思いますが、私はずっとテストセンターで受験してきました。
理由は以下のように自宅受験の制限が自分にとってつらいということもありますが、

Webでの資格試験のNG行動がことごとくテストセンターでの自分の行動に当てはまって辛い
・喋るな（←無意識で問題文読み上げる、普段から独り言が多い）
・メモを取るな（←脳内でオブジェクト関係図作るの辛い）
・変な動きするな（←口に手を当てる、眼鏡を付けたり外したりするのがしょっちゅう）

— Mark Hammer (@Mar9Hammer) 2022年9月15日

それ以上に自宅受験を選べない理由がありました。

それは、自室にものが一杯で片付けられないこと。
写真はとても載せられませんが、机の上も周りも紙やら本やら何やら一杯で、絶対に試験前にNGが出そうな環境なので、テストセンター受験を継続していました。

しかし、ついに自宅受験を考えなければならない時が訪れます。
それは、SalesforceのAccredited Professional試験(以下「AP試験」)が原因でした。

AP試験とは

簡単に言うとSalesforceパートナー会社従業員向けの個別機能ごとの資格試験（Overview(英語)）です。
この試験はSalesforceパートナー会社の人しか受験できません。

で、この試験、「オンライン試験のみ可」となっており、テストセンター受験の選択肢がありません。
自費で受けるつもりはなかったのですが、無料バウチャーが手に入ったので（まぁ捨てるのもなぁ…）と思い、受験することにしました。

試験場所を風呂場に決めるまで

ただ、前述の通り自室はとても試験ができる環境ではないため、「外のレンタルオフィスで受験できないか」とずっと考えていたのですが、

• 他人の声など入らないか
• ネット環境は有線で安定しているか
• 費用は高くないか

等と考えていると選ぶことができませんでした。
そんな時に、以下の投稿を見つけます。

wing-degital.hatenablog.com

note.com

「そうか、別にPCがあればいいからトイレか風呂場でもいいんだ。」

ということで、トイレか風呂場での受験を決めます。
どちらにするかは悩みましたが、最終的に風呂場にPCと机を持ち込んで受験することにしました。

受験環境を整えるまで

ネット環境は有線で接続したいので、部屋の端にあるルータから風呂場までLANケーブルをつなぐ必要があります。

距離を測ると、約15mほどでした。
なお、電源は風呂場のそばにコンセントがあったため、延長コードなしで接続可能でした。

また、参考にした投稿を見ると浴槽ではお尻や腰にダメージがありそうだったため、可能であれば机と椅子を持ち込みたいと考えました。

ということで、必要なものは以下になります。

• 風呂場に持ち込める机と椅子
• 15m以上のLANケーブル

用意したもの

Amazon等を見て、以下を購入しました。

［山善］ 折りたたみ パイプ 椅子 幅44.5×奥行47.5×高さ79.5cm 持ち運び用取っ手付き 軽量 完成品 シルバー/ブラック YZX-08SB：Amazon

［山善］テーブル ミニ 折りたたみ サイドテーブル 幅50×奥行48×高さ70cm ハイタイプ 傷・汚れ・水分・熱に強い天板(メラミン加工) なめらかな表面 角が丸い アンティークブラウン/ブラックRYST5040H(ABR/BK4)：Amazon

エレコム ELECOM LD-C6FT/BU200 [ツメ折れ防止フラットLANケーブルCat6準拠 ヨリ線 20m ブルー]：ヨドバシ・ドット・コム

机は風呂場に入る範囲で大きいものを、椅子はよく見る折りたたみ椅子を購入しました。

実際の写真

見た目通りかなり狭いですが、出入りがつらいぐらいで受験中はそれほど気になりませんでした。
試験場としてはそこそこ快適な部類だと思っています。
ちなみに各種ケーブルはドアの下から通しています。

余談

試験は無事合格しました。

初めて自宅受験したProcess Automation Accredited Professional試験ですが、問題なく認定されました。
フローが主なので特に問題なく解けるだろうと思ったら、思ったより使用事例の点数が上がらなかったですね… pic.twitter.com/4JDjnRXccr

— Mark Hammer (@Mar9Hammer) 2022年9月23日

ただこの時の試験はリアルタイム監視を行う試験官がおらず、後日チェック方式でした。
次回受験する場合はリアルタイム監視ありとのことなので、何かあればまた更新します。

追記

この環境でリアルタイム監視ありオンライン試験であるMulesoft資格試験、Accredited Professional試験を受験していますが、何の問題もなく受験できています。
試験官ありの場合、マウスパッドが使えないそうなので机の上でマウスを動かしていますが、特に問題なく反応しています。
1点だけ問題があるとすれば、換気扇を止められないので試験官とのやり取り（部屋を見せろなど）が聞き取りづらいことがあります。まぁこれは仕方がなさそうです。