Mark Hammer's Blog

SalesforceやTrailheadに関する情報を投稿しているブログです。

PCだけでSalesforce多要素認証を実現する(Authy)

2024/2/14追記

Authyデスクトップアプリは2024/3/19に提供終了(EOL)となるとのリリースが出ています。
引き続きPCにてMFA対応が必要な場合は、WinAuthChrome 拡張機能: Authenticatorの利用をご検討ください。代替アプリの詳細が知りたい場合は、合わせて「おわりに」節も参照ください。

はじめに

Salesforce多要素認証では、Salesforce AuthenticatorアプリかGoogle Authenticator等サードパーティ TOTP 認証アプリ、またはYubiKeyなどのセキュリティキーが必要となるため、「スマートフォンがない人はセキュリティキーを用意する必要がある」という認識でした。
しかし、以下のイベントでは「SMSの受信、または受電ができるデバイス(フィーチャーフォン含む)」と「Google ChromeがインストールされたPC」で多要素認証に対応する方法を説明する、とのことでした。

trailblazercommunitygroups.com

調べた結果、AuthyであればPCと電話でSalesforce多要素認証の対応が可能と分かりましたので、手順を書いてみます。

手順

Authy セットアップからログイン

まず、 https://authy.com/download/ にアクセスし、Desktopの枠から自分の利用しているOSを選択して 「Download」をクリックします。
この時、Windowsは32bitと64bitを選択する欄がありますが、自分がどちらを利用しているかは Microsoft社のヘルプ などを参考にしてください。

ダウンロードした exeファイルを起動すると、Account Setup 画面が表示されます。
この画面に電話番号を入力します。左の枠には「Japan」と入力して日本の国番号である「+81」を選択し、右の枠には自分の電話番号を入力します。

次に、認証方法を選択します。 スマートフォンなど、SMS受信可能な場合はSMSを、電話のみ可能な場合は Phone Call を選択します。
※この画面は既に初回認証が完了している電話番号を使用しているため、認証済みの端末を表す Existing Device が表示されていますが、一番最初の認証時は表示されないはずです。

・SMS を選択した場合
SMSを選択した場合は6桁の認証番号を入力する画面が表示され、認証番号がSMSにて英語の文面で届きます。
SMSで届いた認証番号を画面に入力すればOKです。

・Phone Call を選択した場合
Phone Call を選択した場合は、画面に2桁の数字が表示され、入力した電話番号宛に電話がかかってきます。 その電話を取り、表示された2桁の数字を入力すればOKです。(電話音声は英語です。)

認証が終わると、このような画面が表示されます。
これで準備は完了です。

Salesforce アカウントの多要素認証登録

※ここでは、「ユーザインターフェースログインの多要素認証」にチェックがあるユーザを利用します。

Salesforce ログイン画面からログインします。

「Salesforce Authenticator を接続」画面が表示されるので、「別の検証方法を選択」をクリック

「検証方法を選択してください」画面が表示されるので、「認証アプリケーションからの確認コードを使用」を選択し、「次へ」をクリック

「認証アプリケーションを接続」画面にてQRコードが表示されるので、「QRコードをスキャンできません」をクリック

「認証アプリケーションを接続」画面にてキーと確認コード入力画面が表示されるので、キーの文字列を全てコピー

Authy に戻り、「+」マークをクリック

コピーしたキーの文字列を「Enter Code ...」の枠に貼り付け、「Add Account」をクリック

確認コードを識別するための名前(任意。ここではSalesforceユーザ名として「admin@testaccount.com」を設定)、Authy上でのアイコン(Salesforceを選択)、トークン長(「6-digit」を選択)を設定し、「Save」をクリック

これで、Salesforce多要素認証用の認証コードが表示されました。

最後に、Salesforce画面に戻り「認証アプリケーションを接続」画面にてAuthyに表示されている確認コードを入力し、「接続」をクリック

以上でSalesforce アカウントの多要素認証登録は完了です。

多要素認証登録後のSalesforceログイン

通常通り、Salesforceログイン画面からログインします。

「IDを検証」画面にてAuthyに表示されている確認コードを入力し、「検証」をクリックします。

以上でログインは完了です。

おわりに

今回はAuthyを使って、スマートフォンアプリなしで多要素認証を行う手順を記載しました。
ちなみに検証していませんが、電話なしでPCのみでの多要素認証が可能なアプリもあるそうです。

なお、注意事項として多要素認証の認証コードを発行できる端末がPCのみの場合、そのPCがなければSalesforceにログインできないことになります。
また、電話番号が会社の固定電話の場合、会社以外からAuthyにログインできないため、会社以外でのSalesforce接続は不可、ということにもなります。
このようにSalesforceへの接続場所が固定されるデメリットもあるため、利用時は利用環境も含め検討されることをお勧めします。