はじめに
SalesforceでのMFA必須化もついに自動有効化目前となりました。
Salesforceヘルプでは、セッション設定ページにある[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要] 設定を自動で有効にすることで対応するとのことです。
さて、MFA FAQではChatter External、Chatter Free ユーザ、コミュニティのみアクセスできる外部ユーザ、SSOログインではSalesforce側のMFAは必須対象外となっています。*1
本当に[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要] 設定を有効にしてもこれら対象外のものはMFA不要なのか、それとも除外用権限を設定しないといけないのか気になったので検証してみました。
確認対象
Developer Edition組織にて[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要]を有効にした場合の以下ユーザのログイン動作を確認しました。
なお、Salesforceライセンスユーザ・login.salesforce.com からのログイン以外の場合は全て[除外ユーザの多要素認証を放棄] 権限なしです。
- Salesforceライセンスユーザ
- login.salesforce.com からのログイン
- [除外ユーザの多要素認証を放棄] 権限あり、なし両方確認
- APIでのログイン
- SSOでのログイン
- login.salesforce.com からのログイン
- Chatter Freeライセンスユーザ
- Chatter Externalライセンスユーザ
- Partner Communityライセンスユーザ
- Customer Community Plusライセンスユーザ
結果
ユーザ | 結果 |
---|---|
Salesforceライセンスユーザ (login.salesforce.com からのログイン、 [除外ユーザの多要素認証を放棄] 権限なし) |
MFA必要 |
Salesforceライセンスユーザ (login.salesforce.com からのログイン、 [除外ユーザの多要素認証を放棄] 権限あり) |
MFA不要 |
Salesforceライセンスユーザ (APIでのログイン) |
MFA不要 |
Salesforceライセンスユーザ (SSOでのログイン) |
MFA不要 |
Chatter Freeライセンスユーザ | MFA不要 |
Chatter Externalライセンスユーザ | MFA不要 |
Partner Communityライセンスユーザ | MFA不要 |
Customer Community Plusライセンスユーザ | MFA不要 |
ということで、ライセンス、ログイン方法にて判断可能なものについてはFAQの通りMFA不要となっていることが分かりました。
コミュニティをお持ちの方や外部の方とChatterでやり取りされている方も安心ですね。
なお、UI への自動テストおよび RPA アカウントはMFA不要となっていますが、これらは[除外ユーザの多要素認証を放棄] 権限を用意しないとダメだと思います。
気になる方は事前の検証をお勧めします。
*1:SSOログインはIdP側のMFA対応が必須