Mark Hammer's Blog

SalesforceやTrailheadに関する情報を投稿しているブログです。

MFA自動有効化後の動作を確認してみた

はじめに

SalesforceでのMFA必須化もついに自動有効化目前となりました。
Salesforceヘルプでは、セッション設定ページにある[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要] 設定を自動で有効にすることで対応するとのことです。

さて、MFA FAQではChatter External、Chatter Free ユーザ、コミュニティのみアクセスできる外部ユーザ、SSOログインではSalesforce側のMFAは必須対象外となっています。*1
本当に[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要] 設定を有効にしてもこれら対象外のものはMFA不要なのか、それとも除外用権限を設定しないといけないのか気になったので検証してみました。

確認対象

Developer Edition組織にて[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要]を有効にした場合の以下ユーザのログイン動作を確認しました。
なお、Salesforceライセンスユーザ・login.salesforce.com からのログイン以外の場合は全て[除外ユーザの多要素認証を放棄] 権限なしです。

  • Salesforceライセンスユーザ
    • login.salesforce.com からのログイン
      • [除外ユーザの多要素認証を放棄] 権限あり、なし両方確認
    • APIでのログイン
    • SSOでのログイン
  • Chatter Freeライセンスユーザ
  • Chatter Externalライセンスユーザ
  • Partner Communityライセンスユーザ
  • Customer Community Plusライセンスユーザ

結果

ユーザ 結果
Salesforceライセンスユーザ
(login.salesforce.com からのログイン、
[除外ユーザの多要素認証を放棄] 権限なし)
MFA必要
Salesforceライセンスユーザ
(login.salesforce.com からのログイン、
[除外ユーザの多要素認証を放棄] 権限あり)
MFA不要
Salesforceライセンスユーザ
(APIでのログイン)
MFA不要
Salesforceライセンスユーザ
(SSOでのログイン)
MFA不要
Chatter Freeライセンスユーザ MFA不要
Chatter Externalライセンスユーザ MFA不要
Partner Communityライセンスユーザ MFA不要
Customer Community Plusライセンスユーザ MFA不要

ということで、ライセンス、ログイン方法にて判断可能なものについてはFAQの通りMFA不要となっていることが分かりました。
コミュニティをお持ちの方や外部の方とChatterでやり取りされている方も安心ですね。

なお、UI への自動テストおよび RPA アカウントはMFA不要となっていますが、これらは[除外ユーザの多要素認証を放棄] 権限を用意しないとダメだと思います。
気になる方は事前の検証をお勧めします。

*1:SSOログインはIdP側のMFA対応が必須