※2026年1月30日に Salesforce 側の デバイスアクティベーションに関する要件 が変更(デバイス証明書認証「TLSClient」は要件を満たさない)されたことを確認しております。
もし2月3日以降、デバイスアクティベーションを要求された場合には、 Salesforce のヘルプ を参考にデバイスアクティベーションを実施いただくか、ワンタイムパスワード認証の併用などもご検討下さい。
※2026年1月29日更新: 本機能は2026年1月29日(木)にリリースされました。機能概要を本記事に追記しております。
対象
HENNGE Access Control と Salesforce をシングルサインオン(SSO)連携されているお客様
内容
平素より HENNGE One をご利用いただき、誠にありがとうございます。
現在 Salesforce より特定ログイン時のデバイスアクティベーション(認証されていないデバイスやブラウザ、信頼されていないIPアドレスからのログイン時に追加の検証を行う機能)を必須化する旨のアナウンスが行われております。
参考:
Resolving Unexpected or More Frequent Device Activations for Logins(Non-SSO)
Changes to Device Activation for Single Sign-On (SSO) Logins
これに伴い、HENNGE Access Control と Salesforce を SSO連携(SAML による SSO を利用)している場合についても、2026年2月3日以降 特定ログイン時のデバイスアクティベーションが必須化されることを確認しております。
※OpenID Connect の場合は2026年1月20日に必須化される旨の案内がございますが、HENNGE Access Control と Salesforce の SSO連携とは関係がございませんのでご安心下さい。
詳細は後述いたしますが、HENNGE Access Control 側でも上記 Salesforce の仕様変更に対応するため、2026年1月29日に機能をリリースいたしました。
詳細
デバイスアクティベーションの対象となる「特定ログイン」とは SSO認証時に HENNGE Access Control から Salesforce に渡す認証情報に、認証コンテキスト(AuthnContextClassRef)情報として Salesforce が定めている認証方法が含まれていない場合となります。
現時点で HENNGE Access Control の SAML SSO 認証では、認証コンテキストにパスワード認証を行ったことを示す情報を含めておりますが、2026年2月3日から適用される Salesforce 側の定義ではパスワード認証のみの場合はデバイスアクティベーション(認証されていないデバイスやブラウザ、信頼されていないIPアドレスからのログイン時に追加の検証を行う機能)を求められることになります。
そのため、HENNGE Access Control 側の認証でワンタイムパスワードやデバイス証明書といった二要素/多要素認証を利用されている場合には、適正な情報を含めるようにする機能を提供しております。
必要な対応
基本的にすでに HENNGE Access Control と Salesforce の SSO 連携を利用されており、HENNGE Access Control の認証時にワンタイムパスワード または デバイス証明書 を使った認証をされている場合には追加対応は必要ありません。
一方で、下記のような場合には追加の対応が必要になります。
-
HENNGE Access Control 認証時にワンタイムパスワード または デバイス証明書 を使った認証をされていない場合(ID / パスワードのみを利用)
この場合、Salesforce への SSO 時にデバイスアクティベーション(認証されていないデバイスやブラウザ、信頼されていないIPアドレスからのログイン時に追加の検証を行う機能)が求められる可能性がございます。
必要に応じて、HENNGE Access Control 側でワンタイムパスワードまたはデバイス証明書を利用した認証を行うように設定を変更して下さい。 -
本機能のリリース後に新たに Salesforce との SSO 連携を追加して利用する場合
1. HENNGE Access Control と Salesforce のSSO連携設定を実施します
2. HENNGE Access Control の「サービスプロバイダー設定」に設定した Salesforce 向けの設定編集画面を開きます
3. 編集画面内の [利用可能なAuthnContext] の項目で利用している二要素/多要素認証に応じてチェックを入れます
※併用されている場合は両方にチェックを入れて下さい
※下記に当てはまる二要素/多要素認証を利用していない場合、本機能はご利用いただけません・TLSClient: HENNGE Device Certificate(デバイス証明書)またはテナント証明書を利用したログインを行っている場合
・TimeSyncToken: ワンタイムパスワード(OTP)を利用したログインを行っている場合(HENNGE Lock によるプッシュ通知でのログインも含みます)
4. 編集画面下部の「変更する」ボタンをクリックします
機能概要
HENNGE Access Control と 外部サービスを SAML SSO連携する際の設定(サービスプロバイダー設定)の「利用可能なAuthnContext」にて本機能を設定いただけます。(※1: 参考画面)
本機能を利用することで、対象の連携サービスに SSO する際に HENNGE Access Control が連携サービス側に受け渡す認証情報(SAMLレスポンス)内の [AuthnContextRef] に、HENNGE Access Control のログインに利用している 二要素/多要素認証 の種類の情報(値)を含める事が可能です。
選択可能な情報は下記の2つとなります。
・TLSClient
HENNGE Device Certificate(デバイス証明書)またはテナント証明書を利用したログインを行っている場合にこの値を含めることが出来ます
・TimeSyncToken
ワンタイムパスワード(OTP)を利用したログインを行っている場合(HENNGE Lock によるプッシュ通知でのログインも含みます)にこの値を含めることが出来ます
HENNGE Access Control へのログイン時に上記のいずれの 二要素/多要素認証 も利用されていない場合は、規定で [AuthnContextRef] に PasswordProtectedTransport の値が設定されます。
※1: 参考画面