メインコンテンツへスキップ
English (United States) 简体中文 繁體中文

[Access Control] Salesforce ログイン時の多要素認証(MFA)必須化への対応について

更新

対象

HENNGE Access Control と Salesforce をシングルサインオン(SSO)連携されているお客様

内容

平素より HENNGE One をご利用いただき、誠にありがとうございます。 

現在 Salesforce より、ログイン時の多要素認証(MFA)必須化についてのアナウンスがされております。

参考:
・特権(管理者を含む)ユーザー向け
Prepare for Phishing-Resistant MFA Enforcement for Privileged Users including Admins

・一般ユーザー向け
Prepare for MFA Enforcement for All Employee Users

これに伴い、HENNGE Access Control と Salesforce を SSO連携(SAML による SSO を利用)している場合についても、2026年7月20日から順次(Sandbox環境は 6月22日から順次) ユーザーログイン時の MFA が必須化されることを確認しております。

 

詳細

Salesforce ログイン時の MFA が必須化されるのは SSO認証時に HENNGE Access Control から Salesforce に渡す認証情報に、認証コンテキスト(AuthnContextClassRef)情報として Salesforce が定めている認証方法が含まれていない場合となります。

現時点で HENNGE Access Control の SAML SSO 認証では、認証コンテキストにパスワード認証を行ったことを示す情報を含めておりますが、今回適用される Salesforce 側の MFA 必須化ポリシーではパスワード認証のみの場合は MFA を求められることになります。

これを回避するため、HENNGE Access Control 側の認証でワンタイムパスワードやデバイス証明書といった二要素/多要素認証を利用されている場合には、適正な認証コンテキスト情報を含めるようにする機能を提供しております。
 

必要な対応

まず Salesforce 側の MFA ポリシーについて理解する必要があります。

・特権(管理者を含む)ユーザー
「フィッシング耐性のある多要素認証(Phishing-Resistant MFA)」が必須

・一般ユーザー
「標準の多要素認証(Standard MFA)」または「フィッシング耐性のある多要素認証(Phishing-Resistant MFA)」が必須

準拠する必要があるポリシーがどちらであるかを確認して下さい。

 

「フィッシング耐性のある多要素認証(Phishing-Resistant MFA)」に準拠するための設定

  1. HENNGE Access Control ログイン時の二要素/多要素認証にデバイス証明書を利用する

    HENNGE Access Control 認証時にデバイス証明書を使った認証をされていない場合(ID / パスワードのみ、または多要素認証としてワンタイムパスワードのみを併用している場合)、Salesforce の MFA ポリシー「フィッシング耐性のある多要素認証(Phishing-Resistant MFA)」には準拠しない可能性があります。
    必要に応じて、HENNGE Access Control 側でデバイス証明書を利用した認証を行うように設定を変更して下さい。
    ※ワンタイムパスワードとの併用も可能です

     

  2. 認証コンテキスト情報の設定

    1. HENNGE Access Control の「サービスプロバイダー設定」に設定した Salesforce 向けの設定編集画面を開きます
    2. 編集画面内の [利用可能なAuthnContext] の項目で「TLSClient」にチェックを入れます
    ※ ワンタイムパスワードと併用している場合でも「TimeSyncToken」にチェックは入れないで下さい
    3. 編集画面下部の「変更する」ボタンをクリックします

     

「標準の多要素認証(Standard MFA)」に準拠するための設定

  1. HENNGE Access Control ログイン時の二要素/多要素認証にワンタイムパスワードまたはデバイス証明書を利用する

    HENNGE Access Control 認証時にワンタイムパスワードまたはデバイス証明書を使った認証をされていない場合(ID / パスワードのみを利用)している場合、Salesforce の MAF ポリシー「標準の多要素認証(Standard MFA)」には準拠しない可能性があります。
    必要に応じて、HENNGE Access Control 側でワンタイムパスワードまたはデバイス証明書を利用した認証を行うように設定を変更して下さい。

     

  2. 認証コンテキスト情報の設定

    1. HENNGE Access Control の「サービスプロバイダー設定」に設定した Salesforce 向けの設定編集画面を開きます
    2. 編集画面内の [利用可能なAuthnContext] の項目で利用している二要素/多要素認証に応じてチェックを入れます
    ※併用されている場合は「TLSClient」のみにチェックを入れて下さい
    ※下記に当てはまる二要素/多要素認証を利用していない場合、本機能はご利用いただけません

    TLSClient: HENNGE Device Certificate(デバイス証明書)またはテナント証明書を利用したログインを行っている場合

    TimeSyncToken: ワンタイムパスワード(OTP)を利用したログインを行っている場合(HENNGE Lock によるプッシュ通知でのログインも含みます)
    3. 編集画面下部の「変更する」ボタンをクリックします

 

参考画面