Salesforce Authenticator/多要素認証(MFA)でログインができない!トラブルシューティングまとめ
2022年2月から強化したアカウント認証を提供しているSalesforceでは、モバイルデバイスを使ったSalesforce Authenticatorによる多要素認証(MFA)がSalesforce製品間で完結できるため注目されています。
Salesforce Authenticatorの使用方法は、接続設定さえクリアできれば手持ちのスマホと連携できます。ただし、手持ちのスマホをうっかり忘れてしまったときはログインできないのでしょうか。または、認証デバイスで使ったスマホを機種変更したときなど、ログインに関して疑問があります。
この記事では、Salesforce Authenticatorによる多要素認証(MFA)を実行する際のログインできないなどトラブルシューティング関連をまとめてみました。とりあえず多要素認証できているけれど「どんなときにログインできなくなるか」を知りたい人は、ぜひ参考にしてみてください。
Salesforce Authenticatorの接続設定(アカウント連携)を削除したらログインできない?
SalesforceアカウントとSalesforce Authenticatorアプリの接続が済んだとしましょう。連携できたSalesforceアカウントをSalesforce Authenticator側から削除した場合は、ログインしようするとエラーが出ます。
エラーメッセージでは、モバイルデバイスの確認を促されます。エラーメッセージの本文では、「Salesforce Authenticatorアプリケーション内でアカウントを見つけることができません・・・」と表示されるでしょう。ただし、メッセージ内に対処法が記載されています。「モバイルデバイスでアカウントをアプリケーションから削除した場合、個人設定でアカウントを再接続できます」と確認できるでしょう。
つまり、削除してしまったアカウントではなく、別の検証方法を使ってログインすることを提案されます。では、実際に個人設定画面からログインできるのでしょうか。
すでにSalesforce Authenticatorアプリケーション上からSalesforceアカウントを削除したため、個人設定画面には、入れません。エラーメッセージ最後に表示されている「別の検証方法を使ってログインする」というリンク先では、サードパーティ認証アプリケーション(Google AuthenticatorやMicrosoft Authenticatorなど)または、ワンタイム認証のジェネレータの使用を勧められるだけです。
ここまで条件がそろってしまうと、ログインは難しくなるため「新規でアカウントを作成するしかない」とあきらめるかもしれません。この段階で2つの修復方法が残されています。
組織内の別のシステム管理者による対処法
組織内に別のシステム管理者がいれば、削除したアカウントを再度Salesforce Authenticatorアプリケーションと連携接続することが可能です。その手順を紹介しましょう。
- 別のシステム管理者が組織にログインする(以降システム管理者の設定)
- 「設定画面」を開く
- 「ユーザ」を選択
- 削除して消えてしまったアカウントの詳細画面を開く
- 「アプリケーション登録:Salesforce Authenticator」から「切断」を選択
以上の設定を別のシステム管理者に実行してもらったうえで、アカウントを削除したユーザが再度ログインを試みると、「2段階認証登録画面」への登録が可能となります。ここでSalesforce Authenticatorの接続設定を新規で実行すれば、アカウントの再ログインが可能になるでしょう。
Salesforceサポートを活用できる場合の対処方法
Salesforceサポートを活用して削除したアカウントを復活させる場合は、製品のバージョンなどいくつか条件があります。
自分以外でシステム管理者がいなければ、アカウントの連携を削除できません。現状だとログインできる方法がないため、Salesforceサポートに電話で連絡してアカウントの復旧を申し込む必要があります。
Salesforce Authenticatorアプリをインストールしたスマホを紛失または機種変更
Salesforce Authenticatorアプリをインストールしたスマホを紛失または機種変更をすることは、十分に考えられます。多要素認証で本人として認証されていたデバイスを失くしてしまったり、機種変更したりする場合は、どのような設定が必要になるのでしょうか。
モバイルデバイス自体を紛失したり、機種変更したりする対応も、前項で説明した削除したアカウントのように、Salesforce AuthenticatorアプリとSalesforceアカウントの接続を切断しなければなりません。
スマホなどデバイス機種を変更した際の設定
スマホを紛失したり、機種変更したりして新しい機種を用意できた場合、システム管理者が以下のように設定します。
- Salesforceを起動
- 「設定」を選択
- 「ユーザ」を選択
- 「対象ユーザ」を選ぶ
- ユーザ詳細画面上の[アプリケーション登録:Salesforce Authenticator]項目末尾にある「切断」を選択
上記の手順により、アカウントを再認識できます。あくまでも、システム管理者ではなく組織で共有するユーザに対しての対処法です。前項と同じように、システム管理者がモバイルデバイスを機種変更する場合は、他のMFA認証が必要です。
事前にアカウント接続復旧の権限をユーザに付与しておく
システム管理者が手持ちのスマホを紛失することは、起きないとは限りません。システム管理者がひとりだけの組織では、多要素認証の管理権限がシステム管理者だけとなっているケースも考えられます。その際、組織を作成したSalesforce製品が有償のSalesforceサポートを受けられれば対処できるでしょう。ただし、Salesforceサポートを受けられない状況であれば、アカウントの復旧が難しくなります。
このようなリスクを考慮して、事前にアカウント接続を復旧する権限を特定のユーザに付与しておくのも方法のひとつです。具体的には、[ユーザインターフェースで多要素認証を管理]権限の付与を実行します。権限を付与するには、次の手順が必要です。
- Salesforceを起動
- 「設定」を開く
- 「権限セット」を選択
- 「新規」を選択
- 「表示ラベル」を入力(多要素認証の管理など)
- 「API参照名」を入力
- 「保存」を押す
- 作った権限セットの設定画面が起動したら画面の「システム権限」を選択
- 「編集」を押す
- [ユーザインターフェースで多要素認証を管理]にチェックを入れる
- 「保存」を選択
- 「権限変更確認」画面が起動したら内容をチェックして「保存」を選択
- 作った権限セットの設定画面が表示されたら「割り当ての管理」を選択
- 割り当てられているユーザのリスト一覧が表示(新規の場合はユーザはいない)されたら「割り当ての追加」を選択
- 一覧から権限を与える対象のユーザを選択してチェックを入れる
- 「割り当て」を選択
- 「完了」を押す
以上の手順で特定のユーザに多要素認証の管理権限を割り当てられました。これで万が一、システム管理者がアカウント接続を削除してしまった場合でも、権限を与えたユーザの操作でアカウント接続を復旧できます。
まとめ
今回は、Salesforceを利用するうえでよくあるトラブルケースの解決策を紹介してきました。Salesforceの多要素認証は、複数の段階を経由するログイン認証方法です。利用するパソコン環境だけではなく、Salesforce Authenticatorアプリを導入するモバイルデバイスと接続して認証します。
2つのデバイス間を接続した認証では、どちらかのデバイスが故障したり、紛失することも考えられるため本記事で紹介したアカウント復旧に必要な事前準備をしておきましょう。とくに単独のシステム管理者は、もしもの場合に備えておくことをおすすめします。
投稿者プロフィール
- Salesforceの導入を支援するフロッグウェル株式会社のシニアコンサルタント。Salesforce導入前の課題整理や戦略検討から、導入支援、定着化・保守など、多岐にわたるサポートを経験。Salesforce認定SalesCloudコンサルタント、上級アドミニストレーターの資格を保有。
