【Salesforce】セッションの設定について

スポンサーリンク
【Salesforce】セッションの設定について Salesforce

こんにちは、にいるです。

セッションハイジャックって知っていますか?
ユーザのセッションを乗っ取り、不正行為を行うことです。
セッションを乗っ取られると銀行口座に不正アクセスして送金もできてしまいます。

今回は、その「セッションの設定」について説明したいと思います。

【ヘルプ】セッションセキュリティ設定の変更
【ヘルプ】ユーザが Salesforce にログインできる範囲と時間帯の制限

1.セッションの設定とは

セッションとは、1つのアクセスです。
簡単にいうとSalesforceにログインしてからログアウトするまでのこの時間をセッションと呼びます。

12:00〜13:00、14:00〜15:00にそれぞれログインしてログアウトした場合は2セッションということになります。

Salesforceではこのセッションを使用して、ユーザのタイムアウト時間や強制タイムアウトの実行設定、IPアドレスのロックなどの設定ができます。

2.セッションの設定のカスタマイズ

[設定]→[セキュリティのコントロール]→[セッションの設定]から変更が可能です。

できることがたくさんありすぎて玄人の方でないとわからないぐらいのレベルのものもありますが、ここではシステム管理者が使用する可能性の高いものだけを取り上げます。

2-1.セッションタイムアウト

セッションタイムアウトはわかりやすいですね。
これはアドミニストレーター試験でも出題される可能性も高いため、しっかり見ていきます。

セッションの設定

  • セッションタイムアウト時の警告ポップアップを無効にする
  • セッションタイムアウト時に強制的にログアウト

このタイムアウト値はアクティブセッションがない場合にタイムアウト判定させる時間です。
2時間の間、画面遷移がないとタイムアウトになり[セッションタイムアウト時に強制的にログアウト]がTrueになっていれば、強制ログアウトされます。

そのため、

  1. ログインする
  2. 何もしないままタイムアウト値の時間が経過
  3. レコードを保存する
  4. ログアウトされる

の操作があったとしても、「2.何もしないままタイムアウト値の時間が経過」しているため、「3.レコードを保存する」という操作は完了しません。

[セッションタイムアウト時の警告ポップアップを無効にする]のオプションは、Trueの場合に警告ポップアップが表示されるだけなのでユーザにタイムアウト原因を通知したいときはFalseにしておいた方がいいですね。

2-2.セッションの設定

続いてセッションの設定です。

セッションの設定

[ログイン時のIPアドレスとセッションをロックする]は、そのままの意味ですね。
ログインした時のIPアドレスとセッションをロックして、許可されていないユーザによる有効なセッションの乗っ取りを防ぐ目的で使用されます。

ただ、外部アプリケーションを使用して他のユーザで操作するなどのプログラムがあると、引っかかるかもしれないので設定する際は注意が必要ですね。
[セッションを最初に使用したドメインにセッションをロックする]は、同じセッション内でドメインを切り替えることができなくなる機能です。

例えば、複数のコミュニティに所属するユーザがいます。
AコミュニティからBコミュニティに遷移するときに、同じセッションではログインできなくなります。

こちらの機能は、Spring’15リリース以降に作成された組織ではデフォルトで有効になっているようです。

3.まとめ

いかがでしたでしょうか。

セキュリティ対策上、セッションも大事な要素になってきます。
そのため、セッションとは何かを知るきっかけになっていれば嬉しいです。

セッションハイジャックのリスクを無くすためにも、Salesforceエンジニアとして知見を深めておきましょう!

皆さんもぜひ色々と試してみてください。
他にも色々と標準機能やSalesforce機能について紹介していますので、ご覧ください。

ではでは!

Salesforce 機能別 まとめページ

コメント

タイトルとURLをコピーしました