こんにちは、にいるです。
セッションハイジャックって知っていますか?
ユーザのセッションを乗っ取り、不正行為を行うことです。
セッションを乗っ取られると銀行口座に不正アクセスして送金もできてしまいます。
今回は、その「セッションの設定」について説明したいと思います。
・【ヘルプ】セッションセキュリティ設定の変更
・【ヘルプ】ユーザが Salesforce にログインできる範囲と時間帯の制限
1.セッションの設定とは
セッションとは、1つのアクセスです。
簡単にいうとSalesforceにログインしてからログアウトするまでのこの時間をセッションと呼びます。
12:00〜13:00、14:00〜15:00にそれぞれログインしてログアウトした場合は2セッションということになります。
Salesforceではこのセッションを使用して、ユーザのタイムアウト時間や強制タイムアウトの実行設定、IPアドレスのロックなどの設定ができます。
2.セッションの設定のカスタマイズ
[設定]→[セキュリティのコントロール]→[セッションの設定]から変更が可能です。できることがたくさんありすぎて玄人の方でないとわからないぐらいのレベルのものもありますが、ここではシステム管理者が使用する可能性の高いものだけを取り上げます。
2-1.セッションタイムアウト
セッションタイムアウトはわかりやすいですね。
これはアドミニストレーター試験でも出題される可能性も高いため、しっかり見ていきます。
- セッションタイムアウト時の警告ポップアップを無効にする
- セッションタイムアウト時に強制的にログアウト
このタイムアウト値はアクティブセッションがない場合にタイムアウト判定させる時間です。
2時間の間、画面遷移がないとタイムアウトになり[セッションタイムアウト時に強制的にログアウト]がTrueになっていれば、強制ログアウトされます。
そのため、
- ログインする
- 何もしないままタイムアウト値の時間が経過
- レコードを保存する
- ログアウトされる
の操作があったとしても、「2.何もしないままタイムアウト値の時間が経過」しているため、「3.レコードを保存する」という操作は完了しません。
[セッションタイムアウト時の警告ポップアップを無効にする]のオプションは、Trueの場合に警告ポップアップが表示されるだけなのでユーザにタイムアウト原因を通知したいときはFalseにしておいた方がいいですね。2-2.セッションの設定
続いてセッションの設定です。
ログインした時のIPアドレスとセッションをロックして、許可されていないユーザによる有効なセッションの乗っ取りを防ぐ目的で使用されます。
例えば、複数のコミュニティに所属するユーザがいます。
AコミュニティからBコミュニティに遷移するときに、同じセッションではログインできなくなります。
3.まとめ
いかがでしたでしょうか。
セキュリティ対策上、セッションも大事な要素になってきます。
そのため、セッションとは何かを知るきっかけになっていれば嬉しいです。
セッションハイジャックのリスクを無くすためにも、Salesforceエンジニアとして知見を深めておきましょう!
皆さんもぜひ色々と試してみてください。
他にも色々と標準機能やSalesforce機能について紹介していますので、ご覧ください。
ではでは!
