SalesforceArchitectGroup#06_Identity and Access Management

Salesforce Architect Group 大阪問題と解説 Identity and Access Management 2020/12/09（水）第六回ワークショップ

第1問 SalesforceをSAML2.0のIdPとして使用する場合に設定しなければならないことは何でしょうか。3つ選んでください。 A) ID プロバイダの設定 B) 自己署名証明書の設定 C) 私のドメインの設定
D) 認証プロバイダの設定 E) シングルサインオン設定 2

第1問解答・解説＜SalesforceがIdP＞ SalesforceをSAML2.0のIdPとして使用する場合に設定しなければならないことは何でしょうか。3つ選んでください。 A) ID プロバイダの設定 ✓ ID プロバイダとして有効化する必要があります。
B) 自己署名証明書の設定 ✓ 証明書－証明書と鍵の管理から作成します。 C) 私のドメインの設定 ✓ ID プロバイダとして有効化する前に設定します。 D) 認証プロバイダの設定 ✓ 認証プロバイダは、①SSO でユーザを認証し、ユーザの身元を Salesforce に伝えてユーザがログインできるようにする、②Salesforce から保護されているサードパーティデータにアクセスできるようにする目的で使用します。 E) シングルサインオン設定 ✓ SalesforceをSPで使用する場合に設定します。 3

第2問 X社は外部のIdPを使用してSaleforceへのSSOを検討しています。SAMLアサーションを使用して認証し、SSOを機能させるために考慮すべきことは何でしょうか。2つ選んでください。 A) Salesforceのユーザを外部IdPに関連付けるため、統合 IDの設定が必要 B) Salesforceでシングルサインオン設定を有効化し、IdPに関する情報を「エンティティ
ID」に設定する C) Salesforceで自己署名証明書を発行し、IdPに設定する D) IdPでSAMLアサーションを生成し、SalesforceでSAMLアサーションを検証する 4

第2問解答・解説＜SalesforceがSP＞ X社は外部のIdPを使用してSaleforceへのSSOを検討しています。SAMLアサーションを使用して認証し、SSOを機能させるために考慮すべきことは何でしょうか。2つ選んでください。 A) Salesforceのユーザを外部IdPに関連付けるため、統合 IDの設定が必要 ✓ その通りです。SSOで各ユーザを識別する一意の属性になります。
B) Salesforceでシングルサインオン設定を有効化し、IdPに関する情報を「エンティティ ID」に設定する ✓ 「発行者」に設定します。 C) Salesforceで自己署名証明書を発行し、IdPに設定する ✓ IdPの証明書をダウンロードして、Salesforceのシングルサインオン設定で IdPの証明書を設定します。☞axiomsso.herokuapp.com D) IdPでSAMLアサーションを生成し、SalesforceでSAMLアサーションを検証する ✓ その通りです。 5

第3問 X社は、Saleforceを使用している営業担当者から、お客様先で社用モバイルで SaleforceのCRMデータを確認したいという要望を受けています。セキュリティを担保した上で社外でも便利に利用できるために考慮しなければならないことは何でしょうか。 A) プロファイルでIP制限を掛け、モバイルユーザのIP制限を緩和する B) プロファイルでIP制限を掛ける C)
プロファイルでIP制限を掛け、モバイルユーザのIP制限を緩和し、高保証セッションをONにする D) Saleforceモバイルアプリケーションにアクセスする前に社内VPNに接続するよう徹底する 6

第3問解答・解説＜モバイルからログイン＞ X社は、Saleforceを使用している営業担当者から、お客様先で社用モバイルで SaleforceのCRMデータを確認したいという要望を受けています。セキュリティを担保した上で社外でも便利に利用できるために考慮しなければならないことは何でしょうか。 A) プロファイルでIP制限を掛け、モバイルユーザのIP制限を緩和する ✓ モバイルユーザのセキュリティが担保されません。
B) プロファイルでIP制限を掛ける ✓ 社外からアクセスできなくなります。 C) プロファイルでIP制限を掛け、モバイルユーザのIP制限を緩和し、高保証セッションをONにする ✓ 正解です。☞接続アプリケーションを管理する D) Saleforceモバイルアプリケーションにアクセスする前に社内VPNに接続するよう徹底する ✓ 間違いではないですが利便性に欠けます。 7

第4問 X社はAzure AD(Active Directory)を導入しておりユーザを管理しています。営業チームのユーザ追加業務をAzure ADで行うと同時にSalesforceへのユーザ追加も行いたいと考えています。アーキテクトとしてSAMLによるJITプロビジョニングを提案しようと思いました。正しい設定内容をすべて選んでください。 A) Azure
AD側でSSOの設定を行い、SAML 署名証明書として「フェデレーションメタデータ XML」のダウンロードが必要 B) Salesforceでユーザ追加するときのプロファイルはSaleforce側のハンドラで設定する C) Saleforce側でシングルサインオン設定の「ユーザプロビジョニングの有効化」をONにする D) Saleforceでは標準のユーザプロビジョニングをサポートしており、カスタム実装はSamlJitHandlerインターフェイスにて行う E) SaleforceモバイルからSSOする場合、接続アプリケーションの設定を行う 8

第4問解答・解説＜JITプロビジョニング＞ X社はAzure AD(Active Directory)を導入しておりユーザを管理しています。営業チームのユーザ追加業務をAzure ADで行うと同時にSalesforceへのユーザ追加も行いたいと考えています。アーキテクトとしてSAMLによるJITプロビジョニングを提案しようと思いました。正しい設定内容をすべて選んでください。 A)
Azure AD側でSSOの設定を行い、SAML 署名証明書として「フェデレーションメタデータ XML」のダウンロードが必要 ✓ IdPで証明書のダウンロードをして、SPに設定なので正解です。 B) Salesforceでユーザ追加するときのプロファイルはSaleforce側のハンドラで設定する ✓ SAMLアサーションの必須属性(ProfileId)としてSalesforceのプロファイルIdを設定することができます。Salesforceではプロファイル名をプロファイルIdに渡すことができます。 C) Saleforce側でシングルサインオン設定の「ユーザプロビジョニングの有効化」をONにする ✓ その通りです。 D) Saleforceでは標準のユーザプロビジョニングをサポートしており、カスタム実装はSamlJitHandlerインターフェイスにて行う ✓ その通りです。「ユーザプロビジョニングの有効化」をONをした後、標準かカスタムかを選択します。 E) SaleforceモバイルからSSOする場合、接続アプリケーションの設定を行う ✓ 特に設定する必要はありません。 9

第5問 X社は得意先との間でコミュニティを使用しています。得意先のユーザが Facebookのアカウント情報でSSOできるようにSalesforceを設定することに決めました。考慮しなければならないことは何でしょうか。すべて選んでください。 A) Facebookの開発ツールでアプリを作成し、アプリIDとapp secretの発行が必要 B) Salesforceでプロバイダタイプ「Facebook」の認証プロバイダを作成する
C) コミュニティのログイン＆登録でFacebookオプションを選択する D) コミュニティの設定で、「外部ユーザにセルフ登録を許可」オプションを選択する E) 接続アプリケーションでFacebookを作成、カスタム接続アプリケーションハンドラでユーザの登録・更新ロジックを実装する 10

第5問解答・解説＜ソーシャルサインオン＞ X社は得意先との間でコミュニティを使用しています。得意先のユーザが Facebookのアカウント情報でSSOできるようにSalesforceを設定することに決めました。考慮しなければならないことは何でしょうか。すべて選んでください。 A) Facebookの開発ツールでアプリを作成し、アプリIDとapp secretの発行が必要 ✓ 必要ありません。Salesforce
の標準プロバイダ (Facebook、Google など) を使用する場合は、 Salesforce でコンシューマ鍵やコンシューマの秘密などの値が指定されます。 B) Salesforceでプロバイダタイプ「Facebook」の認証プロバイダを作成する ✓ その通りです。 C) コミュニティのログイン＆登録でFacebookオプションを選択する ✓ その通りです。 D) コミュニティの設定で、「外部ユーザにセルフ登録を許可」オプションを選択する ✓ 必須ではありません。 E) 接続アプリケーションでFacebookを作成、カスタム接続アプリケーションハンドラでユーザの登録・更新ロジックを実装する ✓ ソーシャルサインオンで必要な設定ではありません。むしろ、認証プロバイダの登録ハンドラでユーザの登録・更新ロジックを実装する必要があります。 11

第6問 X社はSalesforceの多要素認証を有効にし、セキュリティを高めようとしています。導入にあたり考慮すべきことは何でしょうか。すべて選んでください。 A) セキュリティ要件として、Salesforce Authenticatorアプリケーションなどのモバイル認証アプリケーションをモバイルデバイスにインストールしてもよいか確認する B) MFAが有効になっているデバイスを紛失したか、忘れたユーザをサポートす
るためにシステム管理者を複数人用意できるか確認する C) レポートやダッシュボードへのアクセスに多要素認証が必須となるようにセッションレベルポリシーを設定することができる D) ログインフローを使用して一部のグループに対してカスタマイズした多要素認証を提供できる E) APIログインについても高保証セッションがサポートされるため、ユーザ承認ステップを含まない認証フローを使用することができる 12

第6問解答・解説＜ログインフロー＞ X社はSalesforceの多要素認証を有効にし、セキュリティを高めようとしています。導入にあたり考慮すべきことは何でしょうか。すべて選んでください。 A) セキュリティ要件として、Salesforce Authenticatorアプリケーションなどのモバイル認証アプリケーションをモバイルデバイスにインストールしてもよいか確認する ✓ 確認しておきましょう。ユーザ企業によっては社用携帯への自由なインストールを禁じている場合
があります。 B) MFAが有効になっているデバイスを紛失したか、忘れたユーザをサポートするためにシステム管理者を複数人用意できるか確認する ✓ 多要素認証の管理任務は委任できます。ヘルプデスクのスタッフメンバーに「ユーザインターフェースで多要素認証を管理」権限を割り当てると、スタッフはコードを生成し、他の MFA 任務でエンドユーザをサポートできます。 C) レポートやダッシュボードへのアクセスに多要素認証が必須となるようにセッションレベルポリシーを設定することができる ✓ その通りです。セッションセキュリティレベルで多要素認証を高保証にすることで、MFAを完了する必要があります。 D) ログインフローを使用して一部のグループに対してカスタマイズした多要素認証を提供できる ✓ その通りです。ログインフローはプロファイル単位で有効化できます。 E) APIログインについても高保証セッションがサポートされるため、ユーザ承認ステップを含まない認証フローを使用することができる ✓ ユーザ認証ステップを踏まない認証フローは使用できません。 13

SalesforceArchitectGroup#06_Identity and Access...

SalesforceArchitectGroup#06_Identity and Access Management

atomica7sei

More Decks by atomica7sei

Other Decks in Technology

Featured

Transcript

Salesforce Architect Group 大阪問題と解説 Identity and Access Management 2020/12/09（水）第六回ワークショップ

第1問 SalesforceをSAML2.0のIdPとして使用する場合に設定しなければならないことは何でしょうか。3つ選んでください。 A) ID プロバイダの設定 B) 自己署名証明書の設定 C) 私のドメインの設定

第1問解答・解説＜SalesforceがIdP＞ SalesforceをSAML2.0のIdPとして使用する場合に設定しなければならないことは何でしょうか。3つ選んでください。 A) ID プロバイダの設定 ✓ ID プロバイダとして有効化する必要があります。