1. 概要
Salesforce 社より、セキュリティ強化の一環として、シングルサインオン(SSO)を利用している場合でも「デバイスの有効化(Device Activation)」が必須化される旨の仕様変更がアナウンスされています。
これにより、2026年2月3日以降、Gluegent Gate 経由で Salesforce へログインする際、条件を満たしていない環境では Salesforce 側でメールによる本人確認(認証コードの入力)が求められる場合があります。
本ページでは、Salesforce 側での追加認証(デバイスの有効化)の表示を回避し、スムーズにログインするための設定方法をご案内します。
なお、本件記事は Salesforce の公式ヘルプ記事に準拠したものであり、 Salesforce側の仕様変更等によって動作が変わる可能性もございます。
現時点の Gluegent Gate の設定変更の参考として、本記事をご参照いただけますと幸いです。
2. 影響の有無と必要な対応
お客様のご利用状況(連携方式、多要素認証の利用有無、IP制限設定)によって、必要な対応が異なります。
パターンA:クラウドサービス連携をご利用の場合
| 追加認証の発生条件 |
Salesforce 側で 信頼済みIP設定あり |
Salesforce 側で 信頼済みIP設定なし |
|---|---|---|
|
Gluegent Gateで 【有効な多要素認証】を実施している ※ 詳細 |
Salesforceからデバイスアクティベーションが要求されない | Salesforceからデバイスアクティベーションが要求されない |
|
Gluegent Gateで 【有効な多要素認証】を実施していない ※ 詳細 |
Salesforceからデバイスアクティベーションが要求されない ※ 下記の重要の項目をご参照ください。 |
Salesforceからデバイスアクティベーションが要求される 【ケース1】の対応手順で多要素認証の設定が必要です |
パターンB:汎用SAML連携をご利用の場合
| 追加認証の発生条件 |
Salesforce 側で 信頼済みIP設定あり |
Salesforce 側で 信頼済みIP設定なし |
|---|---|---|
|
Gluegent Gateの設定で 固定値「AMR」を設定済み |
Salesforceからデバイスアクティベーションが要求されない | Salesforceからデバイスアクティベーションが要求されない |
|
Gluegent Gateの設定で 固定値「AMR」が未設定 |
Salesforceからデバイスアクティベーションが要求されない ※ 下記の重要の項目をご参照ください。 |
Salesforceからデバイスアクティベーションが要求される 【ケース2】の対応手順で 固定値属性の設定が必要です |
注意:
Salesforce 側で信頼済みIPが正しく設定されている場合、追加認証はスキップされますが、セキュリティ向上のため Gluegent Gate での多要素認証の導入を推奨します。
重要:
組織のタイプと設定されている信頼できるIPアドレスの総数によっては、ユーザーのIPアドレスが信頼できるものとして設定されている場合でも、検証を求められる場合があります。
詳細については、Salesforce 社のヘルプ記事:「組織の信頼済み IP 範囲の設定」を参照してください。
なお、Salesforce のトライアル組織等については、信頼済みIP設定を利用しても、デバイスアクティベーションが要求が回避できない記載が Salesforce 社のヘルプ記事にございます。
こちらの詳細は「ログイン時の予期しないデバイス アクティベーションや頻繁なデバイス アクティベーションの解決 (非 SSO)」をご参照ください。
3. 設定変更の手順
Gluegent Gate と Salesforce の連携方式によって、それぞれ対応する手順が異なります。
クラウドサービス連携の場合は下記の ケース1 で、汎用SAMLで Salesforce 連携をご利用の場合は ケース2 の対応手順のご実施をお願いいたします。
【ケース1】 クラウドサービス連携をご利用の場合で、多要素認証を設定する
Gluegent Gate側 で Salesforce へのアクセス権限設定を変更し、多要素認証を必須化します。
- Gluegent Gate 管理画面にログインし、「アクセス権限」-「一覧」にアクセスしてください。
- 「アクセス権限一覧」の画面にて、アクセス先に Salesforce が含まれるアクセス権限を確認してください。
多要素認証を含む認証方式になっていないアクセス権限がある場合、認証方式を変更してください。
多要素認証の対象となる認証方式は後述の 項番4 の判定条件にて詳細をご確認ください。
- 変更対象となるアクセス権限の編集画面に移動してください。
操作の欄にある「編集アイコン」からアクセスいただけます。
- 要求される認証方式を変更してください。
本手順では、例として、要求される認証方式へ新たに「PUSH通知認証」を追加します。
- 「追加」のアイコンをクリックして、追加したい認証方式を選択します。
- ページ下部の「更新」をクリックします。
【ケース2】 汎用SAMLでSalesforce連携をご利用の場合で、「AMR」属性を設定する
汎用SAML設定にて、Salesforce へ「多要素認証(MFA)を利用している」という信号(AMR)を送信する設定を行います。
- 一覧から Salesforce 用に作成した連携設定を確認してください。
- 編集ボタン(鉛筆マーク)をクリックします。
- 設定画面下部の「送信する属性(固定値)」欄にて、以下の通り設定を追加します。
- 属性名: AMR
- 値: mfa
- 画面下部の「更新」ボタンをクリックします。
- 設定更新完了後、合わせてSalesforceに対しての多要素認証の設定を推奨いたします。
認証方式を追加する手順は【ケース1】をご参照ください。
【ケース1】「シングルサインオン」 - 「クラウドサービス」の Salesforce に対しての手順になります。
「シングルサインオン」 - 「SAML」で設定した Salesforce のサービス名に読み替えて同様の操作を行ってください。
4. 多要素認証として認められる認証方式について
Gluegent Gate にて「多要素認証」として判定され、Salesforce への連携(MFAフラグ)が有効になる条件は以下の通りです。
判定条件:
認証方式が 2つ以上 設定されており、かつ、以下のいずれかの方式を含んでいること。
- ワンタイムパスワード(トークン)
- ワンタイムパスワード(メール認証)
- FIDO認証
- アクセスキー認証
- PUSH通知認証
-
スマートフォン・PC認証
- ※ モバイルアプリまたはPC用アプリ(SeciossPass)のインストールが必要です。
-
証明書認証
- ※ クライアント端末への証明書インストールが必要です。
注意:
「証明書確認」機能については、現時点では「多要素認証」として判定される条件に含まれておりません。
5. 現状の運用でGluegent Gateでの認証の追加を行えない場合の回避方法
お客様の環境で Gluegent Gate で多要素認証の設定を追加する運用が難しい場合は、
2.影響の有無と必要な対応のマトリクスに記載のある Salesforce 上で信頼済みIP範囲を設定することでSalesforce での追加認証の要求を回避することが可能です。
詳細は以下の Salesforce のサイトをご参照ください。