機械翻訳について

Salesforceインスタンスの追加

Salesforceで必要な構成を完了したら、SalesforceインスタンスをOracle CASB Cloud Serviceに追加または登録します。

追加するすべてのSalesforceインスタンスが監視されます。 オプションで、Oracle CASB Cloud Serviceがセキュリティ制御値をインスタンスにプッシュできるようにもなります。

Oracle CASB Cloud Serviceで監視するためにSalesforceインスタンスを登録する場合、次の2つのオプションがあります。

  • 監視のみモードでは、Salesforce Sales Cloudの各種セキュリティ構成設定がOracle CASB Cloud Serviceの厳しい値から逸脱している場合、Oracle CASB Cloud Serviceによって通知されます。

  • セキュリティ制御のプッシュ・モードでは、Oracle CASB Cloud Serviceによって、セキュリティ制御の値(パスワードの複雑性、パスワード履歴、ユーザー・セッション、多要素認証の値など)が設定され、その後、これらの設定が優先値から逸脱した場合にはアラートが生成されます。

Salesforceインスタンスの追加(監視のみ/読取り専用)

SalesforceをOracle CASB Cloud Serviceに登録するには、Oracle CASB Cloud Serviceユーザーの資格証明が必要です。

Salesforce認証がOktaを介して実行された場合、Oracle CASB Cloud Serviceユーザーの資格証明は、ユーザーのSalesforceログイン資格証明かユーザーのシングル・サインオン資格証明のいずれかになります。

Salesforceインスタンスの追加(監視のみ/読取り専用、ダイレクト・ログイン)

セキュリティ構成の設定をプッシュする機能を使用せずに、Salesforceインスタンスを監視対象のOracle CASB Cloud Serviceに追加または登録します。

前提条件: 「Salesforceの準備」に示されたタスクを完了しておきます。

監視のみモードでは、Salesforceの各種セキュリティ構成設定がOracle CASB Cloud Serviceの優先デフォルトよりも緩やかである場合、Oracle CASB Cloud Serviceによって通知されます。 これらのセキュリティ構成値は、Salesforceの「Setup」コンソールで、「Administration」「Security Controls」を選択して設定します。 具体的には、Oracle CASB Cloud Serviceによって、「Password Policies」「Session Settings」の設定が監視されます。

これらの設定の詳細は、「Salesforceのセキュリティ制御値(モニターのみ/読取り専用)」を参照してください

注意:

同じアプリケーション・インスタンスを2回以上登録できます。 ただし、結果としてデータ収集が重複することになります。 Salesforceインスタンスを登録する前に、登録に使用するブラウザでSalesforceからログアウトし、ブラウザのキャッシュをクリアしてください。
  1. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  2. アプリの追加/変更をクリックします。
  3. アプリ・タイプの選択ページで、Salesforceのアイコンをクリックし、このインスタンスの一意の名前を入力します。
  4. インスタンスの選択ページで、次の手順を実行します。
    1. このインスタンスの一意の名前を入力します。 ページ下部に既存のインスタンス名が表示されます。

    2. Salesforceサンドボックスを登録する場合は、インスタンス名フィールドの下のこれはサンドボックスですチェック・ボックスを選択します。 このことによって、ログインURLが通常のsalesforce.comではなくtest.salesforce.comに設定されるため、登録ウィザードの以降のステップでサンドボックス資格証明が認識されるようになります。

    3. Oracle CASB Cloud Serviceがオブジェクト・フィールドのレベルまでの変更を追跡しないようにするには、履歴追跡のためのオプション(Salesforceオブジェクトのフィールドレベルの履歴を監視)の選択を解除します。 詳細は、「Salesforceでのフィールドレベルの履歴の監視」を参照してください。

      変更されたフィールドの古い値と新しい値をフィールドレベルの履歴レポートに表示する場合は、レポートの値とストアの値が/から変更されましたを選択します。 データが機密扱いで、許可された人のみが閲覧できるようにするには、これを行います。

    4. 「このアプリケーション・インスタンスのユーザーは、アイデンティティ・プロバイダによるシングル・サインオンを使用してログイン」のチェック・ボックスの選択を解除したままにします。

    5. 「次へ」をクリックします。

  5. 監視タイプの選択ページで、監視のみを選択して、Oracle CASB Cloud Serviceがセキュリティ構成の値に厳しい設定を使用して、このアプリケーションを監視するようにし、「次へ」をクリックします。

    Oracle CASB Cloud Serviceでは、Oracle CASB Cloud Service内部の厳しい設定とSalesforceインスタンスの実際の設定の間になんらかの種類の不一致が検出されるたびに、リスク・イベント内にセキュリティ制御アラートが生成されます。

  6. 資格証明の入力ページで、次の手順を実行します。
    1. Salesforceのユーザー名とパスワードでサインインを選択します。

    2. 「送信」をクリックします。 一時的にSalesforceログイン画面が表示されます。

    3. Oracle CASB Cloud Serviceユーザーが使用するユーザー名とパスワードを入力し、「ログイン」をクリックします。 資格証明が受け入れられると、自動的にOracle CASB Cloud Serviceの「成功」ページに戻ります。

    4. 「完了」をクリックします。

登録プロセスが完了すると、アプリケーション・インスタンスが「アプリケーション」ページに表示されます。 このインスタンスのデータは30分後に参照できるようになりますが、完全な同期にはさらに時間がかかります。

現在、Oracle CASB Cloud Serviceでは、Salesforceログの解析を可能にするために、元の言語やロケールに関係なく、アカウントのデフォルト言語を英語に、デフォルト・ロケールを英語(米語)にリセットします。

Salesforceインスタンスの追加(モニターのみ/読取り専用、IDCSログイン)

セキュリティ構成設定をプッシュする機能なしに、Salesforceを介してログインしたユーザーに、モニターするSalesforceインスタンスをOracle CASB Cloud Serviceに追加または登録します。

前提条件: 「Salesforceの準備」に示されたタスクを完了しておきます。

注意:

Oracle CASB Cloud ServiceテナントがOracle Identity Cloud ServiceをIDPとして自動的に有効にしない場合は、「Oracle Identity Cloud Service (IDCS) IDPインスタンスの設定」の指示に従ってください。

監視のみモードでは、Salesforceの各種セキュリティ構成設定がOracle CASB Cloud Serviceの優先デフォルトよりも緩やかである場合、Oracle CASB Cloud Serviceによって通知されます。 これらのセキュリティ構成値は、Salesforceの「Setup」コンソールで、「Administration」「Security Controls」を選択して設定します。 具体的には、Oracle CASB Cloud Serviceによって、「Password Policies」「Session Settings」の設定が監視されます。

これらの設定の詳細は、「Salesforceのセキュリティ制御値(モニターのみ/読取り専用)」を参照してください

注意:

同じアプリケーション・インスタンスを2回以上登録できます。 ただし、結果としてデータ収集が重複することになります。 Salesforceインスタンスを登録する前に、登録に使用するブラウザでSalesforceからログアウトし、ブラウザのキャッシュをクリアしてください。
  1. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  2. アプリの追加/変更をクリックします。
  3. アプリ・タイプの選択ページで、Salesforceのアイコンをクリックし、このインスタンスの一意の名前を入力します。
  4. インスタンスの選択ページで、次の手順を実行します。
    1. このインスタンスの一意の名前を入力します。 ページ下部に既存のインスタンス名が表示されます。

    2. Salesforceサンドボックスを登録する場合は、インスタンス名フィールドの下のこれはサンドボックスですチェック・ボックスを選択します。 このことによって、ログインURLが通常のsalesforce.comではなくtest.salesforce.comに設定されるため、登録ウィザードの以降のステップでサンドボックス資格証明が認識されるようになります。

    3. Oracle CASB Cloud Serviceがオブジェクト・フィールドのレベルまでの変更を追跡しないようにするには、履歴追跡のためのオプション(Salesforceオブジェクトのフィールドレベルの履歴を監視)の選択を解除します。 詳細は、「Salesforceでのフィールドレベルの履歴の監視」を参照してください。

      変更されたフィールドの古い値と新しい値をフィールドレベルの履歴レポートに表示する場合は、レポートの値とストアの値が/から変更されましたを選択します。 データが機密扱いで、許可された人のみが閲覧できるようにするには、これを行います。

    4. 「このアプリケーション・インスタンスのユーザーは、アイデンティティ・プロバイダによるシングル・サインオンを使用してログイン」のチェック・ボックスを選択します。「アイデンティティ・プロバイダ(IDP)インスタンスの選択」リストをドロップダウンし、IDCSオプションを選択します。

      注意:

      アイデンティティ・プロバイダ・インスタンスはすでに定義されている必要があります。 「アイデンティティ・プロバイダ・インスタンスの設定」を参照してください。

    5. 「次へ」をクリックします。

  5. 監視タイプの選択ページで、監視のみを選択して、Oracle CASB Cloud Serviceがセキュリティ構成の値に厳しい設定を使用して、このアプリケーションを監視するようにし、「次へ」をクリックします。

    Oracle CASB Cloud Serviceでは、Oracle CASB Cloud Service内部の厳しい設定とSalesforceインスタンスの実際の設定の間になんらかの種類の不一致が検出されるたびに、リスク・イベント内にセキュリティ制御アラートが生成されます。

  6. 資格証明の入力ページで、次の手順を実行します。
    1. Salesforceのユーザー名とパスワードでサインインを選択します。

    2. 「送信」をクリックします。 一時的にSalesforceログイン画面が表示されます。

    3. Oracle CASB Cloud Serviceユーザーが使用するユーザー名とパスワードを入力し、「ログイン」をクリックします。 資格証明が受け入れられると、自動的にOracle CASB Cloud Serviceの「成功」ページに戻ります。

    4. 「完了」をクリックします。

Salesforceインスタンスの追加(監視のみ/読取り専用、Oktaログイン)

Oktaを使用してSalesforceにログインしているユーザーに、監視のみのSalesforceインスタンスを追加または登録します。

注意:

Oracle CASB Cloud Serviceテナントが「スタンドアロンIDP」オプションで構成されている場合、Oktaを新規SalesforceのIDPとして使用するオプションは使用できません。

前提条件: 「Salesforceの準備」および「SalesforceでのOktaシングル・サインオンの使用」のタスクを完了しておきます。

  1. 「ナビゲーション」メニューから、「構成」アイデンティティ管理プロバイダを選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  2. IDPの追加をクリックします。
  3. IDPの追加インスタンス・ダイアログ・ボックスの;プロバイダフィールドで、Oktaを選択します。
  4. 「インスタンス名」フィールドに、このプロバイダ・インスタンスの名前を入力します。

    注意:

    後でアプリケーション・インスタンスをIDPインスタンスに接続するときにわかりやすいように、インスタンス名はIDPおよびアプリケーション・タイプを明確に示すものにする必要があります。
  5. 「説明」フィールドに、プロバイダの簡単な説明を入力します。
  6. APIキー・フィールドに、Oracle CASB Cloud Serviceが監視するSalesforceインスタンスに認証を提供するOktaアカウントのAPIキーを入力します。
  7. プロバイダのURLフィールドに、Oracle CASB Cloud Serviceユーザーを作成するためにOktaへのアクセスに使用したURLを入力します。
  8. 「保存」をクリックします
  9. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  10. アプリの追加/変更をクリックして、アプリ・インスタンスの登録をクリックします。
  11. アプリ・タイプの選択ページで、Salesforceのアイコンをクリックして、「次へ」をクリックします。
  12. インスタンスの選択ページで、次の手順を実行します。
    1. 一意の名前の入力フィールドに、アプリケーション・インスタンスの一意の名前を入力します。 名前フィールドの下に、既存の名前が表示されます。

    2. Salesforceサンドボックスを登録する場合は、インスタンス名フィールドの下の「これはサンドボックスです」チェック・ボックスを選択します。 このことによって、ログインURLが通常のsalesforce.comではなくtest.salesforce.comに設定されるため、登録ウィザードの以降のステップでサンドボックス資格証明が認識されるようになります。

    3. Oracle CASB Cloud Serviceがオブジェクト・フィールドのレベルまでの変更を追跡しないようにするには、履歴追跡のためのオプション(Salesforceオブジェクトのフィールドレベルの履歴を監視)の選択を解除します。

      変更されたフィールドの古い値と新しい値をフィールドレベルの履歴レポートに表示する場合は、レポートの値とストアの値が/から変更されましたを選択します。 データが機密扱いの可能性があり、許可された人のみが閲覧できるようにするには、これを行います。

    4. このアプリ・インスタンスのユーザーはアイデンティティ・プロバイダを介してシングル・サインオンを使用してログインしますというラベルのチェック・ボックスを選択します。

    5. アイデンティティ・プロバイダ(IDP)インスタンスの選択ドロップダウン・メニューで、このタスクの開始時の最初のステップで作成したOktaアイデンティティ・プロバイダを選択します。

    6. アイデンティティ・プロバイダで定義されたアクティブ・アプリケーションを選択ドロップダウン・メニューで、登録するSalesforceインスタンスのユーザーに認証資格証明を提供するアプリケーションの名前を選択します。

    7. 完了したら、「次へ」をクリックします。

  13. 資格証明の入力ページで、Salesforceで設定したグローバル管理者のユーザー名とパスワードを入力します。 これらの資格証明を他のサービスやユーザーと共有しないでください。
  14. 資格証明の入力が完了したら、資格証明のテストをクリックします。
  15. テストが完了すると、正常完了のメッセージが表示されます。 「送信」をクリックします。

    少し待つと、Salesforceサイトに転送され、資格証明の確認を求めるプロンプトが表示されます。 Salesforceの認証が完了すると、自動的にOracle CASB Cloud Serviceコンソールに戻ります。

    注意:

    このステップを完了しなくても、アプリ登録を正常に完了できます。 ただし、この場合、Oracle CASB Cloud ServiceではSalesforce Exchangeのみを監視できます。 SharePoint/OneDriveやAzure ADにはアクセスできません。 (Salesforce Webサイト内部の認証により、Oracle CASB Cloud Serviceユーザーに、これらの追加アプリケーションに必要な認証トークンが提供されます。)
  16. Oracle CASB Cloud Serviceコンソールに戻ったら、完了をクリックします。

登録プロセスが完了すると、アプリケーション・インスタンスが「アプリケーション」ページに表示されます。 このインスタンスのデータは30分後に参照できるようになりますが、完全な同期にはさらに時間がかかります。

Salesforceのセキュリティ制御値(モニターのみ/読取り専用)

Oracle CASB Cloud Serviceが監視のみモードで監視するSalesforceセキュリティ制御を、それらの厳しい設定の値とともに確認します。

モニター・オンリー・モードでSalesforceインスタンスを登録すると、Oracle CASB Cloud Serviceは次のセキュリティ制御値をでスキャンし、その値がOracle CASB Cloud Serviceの優先値と異なる場合は、セキュリティ・コントロール・アラートを表示します。 これらは、プッシュ・コントロール値モードでこのアプリケーション・インスタンスを登録する際の「ストリンジェントな」設定に対応します。

セキュリティ制御のタイプ セキュリティ制御の名前 この値が次の値以外に設定されている場合のコンソール通知 説明

Password policy

User password expires in

30 days

パスワードの有効期限は、ハッカーがハッシュまたは暗号化された資格証明をブレークするために使用できる時間を制限するもので、悪意のあるアクターがシステムおよびネットワークで使用量を保持するのは困難です。

Password policy

Enforce password history

5 passwords remembered

ユーザーが以前のパスワードおよびパスフレーズを再利用できるかどうかを制限する場合、パスワードの変化と一意性を向上させ、悪意のあるアクターがオンラインで検出されたパスワード・ダンプを、制約表(暗号化されたパスワードの作成に頻繁に使用される表)で使用することをより困難にします。

Password policy

Minimum password length

10 characters

パスワードは長いほどクラックされにくくなります(特に、特殊文字、数字、およびその他の推奨されるベスト・プラクティスも必須にした場合)。

Password policy

Password complexity requirement

英数字と特殊文字を混在させる必要があります

ユーザーのパスワードまたはパスフレーズは、英字と数字を組み合せるとクラックされにくくなります。

Password policy

Password question requirement

パスワードを含めることはできません

パスワードを取得するための質問に既存のパスワードを使用すると、悪意のあるアクターにパスワードを知られます。

Password policy

Maximum invalid login attempts

3

ログイン試行の失敗が許可される回数を制限すると、ユーザーのパスワードをランダムに推測(ブルート・フォース攻撃)しようとする悪意のあるアクターを阻むことができます。

Password policy

Lockout effective period

60 minutes

ロックアウトの有効期間を設定すると、悪意のあるアクターがログイン試行でシステムをフラッディング攻撃することを回避できます。

Password policy

Obscure secret answer for password resets

On

パスワードのリセットの秘密の回答を非表示にすると、悪意のあるアクターがスクリーン・キャプチャを使用してアカウント・ハイジャックのための情報を収集することが困難になります。

Session setting

Timeout value

30分

セッション・タイムアウト値を設定すると、悪意のあるアクターによるセッション・ハイジャック攻撃が困難になります。

Session setting

Disable session timeout warning popup

On

セッション・タイムアウトの警告は、少なくとも使用可能なセッション時間の半分に対してセッションがアイドル状態になるとユーザーに通知します。

Session setting

Lock sessions to the IP address from which they originated

On

この設定によって、セッションをその開始元のIPアドレスにロックできます。

Session setting

Force relogin after Login-As-User

On

この設定により、Login-As-Userの実行後に管理者がそのアカウント資格証明を使用して強制的にログインできるため、別のユーザー・アイデンティティとみなすことができます。

Session setting

Enable caching and autocomplete on login page

Off

この設定によって、ユーザーのブラウザで、アカウント資格証明のキャッシュや、ログイン・ページでのオートコンプリートの有効化を禁止できます。

Session setting

Enable clickjack protection for customer Visualforce pages with standard headers (limits or prevents use of hidden iframes)

On

この設定により、非表示のiframeの使用が制限または防止されます。

Session setting

Enable clickjack protection for customer Visualforce pages with headers disabled (limits or prevents use of hidden iframes)

On

この設定により、非表示のiframeの使用が制限または防止されます。

Salesforceインスタンスの追加(プッシュ・コントロール/読取り/書込み)

セキュリティ構成の設定をプッシュする機能を使用して、Salesforceインスタンスを監視対象のOracle CASB Cloud Serviceに追加または登録します。

SalesforceをOracle CASB Cloud Serviceに登録するには、Oracle CASB Cloud Serviceユーザーの資格証明が必要です。 Salesforce認証がOktaを介して実行された場合、Oracle CASB Cloud Serviceユーザーの資格証明は、ユーザーのSalesforceログイン資格証明かユーザーのシングル・サインオン資格証明のいずれかになります。

セキュリティ制御のプッシュ・モードでは、Oracle CASB Cloud ServiceによってSalesforceインスタンス内の各種セキュリティ制御の値がチェックされ、登録時に設定した値に設定されます。 後で、これらのセキュリティ構成設定が変更されると、通知が送信されます。

これらのセキュリティ構成値は、Salesforceの「Setup」コンソールで、「Administration」「Security Controls」を選択して設定します。 具体的には、Oracle CASB Cloud Serviceによって、「Password Policies」「Session Settings」の設定が監視されます。

Salesforceにプッシュできるセキュリティ制御の詳細は、「Salesforceのセキュリティ制御値(モニターのみ/読取り専用)」を参照してください。

注意:

同じアプリケーション・インスタンスを2回以上登録できます。 ただし、結果としてデータ収集が重複するため、これは慎重に行ってください。 Salesforceインスタンスを登録する前に、登録に使用するブラウザ内のSalesforceからログアウトして、ログアウト後にブラウザ・キャッシュをクリアするようにしてください。

Salesforceインスタンスの追加(プッシュ・コントロール/読取り/書込み、ダイレクト・ログイン)

Salesforceにログインしているユーザーに、プッシュ制御のSalesforceインスタンスを追加または登録します。

前提条件: 「Salesforceの準備」に示されたタスクを完了しておきます。

  1. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  2. アプリの追加/変更をクリックします。
  3. アプリ・タイプの選択ページで、Salesforceのアイコンをクリックして、「次へ」をクリックします。
  4. インスタンスの選択ページで、次の手順を実行します。
    1. このインスタンスの一意の名前を入力します。 ページ下部に既存のインスタンス名が表示されます。

    2. Salesforceサンドボックスを登録する場合は、インスタンス名フィールドの下のこれはサンドボックスですチェック・ボックスを選択します。 このことによって、ログインURLが通常のsalesforce.comではなくtest.salesforce.comに設定されるため、登録ウィザードの以降のステップでサンドボックス資格証明が認識されるようになります。

    3. Oracle CASB Cloud Serviceでオブジェクト・フィールドのレベルまでの変更を追跡しない場合は、履歴トラッキング (「Salesforceオブジェクトのフィールドレベルの履歴の監視」)のオプションの選択を解除します。

      変更されたフィールドの古い値と新しい値をフィールドレベルの履歴レポートに表示する場合は、レポートの値とストアの値が/から変更されましたを選択します。 データが機密扱いの可能性があり、許可された人のみが閲覧できるようにするには、これを行います。

    4. 「このアプリケーション・インスタンスのユーザーは、アイデンティティ・プロバイダによるシングル・サインオンを使用してログイン」のチェック・ボックスの選択を解除したままにします。

    5. 「次へ」をクリックします。

  5. 監視タイプの選択ページで、制御のプッシュおよび監視を選択します。

    Oracle CASB Cloud Serviceは、このページでの選択とSalesforceインスタンスの実際の設定との間で不一致が検出されるたびに、「リスク・イベント」にセキュリティ制御アラートを生成します。

  6. 「次へ」をクリックします。
  7. セキュリティ制御の選択ページで、次のいずれかを選択します。
  8. 接続情報を入力ページで、Oracle CASB Cloud ServiceユーザーがSalesforceに直接ログインした場合は次のようにします:
    1. Salesforceのユーザー名とパスワードでサインインを選択します。

    2. 「送信」をクリックします。 一時的にSalesforceログイン画面が表示されます。

    3. Oracle CASB Cloud Serviceユーザーが使用するユーザー名とパスワードを入力し、「ログイン」をクリックします。 資格証明が受け入れられると、自動的にOracle CASB Cloud Serviceの成功ページに戻ります。

    4. 「完了」をクリックします。

登録プロセスが完了すると、アプリケーション・インスタンスが「アプリケーション」ページに表示されます。 このインスタンスのデータは30分後に参照できるようになりますが、完全な同期にはさらに時間がかかります。

現在、Oracle CASB Cloud Serviceでは、Salesforceログの解析を可能にするために、元の言語やロケールに関係なく、アカウントのデフォルト言語を英語に、デフォルト・ロケールを英語(米語)にリセットします。

Salesforceインスタンスの追加(プッシュ・コントロール/読取り/書込み、IDCSログイン)

Oracle Identity Cloud Service (IDCS)経由でログインするユーザーにプッシュ・コントロールSalesforceインスタンスを追加または登録します。

前提条件: 「Salesforceの準備」に示されたタスクを完了しておきます。

  1. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  2. アプリの追加/変更をクリックします。
  3. アプリ・タイプの選択ページで、Salesforceのアイコンをクリックして、「次へ」をクリックします。
  4. インスタンスの選択ページで、次の手順を実行します。
    1. このインスタンスの一意の名前を入力します。 ページ下部に既存のインスタンス名が表示されます。

    2. Salesforceサンドボックスを登録する場合は、インスタンス名フィールドの下のこれはサンドボックスですチェック・ボックスを選択します。 このことによって、ログインURLが通常のsalesforce.comではなくtest.salesforce.comに設定されるため、登録ウィザードの以降のステップでサンドボックス資格証明が認識されるようになります。

    3. Oracle CASB Cloud Serviceでオブジェクト・フィールドのレベルまでの変更を追跡しない場合は、履歴トラッキング (「Salesforceオブジェクトのフィールドレベルの履歴の監視」)のオプションの選択を解除します。

      変更されたフィールドの古い値と新しい値をフィールドレベルの履歴レポートに表示する場合は、レポートの値とストアの値が/から変更されましたを選択します。 データが機密扱いの可能性があり、許可された人のみが閲覧できるようにするには、これを行います。

    4. 「このアプリケーション・インスタンスのユーザーは、アイデンティティ・プロバイダによるシングル・サインオンを使用してログイン」のチェック・ボックスを選択します。「アイデンティティ・プロバイダ(IDP)インスタンスの選択」リストをドロップダウンし、IDCSオプションを選択します。

      注意:

      アイデンティティ・プロバイダ・インスタンスはすでに定義されている必要があります。 「アイデンティティ・プロバイダ・インスタンスの設定」を参照してください。

    5. 「次へ」をクリックします。

  5. 監視タイプの選択ページで、制御のプッシュおよび監視を選択します。

    Oracle CASB Cloud Serviceは、このページでの選択とSalesforceインスタンスの実際の設定との間で不一致が検出されるたびに、「リスク・イベント」にセキュリティ制御アラートを生成します。

  6. 「次へ」をクリックします。
  7. セキュリティ制御の選択ページで、次のいずれかを選択します。
  8. 接続情報を入力ページで、Oracle CASB Cloud ServiceユーザーがSalesforceに直接ログインした場合は次のようにします:
    1. Salesforceのユーザー名とパスワードでサインインを選択します。

    2. 「送信」をクリックします。 一時的にSalesforceログイン画面が表示されます。

    3. Oracle CASB Cloud Serviceユーザーが使用するユーザー名とパスワードを入力し、「ログイン」をクリックします。 資格証明が受け入れられると、自動的にOracle CASB Cloud Serviceの成功ページに戻ります。

    4. 「完了」をクリックします。

Salesforceインスタンスの追加(プッシュ・コントロール/読取り/書込み、Oktaログイン)

Oktaを使用してSalesforceにログインしているユーザーに、プッシュ制御のSalesforceインスタンスを追加または登録します。

注意:

Oracle CASB Cloud Serviceテナントが「スタンドアロンIDP」オプションで構成されている場合、Oktaを新規SalesforceのIDPとして使用するオプションは使用できません。

前提条件:Salesforceの準備およびSalesforceでのOktaシングル・サインオンの使用のタスクを完了していることを確認します。
  1. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  2. アプリの追加/変更をクリックします。
  3. アプリ・タイプの選択ページで、Salesforceのアイコンをクリックして、「次へ」をクリックします。
  4. インスタンスの選択ページ:
    • 一意の名前の入力フィールドに、アプリケーション・インスタンスの一意の名前を入力します。 名前フィールドの下に、既存の名前が表示されます。

    • Salesforceサンドボックスを登録する場合は、インスタンス名フィールドの下の「これはサンドボックスです」チェック・ボックスを選択します。 このことによって、ログインURLが通常のsalesforce.comではなくtest.salesforce.comに設定されるため、登録ウィザードの以降のステップでサンドボックス資格証明が認識されるようになります。

    • Oracle CASB Cloud Serviceでオブジェクト・フィールドのレベルまでの変更を追跡しない場合は、履歴トラッキング (「Salesforceオブジェクトのフィールドレベルの履歴の監視」)のオプションの選択を解除します。

      変更されたフィールドの古い値と新しい値をフィールドレベルの履歴レポートに表示する場合は、レポートの値とストアの値が/から変更されましたを選択します。 データが機密扱いの可能性があり、許可された人のみが閲覧できるようにするには、これを行います。

  5. ユーザーがアイデンティティ・プロバイダ(IDP)を介してログインする場合:

    注意:

    アイデンティティ・プロバイダ・インスタンスはすでに定義されている必要があります。 「アイデンティティ・プロバイダ・インスタンスの設定」を参照してください。

    • このアプリ・インスタンスのユーザーはアイデンティティ・プロバイダを介してシングル・サインオンを使用してログインしますを選択します。

    • リストからOktaオプションを選択します。

  6. 「次へ」をクリックします。
  7. 資格証明の入力ページで、Salesforceで設定したグローバル管理者のユーザー名とパスワードを入力します。

    これらの資格証明を他のサービスやユーザーと共有しないでください。

  8. 資格証明の入力が完了したら、資格証明のテストをクリックします。
  9. テストが完了すると、正常完了のメッセージが表示されます。 「送信」をクリックします。 少し待つと、Salesforceサイトに転送され、資格証明の確認を求めるプロンプトが表示されます。 Salesforceの認証が完了すると、自動的にOracle CASB Cloud Serviceコンソールに戻ります。

    注意:

    このステップを完了しなくても、アプリ登録を正常に完了できます。 ただし、この場合、Oracle CASB Cloud ServiceではSalesforce Exchangeのみを監視できます。 SharePoint/OneDriveやAzure ADにはアクセスできません。 (Salesforce Webサイト内部の認証により、Oracle CASB Cloud Serviceユーザーに、これらの追加アプリケーションに必要な認証トークンが提供されます。)
  10. Oracle CASB Cloud Serviceコンソールに戻ったら、完了をクリックします。

登録プロセスが完了すると、アプリケーション・インスタンスが「アプリケーション」ページに表示されます。 このインスタンスのデータは30分後に参照できるようになりますが、完全な同期にはさらに時間がかかります。

Salesforceのセキュリティ制御値(プッシュ・コントロール/読取り/書込み)

Oracle CASB Cloud Serviceが監視するSalesforceセキュリティ制御を、それらの厳しい設定の値とともに確認します。

プッシュ・コンソール・モードでSalesforceインスタンスを登録すると、Oracle CASB Cloud Serviceによって、アプリケーション・インスタンスに優先値が設定されます。 Oracle CASB Cloud Serviceでは、Salesforceでセキュリティ制御値をスキャンし、登録時に設定した値と異なる値がある場合にセキュリティ制御アラートを表示します。

Oracle CASB Cloud Serviceのベースライン設定は次のとおりです。 一般的に、これらの設定はSalesforceのデフォルト設定よりも厳しくなります。 また、独自のカスタム設定を定義することもできます。

セキュリティ制御のタイプ セキュリティ制御の名前 厳しい値 説明

Password policy

User password expires in

30 days

パスワードの有効期限は、ハッカーがハッシュまたは暗号化された資格証明をブレークするために使用できる時間を制限するもので、悪意のあるアクターがシステムおよびネットワークで使用した使用量を維持するのは困難です。

Password policy

Enforce password history

5 passwords remembered

ユーザーが以前のパスワードおよびパスフレーズを再利用できるかどうかを制限する場合、パスワードの変化および一意性を向上させ、悪意のあるアクターによるオンラインおよび制約表で見つかったパスワード・ダンプの使用をより困難にします(暗号化されたパスワードの作成に多く使用される表)。

Password policy

Minimum password length

10 characters

パスワードは長いほどクラックされにくくなります(特に、特殊文字、数字、およびその他の推奨されるベスト・プラクティスも必須にした場合)。

Password policy

Password complexity requirement

英数字と特殊文字を混在させる必要があります

ユーザーのパスワードまたはパスフレーズは、英字と数字を組み合せるとクラックされにくくなります。

Password policy

Password question requirement

パスワードを含めることはできません

パスワードを取得するための質問に既存のパスワードを使用すると、悪意のあるアクターにパスワードを知られます。

Password policy

Maximum invalid login attempts

3

連続して失敗したログイン試行の許可数を制限することは、ユーザー・パスワードをランダムに推測しようとする悪意のあるアクターに対する保証です(総当たり攻撃)。

Password policy

Lockout effective period

60 minutes

ロックアウトの有効期間を設定すると、悪意のあるアクターがログイン試行でシステムをフラッディング攻撃することを回避できます。

Password policy

Obscure secret answer for password resets

On

パスワードのリセットの秘密の回答を非表示にすると、悪意のあるアクターがスクリーン・キャプチャを使用してアカウント・ハイジャックのための情報を収集することが困難になります。

Session setting

Timeout value

30分

セッション・タイムアウト値を設定すると、悪意のあるアクターによるセッション・ハイジャック攻撃が困難になります。

Session setting

Disable session timeout warning popup

On

セッション・タイムアウトの警告は、少なくとも使用可能なセッション時間の半分に対してセッションがアイドル状態になるとユーザーに通知します。

Session setting

Lock sessions to the IP address from which they originated

On

この設定によって、セッションをその開始元のIPアドレスにロックできます。

Session setting

Force relogin after Login-As-User

On

この設定によって、管理者がLogin-As-Userを実行することで別のユーザーのアイデンティティを引き受けた後、通常のアカウント資格証明を使用してログインするように強制できます。

Session setting

Enable caching and autocomplete on login page

Off

この設定によって、ユーザーのブラウザで、アカウント資格証明のキャッシュや、ログイン・ページでのオートコンプリートの有効化を禁止できます。

Session setting

Enable clickjack protection for customer Visualforce pages with standard headers

On

この設定により、非表示のiframeの使用が制限または防止されます。

Session setting

Enable clickjack protection for customer Visualforce pages with headers disabled

On

この設定により、非表示のiframeの使用が制限または防止されます。