Salesforce技術ブログ(強制ログインは Winter ’25 で永久に無効化されます; Winter’25 リリース更新)

影響範囲

すべてのエディションの Lightning Experience (使用できない組織もあります) および Salesforce Classic に適用されます。

概要

　セキュリティを強化するため、’25 Winter 以降、ログイン URL のクエリ文字列パラメーターとしてユーザー名とパスワードを渡して Salesforce にログインする「強制ログイン」が無効になります。
　この変更により、URL 経由の強制ログインを使用している実装やサードパーティインテグレーションや、直接ログイン (自動ログイン) リンクが壊れます。
　サービスの中断を避けるため、強制ログインを使用しているインテグレーション機能を更新してください。
　拡張ドメイン適用前のURLにアクセスした際のリダイレクトが Sandboxは Winter’25、本番環境はSpring ’25より廃止されます。

詳細

〇影響

　winter’25の更新により利用していた直接ログインのリンクが壊れるため、対応前のURLを使ったログインができなくなります。
　また、直接ログインを利用している実装(組み込みログインなど)や、AppExchangeでインストールしたアプリケーションも利用できなくなる可能性があります。
　外部クライアントアプリまたは接続されたアプリへの強制ログインを使用する統合は、このリリース更新によって妨げられるため、それらがある場合は確認してそれに応じて移行する必要があります。
　DataloaderバッチからSalesforceにログインする際も、URLクエリ文字列内にログイン情報が含まれたものを利用する場合、正常にログインできない可能性があります。
　恐らく、URL クエリ文字列内のログイン資格情報のみが無効になる

〇調査方法

・組織での強制ログインの使用状況を確認する
１．[設定] から、[クイック検索] ボックスに「ログイン履歴」と入力し、[ログイン履歴] を選択します。
２．過去 6 か月間にわたる組織のログイン履歴を表示およびダウンロードします。
３．HTTP メソッド列を確認します。
　　HTTP メソッドが GET で、[ログインサブ種別] に値が入力されていない場合は、強制ログインが使用されていることを示します。
　　※HTTP メソッドはパスワードをリセットするためにも GET を表示しますので、[ログインサブ種別] の値がパスワードのリセットを反映していないことを確認してください。

〇対応方法

・強制ログインの無効化までに最新向けの対応を実施する
　１．強制ログインを使用しているユーザーを見つけた場合は、近日中に変更が行われることを通知し、Winter’25 までに設定を更新するように促してください。
　２．外部クライアントアプリケーションや接続アプリケーションへの強制ログインを使用しているインテグレーションがあれば、すべて更新・移行してください。