Salesforce認定Identity and Access Managementアーキテクトの過去問100題を全問解答＋全問解説付き【2023年最新】

全問2023年時点の最新の問題になります。
筆者が実際に3回以上受験して、問題を収集し解答とその解説を全問付けております。
問題数は合計100題。
実際に受験し、重複問題や類似問題を削除しています。
この100問の問題の解答を理解できれば、ほぼ間違いなく、合格すると思います。

ここから問題と解答/解説になります。

100題、全問解答＋全問解説付きになります。

1.

Universal Containers (UC) は、委任された認証を設定して、従業員が会社の資格情報を使用してログインできるようにしています。UC のセキュリティ チームは、企業のログイン サービスをインターネット上に公開するリスクを懸念しており、ログイン サービスと Salesforce の間に信頼できる信頼メカニズムを配置するよう求めています。
ログイン サービスと Salesforce の間の信頼できる接続を有効にするために、アーキテクトはどのようなメカニズムを配置する必要がありますか?

A. ログイン ヘッダーのコールアウトにクライアント ID とクライアント シークレットを含めます。
B. SSL を使用してシステム間の相互認証を強制します。
C. DMZ にログイン サービスのプロキシ サービスをセットアップします。
D. パスワードに Salesforce セキュリティ トークンの使用を要求します。

正解：D

解説:

D. パスワードに Salesforce セキュリティ トークンの使用を要求します。

Salesforce セキュリティ トークンは、パスワードと一緒に使用することで、外部システムから Salesforce へのアクセスをセキュアにする追加のセキュリティ レイヤーを提供します。セキュリティ トークンは、ログイン試行が信頼できる IP アドレス範囲外から行われる場合に必要です。このメカニズムにより、ログイン サービスと Salesforce の間で信頼できる接続が確立されます。

2.

サードパーティのアプリ プロバイダーは、ユーザーが Salesforce からアプリにアクセスする前に、サービス エンドポイントを介してユーザーをプロビジョニングしたいと考えています。
サードパーティ アプリへの変更を制限して要件を構成するために、ID アーキテクトは何を推奨する必要がありますか?

A. ユーザーをサードパーティ アプリにリダイレクトして登録します。
B. ユーザー プロビジョニング フローで接続アプリケーションを使用します。
C. Salesforce でサードパーティ アプリ用のキャンバス アプリを作成し、ユーザーをプロビジョニングします。
D. ユーザーのプロビジョニングには、Security Assertion Markup Language (SAML) で Salesforce ID を使用します。

正解：B
解説：

B. ユーザー プロビジョニング フローで接続アプリケーションを使用します。

ユーザー プロビジョニング フローを使用することで、サードパーティのアプリ プロバイダーは Salesforce からアプリにアクセスする前に、ユーザーをプロビジョニングするためのプロセスを自動化できます。接続アプリケーションは Salesforce と外部システム間のセキュアな接続を提供するために使用されるので、ID アーキテクトはこの方法を推奨する必要があります。

3.

Universal Containers (UC) は、Wi-Fi 対応の GPS 追跡デバイスを出荷コンテナに追加して、GPS 座標データを追跡デバイスから Salesforce 本番組織にカスタム API 経由で送信できるようにすることを計画しています。GPS デバイスには、ユーザーが直接入力または出力する機能はありません。
要件を満たすために、ID アーキテクトはどの OAuth フローを推奨する必要がありますか?

A. 特別なシナリオ向けの OAuth 2.0 ユーザー名とパスワードのフロー
B. サーバー間統合のための OAuth 2.0 JWT ベアラー フロー
C. Web アプリ統合のための OAuth 2.0 Web サーバー フロー
D. 接続されたデバイスを保護するための OAuth 2.0 アセット トークン フロー

正解：D

解説：

D. 接続されたデバイスを保護するための OAuth 2.0 アセット トークン フロー

OAuth 2.0 アセット トークン フローは、接続されたデバイスが Salesforce サービスにアクセスするためのセキュアな方法を提供します。このフローは、デバイスが直接ユーザーの認証情報を取り扱わない場合に適しています。GPS 追跡デバイスはユーザーの入力を受け付けないため、アセット トークン フローが適切な選択となります。

4.

Salesforce組織内でユーザー認証プロセスを強化するために、セキュリティトークンの使用に加えて利用できるオプションはどれですか？

A. パスワードポリシーの強化
B. 単一サインオン（SSO）の実装
C. ユーザーの役割と権限の見直し
D. 2要素認証（2FA）の有効化

正解: D. 2要素認証（2FA）の有効化

解説:

A. パスワードポリシーの強化 - 不正解です。パスワードポリシーの強化はユーザー認証プロセスを強化する一つの方法ですが、セキュリティトークンの使用に加えて、特に質問の文脈で提案されているような、認証プロセスの強化に直接貢献するオプションではありません。

B. 単一サインオン（SSO）の実装 - 不正解です。SSOはユーザーが複数のシステムに対して一つの認証プロセスを通じてアクセスできるようにする技術です。これは利便性を向上させるものの、セキュリティトークンと組み合わせる形で認証プロセスを特に強化するものではありません。

C. ユーザーの役割と権限の見直し - 不正解です。役割と権限の見直しはアクセス管理における重要なプラクティスですが、これ自体は認証プロセスの強化には貢献しません。むしろアクセス制御の範囲に属します。

D. 2要素認証（2FA）の有効化 - 正解です。2FAは、セキュリティトークンに加えて、ユーザーが自分の身元を証明するために2つの異なる認証要素（知っているもの、持っているもの、またはユーザー自身の特徴）を提供する必要がある認証プロセスです。これにより、不正アクセスのリスクを大幅に減少させることができ、認証プロセスを大きく強化します。

5.

企業がSalesforceで新しいアプリケーションを開発しており、このアプリケーションにアクセスするためには、社内の既存のユーザー認証システムと統合する必要があります。アプリケーションは、セキュアな方法でユーザー認証情報を管理し、企業のITポリシーに準拠することが求められています。アプリケーションのセキュリティ要件を満たすために、アーキテクトが推奨すべきアプローチはどれですか？

A. ユーザーパスワードをSalesforce内に直接保存し、カスタムログインページを使用する。
B. Salesforceと社内のActive DirectoryをSAMLベースのシングルサインオン（SSO）で統合する。
C. SalesforceでOAuthを使用して、サードパーティ認証サービスを介してユーザー認証を行う。
D. ユーザーにSalesforceログイン情報を別途発行し、2つの異なる認証システムを維持する。

正解: B.

解説:
A. ユーザーパスワードをSalesforce内に直接保存するアプローチは、セキュリティリスクが高く、企業のセキュリティポリシーに違反する可能性があります。また、カスタムログインページを使用しても、既存の認証システムとの統合が求められる要件を満たすことはできません。

B. Salesforceと社内のActive DirectoryをSAMLベースのシングルサインオン（SSO）で統合するアプローチは、ユーザーが既存の企業認証情報を使用してSalesforceにアクセスできるようにします。これにより、セキュアなユーザー認証を実現し、ユーザー管理のオーバーヘッドを減らし、企業のセキュリティポリシーに準拠することができます。

C. SalesforceでOAuthを使用して、サードパーティ認証サービスを介してユーザー認証を行うアプローチもセキュアな認証方法を提供しますが、既存の社内認証システムとの統合という要件には直接対応していない可能性があります。

D. ユーザーにSalesforceログイン情報を別途発行し、2つの異なる認証システムを維持するアプローチは、ユーザーエクスペリエンスを損ない、セキュリティ管理の複雑さを増加させます。また、ユーザーが複数の認証情報を管理する必要があるため、セキュリティリスクが高まる可能性があります。

このシナリオでは、Salesforceと社内のActive DirectoryをSAMLベースのSSOで統合することが、最も適切でセキュアなアプローチと言えます。これにより、既存のユーザー認証システムとのスムーズな統合と、セキュアなユーザー認証の実現が可能になります。

6.

Universal Containers (UC) は、Salesforce を複数の外部アプリケーションの ID プロバイダーとして使用することを決定しました。UC は、salesforce App Launcher を使用して、個々のユーザーが使用できるアプリを制御したいと考えています。これを実現するために必要な 3 つのステップはどれですか?
3つ選択してください。

A. ユーザーデータを同期するように Identity Connect を設定します。
B. Salesforce を [私のドメイン] で SAML Idp として設定します。
C. 外部アプリケーションごとに認証プロバイダーを設定します。
D. 外部アプリケーションごとに接続アプリケーションを作成します。
E. 接続されている各アプリを、開始 URL を使用してアプリ ランチャーに追加します。

正解：B,D,E

解説:

B. Salesforce を [私のドメイン] で SAML Idp として設定します。

• SalesforceをIdentity Provider (IdP) として動作させるために、特定のドメイン内でSAML設定を有効にする必要があります。

D. 外部アプリケーションごとに接続アプリケーションを作成します。

• 接続アプリケーションは、外部アプリケーションとSalesforceとの間での認証やデータ共有の設定を行うためのものです。

E. 接続されている各アプリを、開始 URL を使用してアプリ ランチャーに追加します。

• ユーザーが簡単にアクセスできるように、App Launcherに各外部アプリケーションのリンクを追加する必要があります。

7.

最近の監査の後、ユニバーサル コンテナは、セールスフォースを含むすべての重要なシステムに 2 要素認証を実装するようにアドバイスされました。この要件を満たすために UC が検討すべき 2 つのアクションはどれですか?
2つ答えを選択してください

A. ユーザーは資格情報とともに RSA トークンを提供する必要があります。
B. ユーザーに電子メールと電話番号を入力するように要求します。これは検証されます。
C. ユーザーは最初の認証後に 2 つ目のパスワードを入力する必要があります。
D. パスワードだけでなく生体認証リーダーの使用をユーザーに要求します。

正解：A,D

解説:

A. ユーザーは資格情報とともに RSA トークンを提供する必要があります。

• RSA トークンは、一時的なコードを生成する物理デバイスまたはソフトウェアベースのトークンです。ユーザーはログイン資格情報とともにこの一時的なコードを提供することで、2 要素認証を実現します。

D. パスワードだけでなく生体認証リーダーの使用をユーザーに要求する

• 生体認証は、指紋、顔認識、網膜スキャンなど、ユーザーの生体特徴を利用して認証する方法です。これをパスワードと組み合わせることで、2 要素認証が実現されます。

8.

ユニバーサル コンテナ (UC) は、Web アプリケーションを Salesforce と統合したいと考えています。UC チームは、認証プロセス用に Oauth Web サーバー認証フローを実装しました。アーキテクトが UC に指摘すべき 2 つの考慮事項はどれですか? 2つ答えを選択してください

A. フローには、ユーザー資格証明の受け渡しが含まれます。
B. フローは Oauth 更新トークンをサーバーに返しません。
C. Web サーバーは、消費者のプライバシーを保護できる必要があります。
D. Web アプリケーションは、安全なサーバーでホストする必要があります。

正解：C,D

解説:

C. Web サーバーは、消費者のプライバシーを保護できる必要があります。

• OAuth Web サーバー認証フローを使用する場合、ユーザーのアクセストークンや更新トークンなどの機密情報がサーバーに渡される可能性があります。この情報を安全に保持し、不正アクセスや漏洩から守るために、サーバーはユーザーのプライバシーを確保する必要があります。

D. Web アプリケーションは、安全なサーバーでホストする必要があります。

• Web アプリケーションはユーザー情報、トークンなどの機密情報を処理するため、安全性の確保は極めて重要です。サーバーのセキュリティを強化し、外部の脅威からアプリケーションとユーザーのデータを保護することが必要です。

9.

メーカーは、ディスプレイの入力または機能が制限された Internet of Things (IoT) デバイスの登録を提供したいと考えています。
どの Salesforce OAuth 認証フローを使用する必要がありますか?

A. OAuth 2.0 ユーザーエージェントフロー
B. OAuth 2.0 アセット トークン フロー
C. OAuth 2.0 JWT Bearer 方法
D. OAuth 2.0 デバイス フロー

正解：D

解説:

D. OAuth 2.0 デバイス フロー

• OAuth 2.0 デバイスフローは、ディスプレイの入力または機能が制限されているデバイス（例: IoTデバイス、スマートテレビ、ゲーム機など）に最適化されています。このフローを使用すると、ユーザーは別のデバイスやコンピューターを使って認証できます。IoTデバイスは一時的なコードを表示し、ユーザーはそのコードを使用して他のデバイスで認証を完了することができます。この方法により、入力機能が制限されているデバイスでも安全に認証プロセスを完了することができます。

10.

Northern Trail Outfitters (NTO) には、すべてのユーザー ログインに単一の多要素認証 (MFA) プロンプトが含​​まれるようにする必要があります。現在、ユーザーは、ユーザー名とパスワードを使用してログインするか、組み込みの MFA を含む NTO の企業 ID プロバイダーに対してシングル サインオンを介してログインするかを選択できます。
この要件を満たすのはどの構成ですか?

A. [設定] -> [本人確認] から組織の「ユーザー インターフェイス ログインの MFA」を有効にします。
B. すべての従業員プロファイルについて、[ログイン時に必要なセッション レベル] を [高保証] に設定し、企業 ID プロバイダーを組織のセッション セキュリティ レベルの [高保証] リストに追加します。
C. MFA を適用するカスタム ログイン フローを作成し、権限セットに割り当てます。次に、権限セットをすべての従業員に割り当てます。
D. 「ユーザー インターフェイス ログイン用の MFA」を含む権限セットを作成し、すべての従業員に割り当てます。

正解：A

解説:

A. [設定] -> [本人確認] から組織の「ユーザー インターフェイス ログインの MFA」を有効にします。

• この構成オプションを選択することで、組織内のすべてのユーザーに対してログイン時の多要素認証（MFA）を強制的に求めることができます。ユーザーは、ユーザー名とパスワードの他に、追加の認証手段（例: モバイルアプリでの確認やセキュリティトークンなど）を提供する必要があります。これにより、ログインのセキュリティが強化されます。NTOがすでにシングルサインオン(SSO)と組み込みのMFAを使用している場合でも、この設定を適用することで、SSOを通じてもMFAのプロンプトが正しく表示されます。