Identity Connect の概要
学習の目的
- ユーザープロビジョニングおよび SSO に Identity Connect を使用する利点を説明する。
- Salesforce システム管理者にとっての Identity Connect の利点を挙げる。
- Identity Connect ライセンスの利点を説明する。
- Identity Connect をインストールする一般的なプロセスを説明する。
Identity Connect とは?
さほど遠くない銀河系にある多数の企業と同様に、Jedeye Technologies も Active Directory (AD) を使用してユーザーや会社の資産を管理しています。IT 部門では AD を使用して、同社の全ユーザーのほか、デスクトップ、ラップトップ、モバイルデバイス、仮想プライベートネットワーク (VPN)、ファイル共有、プリンターなど社内リソースへのアクセス権も管理しています。
Jedeye Tech の Salesforce システム管理者であるあなたは、IT 部門のユーザー管理の手法を活用して、Salesforce ユーザーも管理できないかと考えています。AD にユーザーを追加すると、Salesforce でもユーザー作成が自動的に行われるところを想像してみてください。プロファイルや権限セットの割り当ても心配する必要がないとしたらどうでしょうか? Salesforce ユーザー名とパスワードもです。ユーザーの雇用終了と同時に Salesforce へのアクセスが自動的に拒否されるとしたらどうですか? どれだけ時間が節約されることでしょう。あれこれ思いを巡らせている間に、Salesforce Identity Connect をリリースしてみましょう。
Identity Connect は Salesforce システム管理者が、AD で収集されたあらゆるデータを利用して、Salesforce ユーザーを自動的に管理できる Salesforce Identity 商品です。AD 内の変更を数秒のうちに同期します。
IT 部門であなたと同僚の Ruth Cloudwater は AD ユーザーを管理しています。Ruth の担当業務は専ら、社内のユーザー全員を入社日から退職日まで管理することです。各ユーザーに、業務の遂行に必要なアプリケーションやデータに対する適切なアクセス権が付与されていることを確認します。また、従業員が退職するときに会社の資産を持ち去らないようにすることも業務の一環です。従業員が昇進したときは、グループアクセス権も格上げします。Ruth の業務に便乗することができれば、あなたの業務はかなり楽になります。
Identity Connect によって Salesforce ユーザー管理の負担が軽減されるのであれば、Jedeye Tech の CIO である Oliver Owens は導入を後押しするでしょう。では Oliver に Identity Connect の素晴らしさを売り込む前に、この商品のことを把握しておきましょう。幸いにも、Trailhead のこのモジュールはその目的に叶っています。
Salesforce ユーザーおよび権限の管理に通じている場合は、このモジュールが役立ちます。データの統合、JSON、ネットワークへのソフトウェアのリリースに詳しければ、なおよいでしょう。
社内全体のユーザー管理に Active Directory を使用していない場合は、この素晴らしいバッジの獲得を目標にするのではない限り、このモジュールは向いていないかもしれません。
Salesforce の Active Directory への同期
Identity Connect を使用すると、AD に入力済みのデータを利用して Salesforce ユーザーを管理できます。Identity Connect は AD を継続的に監視し、AD で変更が生じたときに Salesforce を更新します。同期はほぼリアルタイム、定期的、またはその両方で実行できます。
Identity Connect が AD と Salesforce 間の相違を検出すると、AD の情報を使用して Salesforce を更新します。データ転送は一方通行で、AD の情報が信頼できる情報源になります。Identity Connect が、AD に格納されている情報を変更することは絶対にありません。
Salesforce でユーザーを変更しても、次回の同期時に Salesforce の変更は元に戻されます。けれども心配することはありません。Salesforce で管理したい項目がある場合は、Identity Connect にその項目を更新しないよう指示できます。
ユーザーのプロビジョニング
Identity Connect を使用すると、ユーザーを Salesforce にすばやく設定できます。
手動でユーザーをプロビジョニングする場合は、エラーが生じやすいうえに時間がかかります。Identity Connect を使用してユーザーのオンボーディング (およびオフボーディング) を自動的に行うことで、ユーザーを作成してアプリケーションやデータのアクセス権を管理するプロセスを合理化します。ユーザーを作成して権限を設定する作業を重複して行う代わりに、すでに AD に格納されている情報を使用します。
シングルサインオン (SSO)
Identity Connect にシングルサインオン (SSO) を設定すれば、ユーザーが AD ログイン情報を使用して Salesforce にアクセスできるようになります。
AD に追加されているユーザーは、AD の場合と同じユーザー名とパスワードを使用して Salesforce にアクセスできます。
ユーザーは、ユーザー名とパスワードをもう 1 つずつ記憶する必要がありません。システム管理者は、Salesforce で別のユーザーログイン情報を管理する必要がありません。Jedeye のヘルプデスクは、パスワードを忘れたというユーザーへの電話対応がこれ以上増えることがありません。
すでに Jedeye Tech が SSO ソリューションを配備している場合はどうでしょうか? 心配は無用です。既存の SSO ソリューションを維持し、Identity Connect はユーザープロビジョニングのみに使用することが考えられます。
入社当日から従業員の充実感を高める
他社のシステム管理者に Identity Connect を使用するメリットを尋ねれば、おそらく従業員の充実感が上位の回答に挙げられることでしょう。
Identity Connect を実装している会社に入社した Jen の体験をご紹介します。
Jen が入社初日の様子を振り返ります。午前 10 時にはもう業務に就いていました。早速支給されたラップトップに会社のログイン情報を使ってログインし、Salesforce にも同じパスワードでログインしました。Salesforce ユーザーの作成もすでに完了しており、マネージャーの名前などすべて正しい情報が設定され、必要なアプリケーションやデータへのアクセス権も付与されていました。
Jen は着任早々、取引先責任者に連絡を入れ始めました。自身のモバイルデバイスから Salesforce にもすぐにアクセスできたため、外出中も接続が維持できました。前職では IT 部門が Jen を Salesforce にユーザー登録するだけで 2 週間以上かかっていたため、大きな違いです。あれから数年経た現在では、当然ながら状況も変わっています。Jen が結婚し名前が変わったときには、AD の情報を基に Salesforce がすぐに更新されました。営業マネージャーに昇進すると、アクセス権が更新されました。
会社のセキュリティの確保
Identity Connect はオフボーディングプロセス時に一定のセキュリティ保護を実施します。
Identity Connect を実装していれば、Garth Moll が Jedeye を辞め、競合相手の Inky Verge Systems に転職したときに Jedeye Tech が被ったような問題を回避できます。IT 部門は Garth の AD ユーザーアカウントをただちに無効にしましたが、Salesforce のアクセス権を無効にするのを忘れてしまいました。Garth のモバイルデバイスで Salesforce セッションが実行され続けたため、1 年分の競合データが盗み出されてしまったのです。
Identity Connect があれば、Garth は AD ユーザーが無効になった時点で Salesforce からも締め出されていました。企業秘密が競合相手の手に渡ることもなかったでしょう。
IT 部門の懸念の軽減
AD の管理者権限がなくても Identity Connect を使用できることは、IT 部門にとって朗報です。
Identity Connect では、Salesforce と同期させる AD 内のユーザーおよびグループに対する「参照のみ」アクセス権があれば事足ります。
Identity Connect ライセンス
Identity Connect は、Salesforce プラットフォーム、Sales Cloud、Service Cloud、Analytics Cloud、そして従業員向けの Identity をはじめとする大半の Salesforce 商品で Salesforce ユーザーが使用できるアドオンライセンスです。
Identity Connect ライセンスについての詳細は、取引先チームにお問い合わせください。
今すぐ試す
Identity Connect には、アプリケーション、Web サービス、OrientDB データベース (Identity Connect の設定およびログを格納) など、基本的なユーザープロビジョニングおよび認証を試行するために必要な一式が揃っています。別のデータベースを使いたい場合は、Identity Connect のリリース時に OrientDB と交換できます。
導入決断後の手順
- どの Salesforce 組織にもデフォルトで [私のドメイン] が用意されています。組織の [私のドメイン] の名前が気に入らない場合は、変更できます。その場合は、Identity Connect を設定する前に、[私のドメイン] の名前を変更することをお勧めします。
- ネットワークインフラストラクチャに Identity Connect をどのように組み込むかを決定します。
- Identity Connect を 1 台以上のコンピューターにインストールします。
- AD と Identity Connect の接続を設定します。
- Salesforce で、Identity Connect を Salesforce に接続する接続アプリケーションを作成します。
- AD と Salesforce 間でデータを対応付ける最適な方法を判断します。
- 同期スケジュールを設定します。
- 同期前の調整レポートを実行します。ユーザーデータの分析、リンク、クリーンアップを行います。
- 同期を実行し、続いて同期後のレポートを実行します。
- SSO を設定します (省略可能)。
Identity Connect には Active Directory が必要なため、残念ながらこのモジュールにはハンズオンの Challenge がありません。
Salesforce の成功事例
上司を説得するにあたって、成功事例を示すこと以上に効果的な方法はあるでしょうか? ここで Salesforce のある従業員の事例をご紹介します。Salesforce では自社製品を使用してユーザーを管理しています。Identity Connect の登場前はユーザー管理がはるかに大変でした。
Salesforce の IT 部門の統括責任者である Winston Chir が Identity Connect について次のように述べています。
何万人もの従業員やパートナーを擁する当社は、Salesforce ユーザーの管理におけるエキスパートになりました。けれども、ずっとうまくいっていたわけではありません。IT 部門は当初、各々が独自に作成した多様なスクリプトを使用してユーザーを管理していました。こうしたスクリプトを当社の環境に適合させるのは手間のかかるプロセスで、お客様もこの同じ問題で困っているのを見てきました。そこで、Salesforce は Identity Connect をリリースしました。Identity Connect に注ぎ込んだ労力は、ExactTarget の合併という大きな出来事が発生したときに、10 倍もの見返りとなって返ってきました。ExactTarget には独自の AD 環境があり、その何千人ものユーザーがビジネス運営に使用する Salesforce 組織へのアクセスを必要としていました。大変な作業になるところでしたが、Identity Connect によって簡単に実行することができました。Identity Connect をリリースすると、ExactTarget の全ユーザーが各自の既存のユーザー名とパスワードを使用して、適切なアクセスレベルで Salesforce にアクセスすることができました。Identity Connect がなければ何か月も要したかもしれませんが、実際にはまったく時間がかかりませんでした。ExactTarget ユーザーは、ビジネスをほとんど中断することなく当社の Ohana に参加し、そして Salesforce Marketing Cloud が誕生したのです。
Winston によると、Salesforce の IT 部門は Identity Connect を使用して、複数の AD インフラストラクチャを Salesforce インスタンスで管理しているということです。Identity Connect があれば、ユーザーが何百もの Salesforce インスタンス、Heroku や AWS で開発された何千ものアプリケーション、そしてサードパーティの何百もの Web アプリケーションのすべてに 1 つの ID を設定できます。ユーザーは 1 つの ID をあらゆる IT サービスに使用します。
