Identity Connect の概要

学習の目的

このモジュールを完了すると、次のことができるようになります。
  • ユーザプロビジョニングおよび SSO に Identity Connect を使用する利点を説明する。
  • Salesforce システム管理者にとっての Identity Connect の利点を挙げる。
  • Identity Connect ライセンスの利点を説明する。
  • Identity Connect をインストールする一般的なプロセスを説明する。

Identity Connect とは?

さほど遠くない銀河系にある多数の企業と同様に、Jedeye Technologies も Active Directory (AD) を使用してユーザや会社の資産を管理しています。IT 部門では AD を使用して、同社の全ユーザのほか、デスクトップ、ラップトップ、モバイルデバイス、仮想プライベートネットワーク (VPN)、ファイル共有、プリンタなど社内リソースへのアクセス権も管理しています。

Jedeye Tech の Salesforce システム管理者であるあなたは、IT 部門のユーザ管理の手法を活用して、Salesforce ユーザも管理できないかと考えています。AD にユーザを追加すると、Salesforce でもユーザ作成が自動的に行われるところを想像してみてください。プロファイルや権限セットの割り当ても心配する必要がないとしたらどうでしょうか? Salesforce ユーザ名とパスワードもです。ユーザの雇用終了と同時に Salesforce へのアクセスが自動的に拒否されるとしたらどうですか? どれだけ時間が節約されることでしょう。あれこれ思いを巡らせている間に、Salesforce Identity Connect をリリースしてみましょう。

Identity Connect は Salesforce システム管理者が、AD で収集されたあらゆるデータを利用して、Salesforce ユーザを自動的に管理できる Salesforce Identity 商品です。AD 内の変更を数秒のうちに同期します。

IT 部門であなたと同僚の Ruth Cloudwater は AD ユーザを管理しています。Ruth の担当業務は専ら、社内のユーザ全員を入社日から退職日まで管理することです。各ユーザに、業務の遂行に必要なアプリケーションやデータに対する適切なアクセス権が付与されていることを確認します。また、従業員が退職するときに会社の資産を持ち去らないようにすることも業務の一環です。従業員が昇進したときは、グループアクセス権も格上げします。Ruth の業務に便乗することができれば、あなたの業務はかなり楽になります。

Identity Connect によって Salesforce ユーザ管理の負担が軽減されるのであれば、Jedeye Tech の CIO である Oliver Owens は導入を後押しするでしょう。では Oliver に Identity Connect の素晴らしさを売り込む前に、この商品のことを把握しておきましょう。幸いにも、Trailhead のこのモジュールはその目的に叶っています。

Salesforce ユーザおよび権限の管理に通じている場合は、このモジュールが役立ちます。データの統合、JSON、ネットワークへのソフトウェアのリリースに詳しければ、なおよいでしょう。

社内全体のユーザ管理に Active Directory を使用していない場合は、この素晴らしいバッジの獲得を目標にするのではない限り、このモジュールは向いていないかもしれません。

「Identity Connect」 Trailhead バッジ

Salesforce の Active Directory への同期

Identity Connect を使用すると、AD に入力済みのデータを利用して Salesforce ユーザを管理できます。Identity Connect は AD を継続的に監視し、AD で変更が生じたときに Salesforce を更新します。同期はほぼリアルタイム、定期的、またはその両方で実行できます。

Identity Connect が AD と Salesforce 間の相違を検出すると、AD の情報を使用して Salesforce を更新します。データ転送は一方通行で、AD の情報が信頼できる情報源になります。Identity Connect が、AD に格納されている情報を変更することは絶対にありません。

Active Directory から Salesforce への一方通行のデータ転送

Salesforce でユーザを変更しても、次回の同期時に Salesforce の変更は元に戻されます。けれども心配することはありません。Salesforce で管理したい項目がある場合は、Identity Connect にその項目を更新しないよう指示できます。

ユーザのプロビジョニング

Identity Connect を使用すると、ユーザを Salesforce にすばやく設定できます。

手動でユーザをプロビジョニングする場合は、エラーが生じやすいうえに時間がかかります。Identity Connect を使用してユーザのオンボーディング (およびオフボーディング) を自動的に行うことで、ユーザを作成してアプリケーションやデータのアクセス権を管理するプロセスを合理化します。ユーザを作成して権限を設定する作業を重複して行う代わりに、すでに AD に格納されている情報を使用します。

シングルサインオン (SSO)

Identity Connect にシングルサインオン (SSO) を設定すれば、ユーザが AD ログイン情報を使用して Salesforce にアクセスできるようになります。

AD に追加されているユーザは、AD の場合と同じユーザ名とパスワードを使用して Salesforce にアクセスできます。

ユーザは、ユーザ名とパスワードをもう 1 つずつ記憶する必要がありません。システム管理者は、Salesforce で別のユーザログイン情報を管理する必要がありません。Jedeye のヘルプデスクは、パスワードを忘れたというユーザへの電話対応がこれ以上増えることがありません。

すでに Jedeye Tech が SSO ソリューションを配備している場合はどうでしょうか? 心配は無用です。既存の SSO ソリューションを維持し、Identity Connect はユーザプロビジョニングのみに使用することが考えられます。

入社当日から従業員の充実感を高める

他社のシステム管理者に Identity Connect を使用するメリットを尋ねれば、おそらく従業員の充実感が上位の回答に挙げられることでしょう。

Identity Connect を実装している会社に入社した Jen の体験をご紹介します。

Jen が入社初日の様子を振り返ります。午前 10 時にはもう業務に就いていました。早速支給されたラップトップに会社のログイン情報を使ってログインし、Salesforce にも同じパスワードでログインしました。Salesforce ユーザの作成もすでに完了しており、マネージャの名前などすべて正しい情報が設定され、必要なアプリケーションやデータへのアクセス権も付与されていました。

Jen は着任早々、取引先責任者に連絡を入れ始めました。自身のモバイルデバイスから Salesforce にもすぐにアクセスできたため、外出中も接続が維持できました。前職では IT 部門が Jen を Salesforce にユーザ登録するだけで 2 週間以上かかっていたため、大きな違いです。あれから数年経た現在では、当然ながら状況も変わっています。Jen が結婚し名前が変わったときには、AD の情報を基に Salesforce がすぐに更新されました。営業マネージャに昇進すると、アクセス権が更新されました。

会社のセキュリティの確保

Identity Connect はオフボーディングプロセス時に一定のセキュリティ保護を実施します。

Identity Connect を実装していれば、Garth Moll が Jedeye を辞め、競合相手の Inky Verge Systems に転職したときに Jedeye Tech が被ったような問題を回避できます。IT 部門は Garth の AD ユーザアカウントをただちに無効にしましたが、Salesforce のアクセス権を無効にするのを忘れてしまいました。Garth のモバイルデバイスで Salesforce セッションが実行され続けたため、1 年分の競合データが盗み出されてしまったのです。

Identity Connect があれば、Garth は AD ユーザが無効になった時点で Salesforce からも締め出されていました。企業秘密が競合相手の手に渡ることもなかったでしょう。

IT 部門の懸念の軽減

AD の管理者権限がなくても Identity Connect を使用できることは、IT 部門にとって朗報です。

Identity Connect では、Salesforce と同期させる AD 内のユーザおよびグループに対する「参照のみ」アクセス権があれば事足ります。

Identity Connect ライセンス

Identity Connect は、Salesforce プラットフォーム、Sales Cloud、Service Cloud、Analytics Cloud、そして従業員向けの Identity をはじめとする大半の Salesforce 商品で Salesforce ユーザが使用できるアドオンライセンスです。

Identity Connect ライセンスについての詳細は、取引先チームにお問い合わせください。

今すぐ試す

評価の目的で、Identity Connect を各自のコンピュータに設定することができます。必要なものは、AD に対するアクセス権、Java ランタイム環境、Identity Connect が有効になっている Salesforce 組織です。

Identity Connect には、アプリケーション、Web サービス、OrientDB データベース (Identity Connect の設定およびログを格納) など、基本的なユーザプロビジョニングおよび認証を試行するために必要な一式が揃っています。別のデータベースを使いたい場合は、Identity Connect のリリース時に OrientDB と交換できます。

導入決断後の手順

Identity Connect によって日常業務が楽になることを確信したら、以下の一般的な設定手順に従って Salesforce 組織で Identity Connect を稼働させます。詳細は後続の単元で説明します。
  1. Identity Connect を使用するには、[私のドメイン] が必要です。この Identity 製品についてよく知らない場合、詳細は 「ユーザ認証」モジュールを参照してください。
  2. ネットワークインフラストラクチャに Identity Connect をどのように組み込むかを決定します。
  3. Identity Connect を 1 台以上のコンピュータにインストールします。
  4. AD と Identity Connect の接続を設定します。
  5. Salesforce で、Identity Connect を Salesforce に接続する接続アプリケーションを作成します。
  6. AD と Salesforce 間でデータを対応付ける最適な方法を判断します。
  7. 同期スケジュールを設定します。
  8. 同期前の調整レポートを実行します。ユーザデータの分析、リンク、クリーンアップを行います。
  9. 同期を実行し、続いて同期後のレポートを実行します。
  10. SSO を設定します (省略可能)。

Identity Connect には Active Directory が必要なため、残念ながらこのモジュールにはハンズオンの Challenge がありません。

Salesforce の成功事例

上司を説得するにあたって、成功事例を示すこと以上に効果的な方法はあるでしょうか? ここで Salesforce のある従業員の事例をご紹介します。Salesforce では自社製品を使用してユーザを管理しています。Identity Connect の登場前はユーザ管理がはるかに大変でした。

Salesforce の IT 部門の統括責任者である Winston Chir が Identity Connect について次のように述べています。

何万人もの従業員やパートナーを擁する当社は、Salesforce ユーザの管理におけるエキスパートになりました。けれども、ずっとうまくいっていたわけではありません。IT 部門は当初、各々が独自に作成した多様なスクリプトを使用してユーザを管理していました。こうしたスクリプトを当社の環境に適合させるのは手間のかかるプロセスで、お客様もこの同じ問題で困っているのを見てきました。そこで、Salesforce は Identity Connect をリリースしました。Identity Connect に注ぎ込んだ労力は、ExactTarget の合併という大きな出来事が発生したときに、10 倍もの見返りとなって返ってきました。ExactTarget には独自の AD 環境があり、その何千人ものユーザがビジネス運営に使用する Salesforce 組織へのアクセスを必要としていました。大変な作業になるところでしたが、Identity Connect によって簡単に実行することができました。Identity Connect をリリースすると、ExactTarget の全ユーザが各自の既存のユーザ名とパスワードを使用して、適切なアクセスレベルで Salesforce にアクセスすることができました。Identity Connect がなければ何か月も要したかもしれませんが、実際にはまったく時間がかかりませんでした。ExactTarget ユーザは、ビジネスをほとんど中断することなく当社の Ohana に参加し、そして Salesforce Marketing Cloud が誕生したのです。

Winston によると、Salesforce の IT 部門は Identity Connect を使用して、複数の AD インフラストラクチャを Salesforce インスタンスで管理しているということです。Identity Connect があれば、ユーザが何百もの Salesforce インスタンス、Heroku や AWS で開発された何千ものアプリケーション、そしてサードパーティの何百もの Web アプリケーションのすべてに 1 つの ID を設定できます。ユーザは 1 つの ID をあらゆる IT サービスに使用します。