進行状況の追跡を始めよう
Trailhead のホーム
Trailhead のホーム

内部ユーザのシングルサインオンの設定

学習の目的

このモジュールを完了すると、次のことができるようになります。
  • 統合 ID を作成する。
  • 外部 ID プロバイダからのシングルサインオンを設定する。
  • SAML 要求のトラブルシューティングに使用するツールを認識する。

シングルサインオン

カスタムドメインとログインページがあれば、安全で覚えやすい URL を使用して従業員が Salesforce 組織に簡単にログインできます。

さらに簡略化して、ユーザのログインを一切不要にすることもできます。その場合は、シングルサインオン (SSO) を設定します。

SSO には多くのメリットがあります。

  • パスワードの管理に費やす時間が減少する。
  • 従業員が Salesforce に手動でログインする必要がなければ、従業員の時間が節約される。ユーザがオンラインアプリケーションにログインするまでに 5 ~ 20 秒かかっていることをご存知でしたか? 塵も積もれば山となります。
  • Salesforce の利用者が増える。ユーザは Salesforce レコードおよびレポートへのリンクを送信でき、受信者はワンクリックで開くことができます。
  • 機密情報へのアクセスを 1 か所で管理できる。

この単元では、ユーザが別のところ (オンプレミスアプリケーションなど) でログインし、その後 Salesforce にログインなしでアクセスする、インバウンド SSO の設定方法について説明します。また、ユーザが Salesforce にログインし、その後他のサービスに再度ログインすることなくアクセスする、アウトバウンド SSO も設定できます。このトピックについては他のモジュールで取り上げます。

サードパーティ ID プロバイダを使用したインバウンド SSO の設定

サードパーティ ID プロバイダを使用したインバウンド SSO の設定を始めましょう。

IT 部門の Sean Sollo 部長から、Salesforce ユーザに SSO を設定し、Jedeye ネットワークのログイン情報を使用して Salesforce 組織にログインできるようにすることを指示されます。ここでは、Jedeye Tech の新入社員である Sia Thripio の SSO を設定する手順を見ていきます。Axiom Heroku Web アプリケーションを ID プロバイダとしてインバウンド SSO を設定します。

難しそうですか? そんなことはありません。細かいステップに分割して見ていきましょう。

  1. 各ユーザの統合 ID を作成します。
  2. Salesforce で SSO の設定を行います。
  3. SSO プロバイダで Salesforce の設定を行います。
  4. すべてが機能することを確認します。

SSO の前提条件を覚えてますか? そう、カスタムドメインです。カスタムドメインを設定する単元はすでに終了しているため、次に進むことができます。

ステップ 1: 統合 ID を作成する

SSO を設定する場合、各ユーザを識別する一意の属性を使用します。この属性となるのが、Salesforce ユーザを外部 ID プロバイダに関連付けるリンクです。ユーザ名、ユーザ ID、統合 ID のいずれかを使用できます。ここでは統合 ID を使用します。

統合 ID といっても、統合された組織の ID ではありません。基本的に、ID 業界が一意のユーザ ID に対して用いる用語です。

通常は、ユーザアカウントを設定するときに統合 ID を割り当てます。本番環境に SSO を設定するときは、Salesforce データローダなどのツールを使用して一度に多数のユーザに統合 ID を割り当てることができます。ここでは、Jedeye Technologies の新入社員である Sia Thripio のアカウントを設定することにします。

  1. [設定] から、[クイック検索] ボックスに「ユーザ」と入力し、[ユーザ] を選択します。
  2. Sia の名前の横にある [編集] をクリックします。
  3. [シングルサインオン情報] で、統合 ID に「sia@jedeye-tech.com」と入力します。

    ヒント: 統合 ID は、組織内のユーザごとに一意でなければなりません。ユーザ名が便利なのはこのためです。他方、ユーザが複数の組織に属している場合は、各組織でユーザの同じ統合 ID を使用します。

    SSO 設定の [統合 ID]

  4. [保存] をクリックします。

ステップ 2: Salesforce に SSO プロバイダを設定する

サービスプロバイダは ID プロバイダを認識する必要があり、ID プロバイダもサービスプロバイダを認識する必要があります。このステップでは、Salesforce 側に ID プロバイダ (この場合は Axiom) に関する情報を指定します。次のステップでは、Axiom に Salesforce に関する情報を指定します。

Salesforce 側で、SAML 設定を行います。SAML は、Salesforce Identity が SSO の実装に使用するプロトコルです。

ヒント: Salesforce 開発組織と Axiom アプリケーションの両方で作業します。この 2 つをそれぞれ別のブラウザウィンドウで開いた状態にして、両者間でコピーアンドペーストできるようにします。

  1. 新しいブラウザウィンドウで http://axiomsso.herokuapp.com にアクセスします。
  2. [SAML ID プロバイダとテスター] をクリックします。
  3. [ID プロバイダの証明書をダウンロード] をクリックします。

    この証明書は後で Salesforce 組織にアップロードするため、保存先を覚えておきます。

  4. Salesforce 組織で、[設定] の [クイック検索] ボックスに「シングル」と入力し、[シングルサインオン設定] を選択します。
  5. [編集] をクリックします。
  6. [SAML を有効化] を選択します。
  7. [保存] をクリックします。
  8. [SAML シングルサインオン設定] で、
    1. [新規] をクリックします。
    2. 次の値を入力します。
      • 名前: Axiom Test App
      • 発行者: http://axiomsso.herokuapp.com
      • ID プロバイダの証明書: ステップ 3 でダウンロードしたファイルを選択します。
      • 署名要求メソッド: [RSA-SHA1] を選択します。
      • SAML ID 種別: [アサーションには、ユーザオブジェクトの統合 ID が含まれます] を選択します。
      • SAML ID の場所: [ID は、Subject ステートメントの NameIdentifier 要素にあります] を選択します。
      • サービスプロバイダの起動要求バインド: [HTTP リダイレクト] を選択します。
      • エンティティ ID: [私のドメイン] の名前を「https」も含めて入力します。「[私のドメイン] を使用したログインプロセスのカスタマイズ」単元で設定したサブドメイン名を使用します。ブラウザのアドレスバーからコピーして貼り付けます。

        [保存] をクリックする前に、設定ページが次のようになっていることを確認します。 [保存] をクリックする前の Salesforce SAML SSO 設定ページ

  9. [保存] をクリックし、ブラウザのページは開いたままにします。

ステップ 4: 正常に機能することを確認する

すべての設定が完了したら、その設定が機能することを確認します。機能していれば、正常にログインできます。
  1. Axion 設定のブラウザウィンドウで、[SAML レスポンスを要求] をクリックします(このボタンはかなり下のほうにあります)。
  2. Axiom により XML の SAML アサーションが生成されます。砂漠の基地にある水分蒸発器とのロボット通信に使われる言語のようですか? もう一度見てください。すべてが不可解なコードではないことがわかります。XML をスクロールして、必要な情報を見つけます。 SAML アサーション
  3. [ログイン] をクリックします。

正常に機能している場合は、Salesforce ホームページで Sia としてグインしています。Axiom アプリケーションから、割り当てられた統合 ID を使用して、Salesforce 組織にユーザとしてログインできます。

おめでとうございます。別のアプリケーションから Salesforce にアクセスするユーザの Salesforce SSO を設定しました。演壇に上がってバッジを受け取ってください。