内部ユーザのシングルサインオンの設定

学習の目的

このモジュールを完了すると、次のことができるようになります。
  • 統合 ID を作成する。
  • サードパーティ ID プロバイダーからのシングルサインオンを設定する。
  • SAML 要求のトラブルシューティングに使用するツールを認識する。

一緒にトレイルを進みましょう

エキスパートと一緒にこの手順を進めますか? 次の動画をご覧ください。これは「Trail Together」(一緒にトレイル) シリーズの一部です。

(この動画は 8:46 の時点から始まります。戻して手順の最初から見直す場合はご注意ください。)

シングルサインオン

[私のドメイン] のログイン URL があれば、安全で覚えやすい URL を使用して従業員が Salesforce 組織に簡単にログインできます。 

さらに簡略化して、ユーザーのログインを一切不要にすることもできます。その場合は、シングルサインオン (SSO) を設定します。

SSO には多くのメリットがあります。
  • パスワードの管理に費やす時間が減少する。
  • 従業員が Salesforce に手動でログインする必要がなければ、従業員の時間が節約される。ユーザーがオンラインアプリケーションにログインするまでに 5 ~ 20 秒かかっていることをご存知でしたか? 塵も積もれば山となります。
  • Salesforce の利用者が増える。ユーザーは Salesforce レコードおよびレポートへのリンクを送信でき、受信者はワンクリックで開くことができます。
  • 機密情報へのアクセスを 1 か所で管理できる。

この単元では、ユーザーが別のところ (オンプレミスアプリケーションなど) でログインし、その後 Salesforce にログインなしでアクセスする、インバウンド SSO の設定方法について説明します。また、ユーザーが Salesforce にログインし、その後他のサービスに再度ログインすることなくアクセスする、アウトバウンド SSO も設定できます。このトピックについては他のモジュールで取り上げます。

サードパーティ ID プロバイダーを使用したインバウンド SSO の設定

サードパーティ ID プロバイダーを使用したインバウンド SSO の設定を始めましょう。

IT 部門の Sean Sollo 部長から、Salesforce ユーザーに SSO を設定し、Jedeye ネットワークのログイン情報を使用して Salesforce 組織にログインできるようにすることを指示されます。ここでは、Jedeye Tech の新入社員である Sia Thripio の SSO を設定する手順を見ていきます。Axiom Heroku Web アプリケーションを ID プロバイダーとしてインバウンド SSO を設定します。

難しそうですか? そんなことはありません。細かいステップに分割して見ていきましょう。

  1. 各ユーザーの統合 ID を作成します。
  2. Salesforce で SSO の設定を行います。
  3. SSO プロバイダーで Salesforce の設定を行います。
  4. すべてが機能することを確認します。

ステップ 1: 統合 ID を作成する

SSO を設定する場合、各ユーザーを識別する一意の属性を使用します。この属性となるのが、Salesforce ユーザーをサードパーティ ID プロバイダーに関連付けるリンクです。ユーザー名、ユーザー ID、統合 ID のいずれかを使用できます。ここでは統合 ID を使用します。

統合 ID といっても、統合された組織の ID ではありません。基本的に、ID 業界が一意のユーザー ID に対して用いる用語です。

通常は、ユーザーアカウントを設定するときに統合 ID を割り当てます。本番環境に SSO を設定するときは、Salesforce データローダーなどのツールを使用して一度に多数のユーザーに統合 ID を割り当てることができます。ここでは、Jedeye Technologies の新入社員である Sia Thripio のアカウントを設定することにします。

  1. [設定] から、[クイック検索] ボックスに「ユーザー」と入力し、[ユーザー] を選択します。
  2. Sia の名前の横にある [編集] をクリックします。
  3. [シングルサインオン情報] で、統合 ID に「sia@jedeye-tech.com」と入力します。ヒント: 統合 ID は、組織内のユーザーごとに一意でなければなりません。ユーザー名が便利なのはこのためです。他方、ユーザーが複数の組織に属している場合は、各組織でユーザーの同じ統合 ID を使用します。SSO 設定の [統合 ID]
  4. [保存] をクリックします。

ステップ 2: Salesforce に SSO プロバイダーを設定する

サービスプロバイダーは ID プロバイダーを認識する必要があり、ID プロバイダーもサービスプロバイダーを認識する必要があります。このステップでは、Salesforce 側に ID プロバイダー (この場合は Axiom) に関する情報を指定します。次のステップでは、Axiom に Salesforce に関する情報を指定します。

Salesforce 側で、SAML 設定を行います。SAML は、Salesforce Identity が SSO の実装に使用するプロトコルです。

ヒント: Salesforce 開発組織と Axiom アプリケーションの両方で作業します。この 2 つをそれぞれ別のブラウザーウィンドウで開いた状態にして、両者間でコピーアンドペーストできるようにします。

  1. 新しいブラウザーウィンドウで、https://axiomsso.herokuapp.com にアクセスします。
  2. [SAML ID プロバイダーとテスター] をクリックします。
  3. [ID プロバイダーの証明書をダウンロード] をクリックします。この証明書は後で Salesforce 組織にアップロードするため、保存先を覚えておきます。
  4. Salesforce 組織で、[設定] の [クイック検索] ボックスに「シングル」と入力し、[シングルサインオン設定] を選択します。
  5. [編集] をクリックします。
  6. [SAML を有効化] を選択します。
  7. [保存] をクリックします。
  8. [SAML シングルサインオン設定] で、
    1. [新規] をクリックします。
    2. 次の値を入力します。
      • 名前: Axiom Test App
      • 発行者: https://axiomsso.herokuapp.com
      • ID プロバイダーの証明書: ステップ 3 でダウンロードしたファイルを選択します。
      • 署名要求メソッド: [RSA-SHA1] を選択します。
      • SAML ID 種別: [アサーションには、ユーザーオブジェクトの統合 ID が含まれます] を選択します。
      • SAML ID の場所: [ID は、Subject ステートメントの NameIdentifier 要素にあります] を選択します。
      • サービスプロバイダーの起動要求バインド: [HTTP リダイレクト] を選択します。
      • エンティティ ID: [私のドメイン] の URL を入力します。これは [私のドメイン] の [設定] ページに表示されています。エンティティ ID には「https」が含まれており、Salesforce ドメインを参照していることを確認してください。https://mydomain-dev-ed.my.salesforce.com のようになります。シングルサインオン設定ページ
  9. [保存] をクリックし、ブラウザーのページは開いたままにします。

ステップ 4: 正常に機能することを確認する

すべての設定が完了したら、その設定が機能することを確認します。機能していれば、正常にログインできます。
  1. Axion 設定のブラウザーウィンドウで、[SAML レスポンスを要求] をクリックします(このボタンはかなり下のほうにあります)。
  2. Axiom により XML の SAML アサーションが生成されます。砂漠の基地にある水分蒸発器とのロボット通信に使われる言語のようですか? もう一度見てください。すべてが不可解なコードではないことがわかります。XML をスクロールして、必要な情報を見つけます。 Axiom で生成した SAML レスポンス
  3. [ログイン] をクリックします。

正常に機能している場合は、Salesforce ホームページで Sia としてグインしています。Axiom アプリケーションから、割り当てられた統合 ID を使用して、Salesforce 組織にユーザーとしてログインできます。

お疲れさまでした。別のアプリケーションから Salesforce にアクセスするユーザーの Salesforce SSO を設定しました。演壇に上がってバッジを受け取ってください。

無料で学習を続けましょう!
続けるにはアカウントにサインアップしてください。
サインアップすると次のような機能が利用できるようになります。
  • 各自のキャリア目標に合わせてパーソナライズされたおすすめが表示される
  • ハンズオン Challenge やテストでスキルを練習できる
  • 進捗状況を追跡して上司と共有できる
  • メンターやキャリアチャンスと繋がることができる