【Salesforce】SSO有効化設定
最終更新日:2021/10/27
Salesforce のSSO設定手順をご案内します。
目次
2-1. Salesforce:「統合 ID」追加
2-2. Salesforce:SAML シングルサインオン構成の作成
2-3. CloudGate UNO:SAML 2.0の設定
2-4. CloudGate UNO:ユーザーID に Salesforceユーザーを紐付け
前提条件
- SalesforceではすべてのエディションでSSOが可能です。
サービスプロバイダとして Salesforce を使用した SAML シングルサインオン<外部サイト> - 「私のドメイン」設定<外部サイト> を済ませておく必要があります。
- CloudGate UNO にサービスプロバイダー「Salesforce」の追加が完了している必要があります。
事前準備
Salesforce:「統合 ID」入力
(※現時点で「統合 ID」は空欄で且つ Salesforce へのオートプロビジョニング の利用予定がない場合には、本手順はスキップして問題ありません。)
Salesforce のユーザ詳細「統合 ID」に適宜文字列を入力します。
Salesforce:SAML シングルサインオン構成の作成
- Salesforce管理者ユーザーでSalesforceにログイン後、 画面右上の「設定」をクリックします。クイック検索ボックスに「シングルサインオン」と入力して、表示された「シングルサインオン設定」を開きます。
- 「SAML シングルサインオン構成」の[新規]をクリックします。(設定は複数作成することができ、後で編集することも可能です。)
- 以下の通りそれぞれ入力して、[保存]をクリックします。
Salesforce画面 項目名 入力する値 1 名前 「CloudGate UNO」と入力
※入力値は任意ですが、CloudGate UNO用の設定であることがわかる文字列にすることをお勧めします。また、半角英数字で入力することで2が自動入力されます。
2 API 参照名 ※1を半角英数字で入力すると自動挿入されます。適宜任意の名称に変更いただいても問題ありません。
例)CloudGate_UNO
3 発行者 CloudGate UNO管理者サイトの(左メニュー)アイデンティティプロバイダー「プロバイダー名」
例)https://echizen.cloudgate.jp/sso/isrdemo/
4 エンティティ ID 「私のドメイン」URL
例)https://isrdemo.my.salesforce.com
5 ID プロバイダの証明書 CloudGate UNO管理者サイトの(左メニュー)アイデンティティプロバイダー「証明書」をダウンロードして、アップロード(拡張子 .pem) 6 証明書の署名要求 新規設定の場合
→「自己署名証明書を生成」を選択設定が既にあり、今回追加で設定する場合
→ 生成済みのものを選択7 署名要求メソッド 「RSA-SHA256」を選択 8 アサーション復号化証明書 「アサーション暗号化なし」を選択 9 SAML ID 種別 Salesforce のユーザ詳細「統合 ID」は空欄の場合
→「アサーションには、ユーザの Salesforce ユーザ名が含まれます」を指定Salesforce のユーザ詳細「統合 ID」を入力済みの場合
→「アサーションには、ユーザオブジェクトの統合 ID が含まれます」を指定10 SAML ID の場所 「ID は、Subject ステートメントの NameIdentifier 要素にあります」を選択 11 サービスプロバイダの起動要求バインド 「HTTP リダイレクト」を選択 12 ID プロバイダのログイン URL CloudGate UNO管理者サイトの(左メニュー)アイデンティティプロバイダー「ログインURL」
例)https://echizen.cloudgate.jp/sso/isrdemo/login.xhtml
13 カスタムログアウト URL CloudGate UNO管理者サイトの(左メニュー)アイデンティティプロバイダー「ログアウトURL」
例)https://echizen.cloudgate.jp/sso/isrdemo/logout.xhtml
14 カスタムエラー URL 任意のURLを入力
※必須ではありませんので空欄でも結構です。
15 シングルログアウトを有効にする チェックを外す
16 ユーザープロビジョニングの有効化 チェックを外す
- 切り替わった先の画面で、[メタデータのダウンロード]をクリックします。
CloudGate UNO:SAML 2.0の設定
- ダウンロードしたメタデータをテキストエディタ等で開きます。
- CloudGate UNO管理者サイトの(左メニュー)サービスプロバイダー >Salesforce[編集] >シングルサインオン設定 タブ「SAML 2.0の設定」の該当箇所に、メターデータ内の「entityID」と AssertionConsumerService の「Location」情報をコピー&ペーストします。
- 画面右下の[保存]をクリックします。
CloudGate UNO:ユーザーID に Salesforceユーザーを紐付け
- CloudGate UNO管理者サイトの(左メニュー)ユーザー >対象のユーザーIDをクリック >ユーザー設定 タブ を開きます。
- 「サービス:Salesforce」にチェックを入れて、アカウントID 欄に Salesforce ユーザ詳細の「ユーザ名」もしくは「統合 ID」を入力します。
※ Salesforce:SAML シングルサインオン構成 の手順3「項目9 SAML ID の種別」の設定次第です。
ユーザ名:「アサーションには、ユーザの Salesforce ユーザ名が含まれます」と選択した場合
統合 ID:「アサーションには、ユーザオブジェクトの統合 ID が含まれます」と選択した場合
CSVファイルによる一括処理でも対応可能です。
SSOを有効にする
- Salesforce管理者ユーザーでSalesforceにログイン後、 画面右上の「設定」をクリックします。クイック検索ボックスに「シングルサインオン」と入力して、表示された「シングルサインオン設定」を開きます。
- [編集]をクリックして、「SAML を有効化」にチェックを入れて[保存]をクリックします。
Salesforce へのログイン方法を限定する(任意)
1)どの画面からのログインを許可するか指定します。
[私のドメイン] ログインページへの ID プロバイダの追加<外部サイト>
- ログインフォーム:Salesforce のログイン画面
- CloudGate UNO(※):CloudGate UNO のログイン画面
(※名称は、Salesforce:SAML シングルサインオン構成 の手順3 で指定した「名前」で表示されます。)
2)「私のドメイン」からのログインを必須にします。
[私のドメイン] のログインおよびリダイレクトポリシーの設定<外部サイト>
SSOが有効になっているか確認する
- CloudGate UNO:SAML 2.0の設定 で指定した「(1)entityID」のURLにアクセスして、CloudGate UNOサインオン画面が表示されることを確認します。
- CloudGate UNO の ユーザーID でサインオンして、正常にログイン出来たらSSO設定に問題ありません。