Salesforceとのシングルサインオン連携

サテライトオフィス・シングルサインオン for G Suite」を利用してG Suiteだけではなく、Salesforce へのシングルサインオンをすることができます。

ここではSAMLを使ってセールスフォース(Salesforce)の認証をサテライトオフィス・シングルサインオン for G Suite」で行うための設定や準備についてご説明致します。

セールスフォースは、SAMLの認証プロバイダ(IdP)にも、サービスプロバイダ(SP)にもなることができますが
今回は、G Suiteの場合と同様に、セールスフォース(SP)にアクセスするために「サテライトオフィス・シングルサインオン」(IdP)で認証する、という図式となります。

対応Salesforceのバージョンは「Salesforce14」以降となります。
それ以前のバージョンに関しても動作する場合はございますが、未検証です。

※なお、セールスフォース側の設定につきましては、シングルサインオン連係に必要な最低限のご説明となっております。
より詳細な制御などにつきましては、セールスフォースご担当者様にお問い合わせくださいますようお願い致します。



セールスフォース:シングルサインオン設定

・セールスフォースにログイン

セールスフォースの管理画面にログインし「設定」ページを開きます。


・「シングルサインオンの設定」ページにアクセス

設定⇒ID⇒シングルサインオン設定 を開く



・「編集」をクリック


・「SAMLを有効化」にチェックを入れて保存
 ※この時点ではまだSAMLによるSSO連携は実施されません。


・「SAML シングルサインオン設定」の「新規」ボタンをクリックして連携設定を行う



名前 ⇒ Salesforce側での管理用のIDです。システムでは使用しません。

SAML のバージョン ⇒ 「2.0」

発行者        ⇒ シングルサインオンのドメイン + 「.sateraito.jp」  を設定. 例:「sateraitooffice.com.sateraito.jp」

エンティティ ID          ⇒ https://saml.salesforce.com   ※他の値はNGとなります。


ID プロバイダの証明書 ⇒ シングルサインオンのダッシュボードでダウンロードした証明書ファイルをアップロード

                   

証明書の署名要求 ⇒ プルダウンに表示されている証明書を選択

署名要求メソッド ⇒ RSA-SHA256 を選択

アサーション復号化証明書 ⇒ アサーション暗号化なし

SAML ID 種別   ⇒ いずれかを選択してください。

        ・アサーションには、ユーザの Salesforce ユーザ名が含まれます
            …シングルサインオンから渡されるユーザIDがSalesforceユーザの「ユーザ名」と同じ場合はこちらを選択してください。

        ・アサーションには、ユーザオブジェクトの統合 ID が含まれます
            …シングルサインオンから渡されるユーザIDをSalesforceユーザの「ユーザ名」とは別のIDにマッピングしたい場合は、同じ場合はこちらを選択してください。
             その場合、セールスフォースのユーザの設定にて、「統合ID」を個別に設定して頂く必要がございます(詳細は後述)。


SAML ID の場所  ⇒ いずれかを選択してください。

        ・ID は、Subject ステートメントのNameIdentifier 要素にあります 推奨)
        ・ID は Attribute 要素にあります
            …この場合「属性の名前」を「UserName」に設定してください。

※特に理由がない場合は「ID は、Subject ステートメントのNameIdentifier 要素にあります」を選択してください。

 ID プロバイダのログイン URL
  ⇒ 「サテライトオフィス・シングルサインオン」のシングルサインオン用のURLをご指定ください。

  https://sateraito-apps-sso.appspot.com/a/{ドメイン名} /sso/login      

 ID プロバイダのログアウト URL  ⇒ 「サテライトオフィス・シングルサインオン」のシングルサインオン用のURLをご指定ください。

  https://sateraito-apps-sso.appspot.com/a/{ドメイン名} /sso/logout

サービスプロバイダの起動要求バインド

 シングルサインオンのログインURLに遷移する方法を指定します。

 


・「保存」をクリックして設定を保存

https://sites.google.com/a/sateraito.jp/sateraito-dounyuu/Home/sso/salesforce/Salesforce7.png





セールスフォース:ユーザー設定

・統合IDの設定

 セールスフォース「シングルサインオン設定」の「SAML ID 種別」で、「アサーションには、ユーザオブジェクトの統合 ID が含まれます」を選択した場合には
 各ユーザに「統合ID」の設定が必要です。

 ※このとき、シングルサインオン側のSSO連携ID(プロファイルで指定)は、セールスフォースのユーザ名ではなく、統合IDにマッピングされます!
  セールスフォースとシングルサインオン(=G Suite)のメールアドレス体系が違う場合などにご利用ください。

・「管理」⇒「ユーザ」⇒「ユーザ」をクリック


・該当ユーザーの「統合ID」を設定







シングルサインオン:セキュリティルールでセールスフォースとの連携設定

 「サテライトオフィス・シングルサインオン」の「セキュリティルール」でもセールスフォース連係用の設定をしておく必要がございます。
セールスフォースとの連携設定はセキュリティルール(プロファイル)単位で行うことができます。



 連携設定
      ・有効…セールスフォースとのシングルサインオンを行いたい場合は「有効」を選択

 連携ユーザーID

      セールスフォースのシングルサインオン設定の「SAML ID種別」の設定値にあった項目を選択してください。
      一般的には以下の設定を推奨します。

        ・アサーションには、ユーザの Salesforce ユーザ名が含まれます … 「メールアドレス」を選択
        ・アサーションには、ユーザオブジェクトの統合 ID が含まれます … 「社員ID」を選択  

※他の項目でももちろん大丈夫です。




セールスフォース:「私のドメイン」の設定

 最後に、セールスフォースにて「私のドメイン」を設定することにより、セールスフォースと「サテライトオフィス・シングルサインオン」のシングルサインオン連携が有効になります。

  ※「私のドメインの設定」の詳細に関しましては、セールスフォースのヘルプなどをご参照ください。


・「私のドメイン」ページにアクセス

 設定 ⇒ 会社の設定 ⇒ 
私のドメイン を開く





 ・「私のドメインの設定」の「編集」をクリック




・ドメインを決定して保存

 「私のドメイン」を設定することで、「貴社のドメイン名」のURLからセールスフォースにアクセスする形となります。




・「ログインページのブランド設定」の「編集」をクリック



・「認証サービス」をチェック

 どの認証設定を有効にするかを決めます。チェックを入れたログイン認証が有効となります。

  ・ログインページ … 標準のログインです(シングルサインオンではなくSalesforceのログイン画面で、SalesforceのID、パスワードで認証)
  ・その他 … 先ほど作成したSAMLシングルサインオンの設定

 ※ここでSAMLシングルサインオン設定のみにチェックを入れると、「私のドメイン」の「貴社のドメイン名」で指定したURLにアクセスした際に、
Salesforceのログイン画面が表示されずに直接「サテライトオフィス・シングルサインオン」のログイン画面に遷移するようになります。



・「ログインページ」とシングルサインオンの両方にチェックを入れた場合....

  「貴社のドメイン名」のURLにアクセスすると、Salesforceのログイン画面が表示されますが、
  その下に先ほど追加したシングルサインオンによる認証のボタンが表示されます。
  ※ユーザーはどちらからでもログインが可能です。

 

・シングルサインオン設定のみにチェックを入れた場合....

  「貴社のドメイン名」のURLにアクセスすると、Salesforceのログイン画面が表示されず
  直接シングルサインオンのログインURLに遷移します。
  ※ユーザーはSalesforceのログイン画面から認証することはできず、必ずシングルサインオンの認証を経由する形になります。





ユーザーのログインの流れ

 シングルサインオン設定を有効にした際の、ユーザのセールスフォースへのアクセスの流れです!

G Suite/Google App Engine 導入支援ログイン用URLにアクセス

   これは、「私のドメイン」設定で設定したURLになります。

   例:https://sateraito--sb.cs5.my.salesforce.com/

       ※これをブックマークなどに入れてご利用ください!

G Suite/Google App Engine 導入支援シングルサインオンのログインページに遷移

   シングルサインオンのログインURLにリダイレクトし、認証済みでない場合は、ログイン画面が表示されます。
    

G Suite/Google App Engine 導入支援シングルサインオンのプロファイルの設定に基づいてログイン

   シングルサインオンで設定しているログインID、パスワード、アクセス制御の設定により、ログイン認証が行われます!

G Suite/Google App Engine 導入支援Salesforceにアクセス

   認証に成功すると、セールスフォースにアクセス出来ます。





Comments