この記事ではOneLoginからSalesforceにSAML2.0を利用してシングルサインオンするための連携設定手順、連携解除手順および注意事項等をご紹介します。
*本記事は記事イメージ確認用に契約者向けドキュメントを特別に一般公開しております
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または Advanced, Professional Bundle(新料金体系)であること
- OneLoginにおける管理者権限をお持ちであること
- Salesforceのライセンスが Professional Edition, Enterprise Edition, Unlimited Edition, Developer Editionであること
- Salesforceにおける管理者権限をお持ちであること
-
Salesforceで組織のドメイン設定が完了していること
設定 > 会社の設定 > 私のドメイン で予め会社のドメインを設定してください
私のドメインが設定されていないと、OneLoginポータルからアプリにアクセスすることが出来ません
注意事項
OneLoginとSalesforceのSAML連携を行う際、Salesforceの既存ユーザのユーザ情報である「ユーザー名」及び「統合ID」へOneLogin ユーザーのメールアドレスを設定していただく必要がございます。既にに「ユーザー名」を設定しており変更できないなどの場合、「統合ID」にご設定ください
SAML設定時には連携項目(件名種別)で「統合ID」または「ユーザ名」を選択することが可能です
1.SAML連携の設定
-
OneLoginに管理者アカウントでログインし、[管理]をクリックします
-
Applicationsタブ >[Applications]をクリックします
-
画面右上の[Add App]をクリックします
- アプリケーションを検索の検索欄に、 Salesforce を入力しSAML2.0コネクタを選択します
-
Add Salesforce ページの Display Name で、OneLoginポータルでの表示名を設定します
例:Salesforce
次に、Connectors > Connector Version > SAML2.0 - user provisioning をチェックしてから[Save]をクリックしてアプリを追加します
-
SSOタブ > X.509 Certificate >[View Details]をクリックします
-
X.509 Certificate > [ダウンロード]をクリックし、証明書をダウンロードします
-
SSOタブ > SAML Signature Algorithm を SHA-256 に変更します
-
Issuer URL , SAML2.0 Endpoint(HTTP) の内容をコピーします
- Salesforceに管理者としてログインし、ホーム右上から設定ページを開きます
- 設定 > IDタブ > シングルサインオン設定 > [編集] をクリックします
- SAMLを使用した統合シングルサインオン > SAMLを有効化 をチェックし[保存]をクリックします
-
SAMLシングルサインオン構成 >[新規]をクリックします
-
SAML シングルサインオン構成を以下のように記入してから、[保存]をクリックします
Salesforceの設定 OneLoginの設定 ① 名前
OneLogin ② 発行者 OneLoginの管理者ページのSSOタブのIssuer URLを貼り付けます
https://app.onelogin.com/saml/metadata/*****
③ ID プロバイダの証明書
ファイルを選択 > ダウンロードした証明書をアップロード ④ SAML ID 種別
SSO時に使用するユーザーの識別子を選択します ⑤ ID プロバイダのログインURL
OneLoginの管理者ページのSSOタブのSAML2.0 Endpoint(HTTP)を貼り付けます
https://{subdomain}.onelogin.com/trust/saml2/http-post/sso/*****
⑥ カスタムログアウトURL https://{subdomain}.onelogin.com/portal/ ⑦ API参照名 OneLogin ⑧ エンティティ ID https://saml.salesforce.com
-
グローバルなログインURLからのログインを防止するために設定します
設定 > 会社の設定 > 私のドメイン > ポリシー >[編集]をクリックします
-
ログインが必要にある
・https://login.salesforce.com からのログインを防止
・https://login.salesforce.com からの SOAP API ログインを防止
にチェックを入れ[保存]します
-
設定 > 会社の設定 > 私のドメイン > 認証設定の[編集]をクリックします
-
OneLoginのみからログインできるように、認証設定 > 認証サービス でログインフォームのチェックを外し、OneLoginにチェックを付けます
次に、ブラウザがサポートする証明書認証やWebAuthnを用いるために、
・iOSでのユーザ認証にネイティブブラウザを使用
・Androidでのユーザ認証にネイティブブラウザを使用
にチェックを付け、[保存]します
- 設定 > ID > シングルサインオン設定 > SAML シングルサインオン構成 > 名前 をクリックします
- シングルサインオン設定 > SAMLシングルサインオン構成 > エンドポイント > 組織 > ログインURL をコピーします
-
OneLoginの管理画面 > Configuration > Application details > "Salesforce Login URL"に手順19でコピーしたログインURLを貼り付け、[Save]します
-
Access > RolesでSalesforceを割り当てるロールを選択し、[Save]します
- SSOを確認するために、別のブラウザでOneLoginのポータル画面を開き、Salesforceをクリックします
- Salesforceにログインできたことを確認します
以上でOneLoginとSalesforceのSAML連携は完了です
2.SAML連携の解除手順
- Salesforceに管理者としてログインして、ホーム右上から設定ページを開きます
-
設定 > 会社の設定 > 私のドメイン > 認証設定 > [編集]をクリックします
- 認証設定 > 認証サービス > OneLogin のチェックを外し、ログインフォームにチェックを入れ、[保存]します
-
設定 > 会社の設定 > 私のドメイン > ポリシー >[編集]をクリックします
-
ログインが必要にある
・https://login.salesforce.com からのログインを防止
・https://login.salesforce.com からの SOAP API ログインを防止
のチェックを外し[保存]します
- 設定 > ID > シングルサインオン設定 > [編集]をクリックします
- SAMLを使用した統合シングルサインオンのSAMLを有効化のチェックを外し[保存]します
- OneLoginのポータル画面を開き、Salesforceをクリックします
- Single Sign-On Errorが表示されれば、解除は完了です
3.SAML連携の再設定
SAML連携を解除後、再度SAML連携を有効化する際の手順をご紹介します
- Salesforceにシステム管理者としてログインし、[設定]をクリックします
- SAMLを有効化するためにシングルサインオン設定を開き、[編集]をクリックします
- シングルサインオン設定 > SAMLを使用した統合シングルサインオン > SAMLを有効化 にチェックを入れます
- シングルサインオン設定 > SAMLを使用した統合シングルサインオン > SAMLを有効化 にチェックが入ったことを確認します
-
OneLoginでの認証を可能にするために、私のドメイン > 認証設定 > [編集]をクリックします
-
認証設定 > 認証サービス > OneLoginにチェックを入れ、[保存]します
- 設定 > 会社の設定 > 私のドメイン > ポリシー >[編集]をクリックします
-
ログインが必要にある
・https://login.salesforce.com からのログインを防止
・https://login.salesforce.com からの SOAP API ログインを防止
のチェックを入れ[保存]します
- Salesforceアプリを割り当てられているユーザーでOneLoginにログインし、Salesforceをクリックします
- ログイン出来たことを確認します
以上で、SAML連携の再設定は完了です
4.補足
-
専用ログインページからのログインを可能にするための設定
設定>会社の設定>私のドメイン > 認証設定 > [編集]をクリックします
認証設定 > 認証サービス > ログインフォームにチェックを入れ、[保存]します
https://{貴社のドメイン}.my.salesforce.com/を検索すると、IDとパスワードでのログインとOneLoginを用いたSSOを選択できるログインページが表示されます
-
グローバルなログインページからのログインを可能するための設定
設定 > 会社の設定 > 私のドメイン > ポリシー > [編集]をクリックします
ログインが必要にある
・https://login.salesforce.com からのログインを防止
・https://login.salesforce.com からの SOAP API ログインを防止
のチェックを外し[保存]します
チェックが入っている場合は、OneLoginのログインページにリダイレクトされず、ログインエラーがでます