Salesforce - SAML認証 – ペンティオヘルプセンター

この記事ではOneLoginからSalesforceにSAML2.0を利用してシングルサインオンするための連携設定手順、連携解除手順および注意事項等をご紹介します。

＊本記事は記事イメージ確認用に契約者向けドキュメントを特別に一般公開しております

＃前提条件

OneLoginのライセンスが Starter, Enterprise, Unlimited であること
OneLoginにおける管理者権限をお持ちであること
Salesforceのライセンスが Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition, Developer Editionであること
Salesforceにおける管理者権限をお持ちであること
Salesforceで組織のドメイン設定が完了していること
設定 > 会社の設定 > 私のドメインで予め会社のドメインを設定してください
私のドメインが設定されていないと、OneLoginポータルからアプリにアクセスすることが出来ません。

1．SAML連携の設定

OneLoginに管理者でログインし、［管理］をクリックします
［Applications］>［Add App］を選択します
アプリケーションを検索の検索欄に、 Salesforce を入力しSAML2.0コネクタを選択します
Add Salesforce ページの Display Name で、OneLoginポータルでの表示名を設定します
　例：Salesforce
次に、Connectors > Connector Version > SAML2.0 - user provisioning をチェックしてから［Save］をクリックしてアプリを追加します
SSO > X.509 Certificate の［View Details］をクリックします
X.509 Certificate の内容をダウンロードします
SSO > Enable SAML2.0を開きます
Issuer URL , SAML2.0 Endpoint(HTTP) の内容をコピーします
Salesforceに管理者としてログインし、ホーム右上から設定ページを開きます
設定 > ID > シングルサインオン設定 > ［編集］ > SAMLを使用した統合シングルサインオンのSAMLを有効化をチェックし［保存］します
設定 > ID > シングルサインオン設定 > SAMLシングルサインオン構成の［新規］で作成します

SAML シングルサインオン構成を以下のように記入してから、［保存］します

Salesforceの設定	OneLoginの設定
名前	OneLogin
発行者	OneLoginの管理者ページのSSOタブのIssuer URLを貼り付けます https://app.onelogin.com/saml/metadata/*****
ID プロバイダの証明書	ファイルを選択 > ダウンロードした証明書をアップロード
ID プロバイダのログインURL	OneLoginの管理者ページのSSOタブのSAML2.0 Endpoint(HTTP)を貼り付けます https://{subdomain}.onelogin.com/trust/saml2/http-post/sso/*****
カスタムログアウトURL	https://{subdomain}.onelogin.com/portal/
API参照名	OneLogin
エンティティ ID	https://saml.salesforce.com

グローバルなログインURLからのログインを防止するために設定します
設定 > 私のドメイン > 私のドメインの設定 > ［編集］をクリックします
ログインが必要 のチェックボックスにチェックを入れます
設定 > 会社の設定 > ID > 私のドメイン > 認証設定の［編集］をします
OneLoginのみからログインできるように、認証設定 > 認証サービスでログインフォームのチェックを外し、OneLoginにチェックを付けます
次に、ブラウザがサポートする証明書認証やWebAuthnを用いるために、
・iOSでのユーザ認証にネイティブブラウザを使用
・Androidでのユーザ認証にネイティブブラウザを使用
にチェックを付け、［保存］します
設定 > ID > シングルサインオン設定 > SAML シングルサインオン構成 > 名前をクリックします
SAMLシングルサインオン構成 > エンドポイント > 組織 > ログインURLをコピーします
OneLoginの管理画面 > Configuration > Application details > "Salesforce Login URL"に手順16でコピーしたログインURLを貼り付け、［Save］します
Access > RolesでSalesforceを割り当てるロールを選択し、［Save］します
SSOを確認するために、別のブラウザでOneLoginのポータル画面を開き、Salesforceをクリックします
Salesforceにログインできたことを確認します
以上でOneLoginとSalesforceのSAML連携は完了です

2．SAML連携の解除手順

Salesforceに管理者としてログインして、ホーム右上から設定ページを開きます
設定 > 会社の設定 > 私のドメイン > 認証設定 > ［編集］をクリックします
認証設定 > 認証サービス > OneLogin のチェックを外し、ログインフォームにチェックを入れ、［保存］します
設定 > ID > シングルサインオン設定 > ［編集］をクリックします
SAMLを使用した統合シングルサインオンのSAMLを有効化のチェックを外し［保存］します
OneLoginのポータル画面を開き、Salesforceをクリックします
Single Sign-On Errorが表示されれば、解除は完了です

3．SAML連携の再設定

SAML連携を解除後、再度SAML連携を有効化する際の手順をご紹介します

Salesforceにシステム管理者としてログインし、［設定］をクリックします
SAMLを有効化するためにシングルサインオン設定を開き、［編集］をクリックします
シングルサインオン設定 > SAMLを使用した統合シングルサインオン > SAMLを有効化にチェックを入れます
シングルサインオン設定 > SAMLを使用した統合シングルサインオン > SAMLを有効化にチェックが入ったことを確認します
OneLoginでの認証を可能にするために、私のドメイン > 認証設定 > ［編集］をクリックします
認証設定 > 認証サービス > OneLogin にチェックを入れ、［保存］します
Salesforceアプリを割り当てられているユーザーでOneLoginにログインし、Salesforceをクリックします
ログイン出来たことを確認します
以上で、SAML連携の再設定は完了です

4．補足

専用ログインページからのログインを可能にするための設定
設定>会社の設定>私のドメイン > 認証設定 > ［編集］をクリックします

認証設定 > 認証サービス > ログインフォームにチェックを入れ、［保存］します

https://{貴社のドメイン}.my.salesforce.com/を検索すると、IDとパスワードでのログインとOneLoginを用いたSSOを選択できるログインページが表示されます
グローバルなログインページからのログインを可能するための設定
設定>会社の設定>私のドメイン > 私のドメインの設定 > ログインが必要のhttps://login.salesforce.com からのログインを防止 のチェックを外し［保存］します

チェックが入っている場合は、OneLoginのログインページにリダイレクトされず、ログインエラーがでます

5. Salesforceモバイルアプリへのログイン方法

本セクションでは、OneLoginとSalesforceをSAML連携している際のSalesforceモバイルアプリへのログイン方法をご紹介します

ログイン画面の右上のアイコンをタップします
右上の [＋] をタップします
1. SAML連携の設定手順16のログインURLの「https://」を省いたものを入力します
例 : 手順16で入力したのが https://{subdomain}.salesforce.com の場合は {subdomain}.salesforce.com を入力します
表示ラベル（省略可能）の欄に OneLogin と記入し、［完了］をクリックします
遷移後のSalesforceのログイン画面下部の［OneLogin］をクリックします
OneLoginのログイン画面に遷移するので、OneLoginにログイン試みます
MFAを登録している場合は、MFA認証を求められます
以下のように表示されるので、 [許可] をタップします
Salesforceのメニュー画面に遷移すればログインは成功です
以上がSalesforceアプリでのログイン方法です