本記事では、OneLogin から Salesforce へのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Salesforceのライセンスが Professional Edition, Enterprise Edition, Unlimited Edition, Developer Editionであること
- Salesforceにおける管理者権限をお持ちであること
-
Salesforceで組織のドメイン設定が完了していること
設定 > 会社の設定 > 私のドメイン で予め会社のドメインを設定してください
私のドメインが設定されていないと、OneLoginポータルからアプリにアクセスすることが出来ません
注意事項
OneLoginとSalesforceのSAML連携を行う際、Salesforceの既存ユーザのユーザ情報である「ユーザー名」及び「統合ID」へOneLogin ユーザーのメールアドレスを設定していただく必要がございます。既にに「ユーザー名」を設定しており変更できないなどの場合、「統合ID」にご設定ください
- SAML設定時には連携項目(件名種別)で「統合ID」または「ユーザ名」を選択することが可能です
SAML連携の設定
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Salesforce と検索し、該当コネクタを選択します
-
SAML2.0 - user provisioning が選択されていることを確認し、[Save]をクリックします
-
SSO タブに移動し、Issuer URL と SAML2.0 Endpoint (HTTP) をクリップボードへコピーします
-
View Details をクリックします
- [Download]をクリックします
2. Salesforce側の設定
- Salesforceに管理者としてログインし、ホーム右上から設定ページを開きます
-
設定 > IDタブ > シングルサインオン設定 > [編集] をクリックします
-
SAMLを使用した統合シングルサインオン > SAMLを有効化 をチェックし[保存]をクリックします
-
SAMLシングルサインオン構成 >[新規]をクリックします
-
SAML シングルサインオン構成 を以下の通りに設定し、[保存]をクリックします
Salesforceの設定 OneLoginの設定 ① 名前 OneLogin ② 発行者 OneLoginの管理者ページのSSOタブのIssuer URLを貼り付けます
https://app.onelogin.com/saml/metadata/*****
③ ID プロバイダの証明書 ファイルを選択 > ダウンロードした証明書をアップロード ④ SAML ID 種別 SSO時に使用するユーザーの識別子を選択します ⑤ ID プロバイダのログインURL OneLoginの管理者ページのSSOタブのSAML2.0 Endpoint(HTTP)を貼り付けます
https://{subdomain}.onelogin.com/trust/saml2/http-post/sso/*****
⑥ カスタムログアウトURL https://{subdomain}.onelogin.com/portal/ ⑦ API参照名 OneLogin ⑧ エンティティ ID https://saml.salesforce.com
- グローバルなログインURLからのログインを防止するために設定します
設定 > 会社の設定 > 私のドメイン > ポリシー >[編集]をクリックします
-
https://login.salesforce.com からのログインを防止 と https://login.salesforce.com からの SOAP API ログインを防止 にチェックを入れ、[保存]をクリックします
- 設定 > 会社の設定 > 私のドメイン > 認証設定の[編集]をクリックします
- OneLoginのみからログインできるように、認証設定 > 認証サービス の ログインフォーム のチェックを外し、OneLogin にチェックを入れます。iOSでのユーザ認証にネイティブブラウザを使用 と Androidでのユーザ認証にネイティブブラウザを使用 にチェックを入れ、[保存]をクリックします
-
設定 > ID > シングルサインオン設定 > SAML シングルサインオン構成 > 名前 をクリックします
- シングルサインオン設定 > SAMLシングルサインオン構成 > エンドポイント > 組織 > ログインURL をコピーします
3. OneLogin側の設定
-
Configuration タブに移動し、"Salesforce Login URL" に 2. Salesforce側の設定 手順19でコピーした値を貼り付けます
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した Salesforce を選択します
- SAML認証が完了し、SalesforceにSSOされることを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- Salesforceに管理者としてログインして、ホーム右上から設定ページを開きます
- 設定 > 会社の設定 > 私のドメイン > 認証設定 > [編集]をクリックします
- 認証設定 > 認証サービス > OneLogin のチェックを外し、ログインフォームにチェックを入れ、[保存]します
- 設定 > 会社の設定 > 私のドメイン > ポリシー >[編集]をクリックします
-
https://login.salesforce.com からのログインを防止 と https://login.salesforce.com からの SOAP API ログインを防止 のチェックを外し、[保存]をクリックします
- 設定 > ID > シングルサインオン設定 > [編集]をクリックします
-
SAMLを有効化 のチェックを外し、[保存]をクリックします
SAML SSOの無効化は以上です。
補足
1. 専用ログインページからのログインを可能にするための設定
- 設定>会社の設定>私のドメイン > 認証設定 > [編集]をクリックします
- 認証設定 > 認証サービス > ログインフォームにチェックを入れ、[保存]します
- https://{貴社のドメイン}.my.salesforce.com/を検索すると、IDとパスワードでのログインとOneLoginを用いたSSOを選択できるログインページが表示されます
2. グローバルなログインページからのログインを可能するための設定
- 設定 > 会社の設定 > 私のドメイン > ポリシー > [編集]をクリックします
-
https://login.salesforce.com からのログインを防止 と https://login.salesforce.com からの SOAP API ログインを防止 のチェックを外し、[保存]をクリックします
-
チェックが入っている場合は、OneLoginのログインページにリダイレクトされず、ログインエラーがでます