Salesforce - SAML認証

この記事ではOneLoginからSalesforceにSAML2.0を利用してシングルサインオンするための連携設定手順、連携解除手順および注意事項等をご紹介します。

＊本記事は記事イメージ確認用に契約者向けドキュメントを特別に一般公開しております

目次

＃前提条件

1．SAML連携の設定

2．SAML連携の解除手順

3．SAML連携の再設定

4．補足

5.  Salesforceモバイルアプリへのログイン方法

＃前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited であること
• OneLoginにおける管理者権限をお持ちであること
• Salesforceのライセンスが Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition, Developer Editionであること
• Salesforceにおける管理者権限をお持ちであること
• Salesforceで組織のドメイン設定が完了していること
  設定 > 会社の設定 > 私のドメイン で予め会社のドメインを設定してください
  私のドメインが設定されていないと、OneLoginポータルからアプリにアクセスすることが出来ません。

1．SAML連携の設定

1.  OneLoginに管理者でログインし、［管理］をクリックします
   
   
   
   
2.  管理画面が開いたら［Applications］>［Applications］をクリックします
   
   
   
   
3.  Applicationsのページが開いたら、画面右上の［Add App］をクリックします
   
   
   
   
4.  アプリケーションを検索の検索欄に、 Salesforce を入力しSAML2.0コネクタを選択します
   
   
   
   
5.  Add Salesforce ページの Display Name で、OneLoginポータルでの表示名を設定します
   　例：Salesforce
   次に、Connectors > Connector Version > SAML2.0 - user provisioning をチェックしてから［Save］をクリックしてアプリを追加します
   
   
   
   
6.  SSO > X.509 Certificate の［View Details］をクリックします
   
   
   
   
7.  X.509 Certificate の内容をダウンロードします
   
   
   
8. SSOタブをクリックし、SAML Signature Algorithm を SHA-256 に変更します
   
   
   
9.  SSO > Enable SAML2.0を開きます
   Issuer URL , SAML2.0 Endpoint(HTTP) の内容をコピーします
   
   
   
   
10.  Salesforceに管理者としてログインし、ホーム右上から設定ページを開きます
    
    
    
    
11.  設定 > ID > シングルサインオン設定 > ［編集］ > SAMLを使用した統合シングルサインオンのSAMLを有効化をチェックし［保存］します
    
    
    
    
12.  設定 > ID > シングルサインオン設定 > SAMLシングルサインオン構成の［新規］で作成します
    
    
    
    
13.  SAML シングルサインオン構成を以下のように記入してから、［保存］します
    
    
    

    Salesforceの設定	OneLoginの設定
    名前	OneLogin
    発行者	OneLoginの管理者ページのSSOタブのIssuer URLを貼り付けます https://app.onelogin.com/saml/metadata/*****
    ID プロバイダの証明書	ファイルを選択 > ダウンロードした証明書をアップロード
    ID プロバイダのログインURL	OneLoginの管理者ページのSSOタブのSAML2.0 Endpoint(HTTP)を貼り付けます https://{subdomain}.onelogin.com/trust/saml2/http-post/sso/*****
    カスタムログアウトURL	https://{subdomain}.onelogin.com/portal/
    API参照名	OneLogin
    エンティティ ID	https://saml.salesforce.com

    
     
14.  グローバルなログインURLからのログインを防止するために設定します
    設定 > 会社の設定 > 私のドメイン > ポリシー >［編集］をクリックします
    
    
    
    
15.  ログインが必要にある
    ・https://login.salesforce.com からのログインを防止
    ・https://login.salesforce.com からの SOAP API ログインを防止
    にチェックを入れ［保存］します
    
    
    
    
    
16.  設定 > 会社の設定 > 私のドメイン > 認証設定の［編集］をクリックします
    
    
    
    
17.  OneLoginのみからログインできるように、認証設定 > 認証サービス でログインフォームのチェックを外し、OneLoginにチェックを付けます
    次に、ブラウザがサポートする証明書認証やWebAuthnを用いるために、
    ・iOSでのユーザ認証にネイティブブラウザを使用
    ・Androidでのユーザ認証にネイティブブラウザを使用
    にチェックを付け、［保存］します
    
    
    
    
18.  設定 > ID > シングルサインオン設定 > SAML シングルサインオン構成 > 名前 をクリックします
    
    
    
    
19.  シングルサインオン設定 > SAMLシングルサインオン構成 > エンドポイント > 組織 > ログインURL をコピーします
    
    
    
20.  OneLoginの管理画面 > Configuration > Application details > "Salesforce Login URL"に手順18でコピーしたログインURLを貼り付け、［Save］します
    
    
    
    
21.  Access > RolesでSalesforceを割り当てるロールを選択し、［Save］します
    
    
    
    
22.  SSOを確認するために、別のブラウザでOneLoginのポータル画面を開き、Salesforceをクリックします
    
    
    
    
23.  Salesforceにログインできたことを確認します
    以上でOneLoginとSalesforceのSAML連携は完了です
    
    

2．SAML連携の解除手順

1.  Salesforceに管理者としてログインして、ホーム右上から設定ページを開きます
   
   
   
   
2.  設定 > 会社の設定 > 私のドメイン > 認証設定 > ［編集］をクリックします
   
   
   
3.  認証設定 > 認証サービス > OneLogin のチェックを外し、ログインフォームにチェックを入れ、［保存］します
   
   
   
   
4.  設定 > 会社の設定 > 私のドメイン > ポリシー >［編集］をクリックします
   
   
   
   
5.  ログインが必要にある
   ・https://login.salesforce.com からのログインを防止
   ・https://login.salesforce.com からの SOAP API ログインを防止
   のチェックを外し［保存］します
   
   
   
   
6.  設定 > ID > シングルサインオン設定 > ［編集］をクリックします
   
   
   
   
7.  SAMLを使用した統合シングルサインオンのSAMLを有効化のチェックを外し［保存］します
   
   
   
   
8.  OneLoginのポータル画面を開き、Salesforceをクリックします
   
   
   
   
9.  Single Sign-On Errorが表示されれば、解除は完了です
   
   

3．SAML連携の再設定

SAML連携を解除後、再度SAML連携を有効化する際の手順をご紹介します

1.  Salesforceにシステム管理者としてログインし、［設定］をクリックします
   
   
   
   
2.  SAMLを有効化するためにシングルサインオン設定を開き、［編集］をクリックします
   
   
   
   
3.  シングルサインオン設定 > SAMLを使用した統合シングルサインオン > SAMLを有効化 にチェックを入れます
   
   
   
   
4.  シングルサインオン設定 > SAMLを使用した統合シングルサインオン > SAMLを有効化 にチェックが入ったことを確認します
   
   
   
   
5.  OneLoginでの認証を可能にするために、私のドメイン > 認証設定 > ［編集］をクリックします
   
   
   
   
6.  認証設定 > 認証サービス > OneLoginにチェックを入れ、［保存］します
   
   
   
7.  設定 > 会社の設定 > 私のドメイン > ポリシー >［編集］をクリックします
   
   
   
   
8. ログインが必要にある
   ・https://login.salesforce.com からのログインを防止
   ・https://login.salesforce.com からの SOAP API ログインを防止
   のチェックを入れ［保存］します
   
   
   
   
9.  Salesforceアプリを割り当てられているユーザーでOneLoginにログインし、Salesforceをクリックします
   
   
   
   
10.  ログイン出来たことを確認します
    以上で、SAML連携の再設定は完了です
    

4．補足

• 専用ログインページからのログインを可能にするための設定

   設定>会社の設定>私のドメイン > 認証設定 > ［編集］をクリックします

  
  
  
   認証設定 > 認証サービス > ログインフォームにチェックを入れ、［保存］します
  
  
  
   https://{貴社のドメイン}.my.salesforce.com/を検索すると、IDとパスワードでのログインとOneLoginを用いたSSOを選択できるログインページが表示されます
  
  
  
  

• グローバルなログインページからのログインを可能するための設定
  

   設定 > 会社の設定 > 私のドメイン > ポリシー > ［編集］をクリックします
  
  
  
   ログインが必要にある
  ・https://login.salesforce.com からのログインを防止
  ・https://login.salesforce.com からの SOAP API ログインを防止
  のチェックを外し［保存］します
  
  
  
   チェックが入っている場合は、OneLoginのログインページにリダイレクトされず、ログインエラーがでます
  
  

5.  Salesforceモバイルアプリへのログイン方法

本セクションでは、OneLoginとSalesforceをSAML連携している際のSalesforceモバイルアプリへのログイン方法をご紹介します

1.  ログイン画面の右上のアイコンをタップします
   
   
   
   
2.  右上の [＋] をタップします
   
   
   
   
3.  1. SAML連携の設定 手順16の ログインURLの「https://」を省いたものを入力します
   例 : 手順16で入力したのが  https://{subdomain}.my.salesforce.com の場合は {subdomain}.my.salesforce.com を入力します
   
   
   
   
4.  表示ラベル（省略可能）の欄に OneLogin と記入し、［完了］をクリックします
   
   
   
   
5.  遷移後のSalesforceのログイン画面下部の［OneLogin］をクリックします
   
   
   
   
6.  OneLoginのログイン画面に遷移するので、OneLoginにログイン試みます
   
   
   
   
7.  MFAを登録している場合は、MFA認証を求められます
   
   
   
   
8.  以下のように表示されるので、 [許可] をタップします
   
   
   
   
9.  Salesforceのメニュー画面に遷移すればログインは成功です
   以上がSalesforceアプリでのログイン方法です