この記事ではOneLoginからSalesforceにSAML2.0を利用してシングルサインオンするための連携設定手順、連携解除手順および注意事項等をご紹介します。
*本記事は記事イメージ確認用に契約者向けドキュメントを特別に一般公開しております
目次
#前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited であること
- OneLoginにおける管理者権限をお持ちであること
- Salesforceのライセンスが Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition, Developer Editionであること
- Salesforceにおける管理者権限をお持ちであること
- Salesforceで組織のドメイン設定が完了していること
設定 > 会社の設定 > 私のドメイン で予め会社のドメインを設定してください
私のドメインが設定されていないと、OneLoginポータルからアプリにアクセスすることが出来ません。
1.SAML連携の設定
- OneLoginに管理者でログインし、[管理]をクリックします
- [Applications]>[Add App]を選択します
- アプリケーションを検索の検索欄に、 Salesforce を入力しSAML2.0コネクタを選択します
- Add Salesforce ページの Display Name で、OneLoginポータルでの表示名を設定します
例:Salesforce
次に、Connectors > Connector Version > SAML2.0 - user provisioning をチェックしてから[Save]をクリックしてアプリを追加します
- SSO > X.509 Certificate の[View Details]をクリックします
- X.509 Certificate の内容をダウンロードします
- SSO > Enable SAML2.0を開きます
Issuer URL , SAML2.0 Endpoint(HTTP) の内容をコピーします
- Salesforceに管理者としてログインし、ホーム右上から設定ページを開きます
- 設定 > ID > シングルサインオン設定 > [編集] > SAMLを使用した統合シングルサインオンのSAMLを有効化をチェックし[保存]します
- 設定 > ID > シングルサインオン設定 > SAMLシングルサインオン構成の[新規]で作成します
- SAML シングルサインオン構成を以下のように記入してから、[保存]します
Salesforceの設定 OneLoginの設定 名前
OneLogin 発行者 OneLoginの管理者ページのSSOタブのIssuer URLを貼り付けます
https://app.onelogin.com/saml/metadata/*****
ID プロバイダの証明書 ファイルを選択 > ダウンロードした証明書をアップロード ID プロバイダのログインURL
OneLoginの管理者ページのSSOタブのSAML2.0 Endpoint(HTTP)を貼り付けます
https://{subdomain}.onelogin.com/trust/saml2/http-post/sso/*****
カスタムログアウトURL https://{subdomain}.onelogin.com/portal/ API参照名 OneLogin エンティティ ID https://saml.salesforce.com - グローバルなログインURLからのログインを防止するために設定します
設定 > 私のドメイン > 私のドメインの設定 > [編集]をクリックします
ログインが必要 のチェックボックスにチェックを入れます
- 設定 > 会社の設定 > ID > 私のドメイン > 認証設定の[編集]をします
- OneLoginのみからログインできるように、認証設定 > 認証サービス でログインフォームのチェックを外し、OneLoginにチェックを付けます
次に、ブラウザがサポートする証明書認証やWebAuthnを用いるために、
・iOSでのユーザ認証にネイティブブラウザを使用
・Androidでのユーザ認証にネイティブブラウザを使用
にチェックを付け、[保存]します
- 設定 > ID > シングルサインオン設定 > SAML シングルサインオン構成 > 名前 をクリックします
- SAMLシングルサインオン構成 > エンドポイント > 組織 > ログインURLをコピーします
- OneLoginの管理画面 > Configuration > Application details > "Salesforce Login URL"に手順18でコピーしたログインURLを貼り付け、[Save]します
- Access > RolesでSalesforceを割り当てるロールを選択し、[Save]します
- SSOを確認するために、別のブラウザでOneLoginのポータル画面を開き、Salesforceをクリックします
- Salesforceにログインできたことを確認します
以上でOneLoginとSalesforceのSAML連携は完了です
2.SAML連携の解除手順
- Salesforceに管理者としてログインして、ホーム右上から設定ページを開きます
- 設定 > 会社の設定 > 私のドメイン > 認証設定 > [編集]をクリックします
- 認証設定 > 認証サービス > OneLogin のチェックを外し、ログインフォームにチェックを入れ、[保存]します
- 設定 > ID > シングルサインオン設定 > [編集]をクリックします
- SAMLを使用した統合シングルサインオンのSAMLを有効化のチェックを外し[保存]します
- OneLoginのポータル画面を開き、Salesforceをクリックします
- Single Sign-On Errorが表示されれば、解除は完了です
3.SAML連携の再設定
SAML連携を解除後、再度SAML連携を有効化する際の手順をご紹介します
- Salesforceにシステム管理者としてログインし、[設定]をクリックします
- SAMLを有効化するためにシングルサインオン設定を開き、[編集]をクリックします
- シングルサインオン設定 > SAMLを使用した統合シングルサインオン > SAMLを有効化 にチェックを入れます
- シングルサインオン設定 > SAMLを使用した統合シングルサインオン > SAMLを有効化 にチェックが入ったことを確認します
- OneLoginでの認証を可能にするために、私のドメイン > 認証設定 > [編集]をクリックします
- 認証設定 > 認証サービス > OneLogin にチェックを入れ、[保存]します
- Salesforceアプリを割り当てられているユーザーでOneLoginにログインし、Salesforceをクリックします
- ログイン出来たことを確認します
以上で、SAML連携の再設定は完了です
4.補足
-
専用ログインページからのログインを可能にするための設定
設定>会社の設定>私のドメイン > 認証設定 > [編集]をクリックします
認証設定 > 認証サービス > ログインフォームにチェックを入れ、[保存]します
https://{貴社のドメイン}.my.salesforce.com/を検索すると、IDとパスワードでのログインとOneLoginを用いたSSOを選択できるログインページが表示されます
-
グローバルなログインページからのログインを可能するための設定
設定>会社の設定>私のドメイン > 私のドメインの設定 > ログインが必要 のhttps://login.salesforce.com からのログインを防止 のチェックを外し[保存]します
チェックが入っている場合は、OneLoginのログインページにリダイレクトされず、ログインエラーがでます
コメント