こんにちは。tkです。
以前SlackへのSSO設定をやってみました。
今回は「Salesforce」へのSSOを試してみたいと思います。
IdPメタデータ取得やポリシー作成、プロファイル配信など、手順が重複する部分は省略していますので、以前の記事も併せてご一読ください。
【Salesforce : 検証用テナント申し込み】
検証用にSalesforceのテナントを用意します。
すでにSalesforceテナントを持っていれば不要ですが、私は以下サイトを参考にSalesforce Developer Editionのアカウント(テナント)を作成しました。
【Salesforce開発初心者向け】無料アカウントを作成(Developer
Edition) | 事務さんがゆく (gawatari.com)
Developer Editionは無償でありながら利用期限もなく、APIなど有償エディションの機能も使えるためおすすめです。
【Salesforce:シングルサインオン設定】
①Salesforceにログイン後、画面右上の歯車マークをクリックし、「設定」をクリックする。
②[設定] > [ID] > [シングルサインオン設定] を選択し、「編集」をクリックする。
③「SAML を有効化」のチェックボックスにチェックを入れ、「保存」をクリックする。
④画面中央の「メタデータファイルから新規作成」をクリックする。
⑤「ファイルを選択」をクリックするとエクスプローラーが開くので、Accessにてダウンロードした「idp.xml」ファイルを選択し、「作成」をクリックする
※xmlファイルのダウンロードについては過去の記事を参照
⑥SAML ID 種別にて、「アサーションには、ユーザオブジェクトの統合 ID が含まれます」を選択し、「保存」をクリックする。その他の項目はxmlファイルをもとに自動で入力される。
⑦「メタデータのダウンロード」をクリックし、「SAMLSP-<Salesforceのテナント名の一部>.xml」ファイルを保存する。
⑧画面を下へスライドし、エンドポイントのログインURLをコピーし、メモ帳に貼り付ける。
【Salesforce:ドメイン設定】
①[設定] > [会社の設定] > [私のドメイン] を選択し、認証設定の「編集」をクリックする。
②認証サービスの「認証サービス」のAccessのテナント名にチェックを入れ、「保存」をクリックする。
【ユーザー作成】
SalesforceでのSSOには、ユーザープリンシパル名(UPN)が必要です。
Workspace ONE上のユーザーにUPNが設定されているか確認し、設定されていない場合は設定します。
Salesforceでの設定は以下です。UEMと同じUPNを設定します。
【Access:Salesforce Webアプリケーションの登録】
①Accessで[カタログ] > [Webアプリケーション] を選択し、「新規」をクリックする。
③構成にて「URL/XML」を選択し、シングルサインオン設定にてダウンロードした「SAMLSP-<Salesforceのテナント名の一部>.xml」の内容をURL/XMLに貼り付け、「次へ」をクリックする。
④「アクセスポリシー」画面が表示される。表示されたメニューより、作成されたポリシーを選択する。その後、「次へ」をクリックする。
※アクセスポリシーについては過去の記事を参照
⑥アプリケーションに、Salesforceアプリが追加されたことを確認し、「編集」をクリックする。
⑦構成でユーザー名の形式を「ユーザー プリンシパル名」、ユーザー名の値を「${user.userPrincipalName}」に変更する。
⑧高度なプロパティを開き、署名アルゴリズムにて「RSA SHA256」を、ダイジェスト アルゴリズムにて「SHA256」を選択する。
⑨サマリ画面で「保存して割り当て」をクリックし、SSOを利用するユーザー/グループに割り当てる。
【UEM:アプリ配信】
① Workspace ONE UEMにログインする。
② 「Salesforce」アプリを配信する。
キーの説明は以下サイトをご参照ください。
Salesforce Mobile SDK アプリケーションでの MDM の使用 | Mobile SDK 開発ガイド | Salesforce Developers
【まとめ】
Workspace ONE でSalesforceにシングルサインオン方法を紹介しました。
シングルサインオン系はWorkspace ONE 的には似たような設定になってしまいますが、自分の復習と備忘も兼ねてテストしてみたものは記事にしていきたいと思います。
