#OneLogin Salesforce SAML設定

この記事は以下のヘルプセンターを非公式に翻訳したものです。
https://support.onelogin.com/hc/en-us/articles/201173414-Configuring-SAML-for-Salesforce

この記事では、SAMLを利用してSalesfoceのユーザーにシングルサインオン(SSO)を行えるようにするためのOneLoginの設定手順を紹介します。

概要は以下の動画からご覧いただけます。

OneLogin側の設定

OneLoginの管理画面から以下の操作を行います。

1.“Apps > AddApps”へ移動します。
2. SalesforceのSAML 2.0コネクタを検索して、選択します。
必要に応じてコネクタの表示名を変更します。
3.”SAVE”を押します。
4.”Configuration”タブへ移動します。
5.”Salesforce Login URL”のフィールドに、SalesforceのログインURLを入力します。

config_salesforce

ログインURLは
https://login.salesforce.com?so=<Your Organization ID>
のような形式になります。
Salesforceの組織IDがわからない場合は、Salesforceの設定画面から”組織のプロファイル>組織情報”から確認できます。

6.”SAVE”を押します。
7.”Parameters”タブを選択します。
8.”Credentials are”の項目が”Configured by admin”に設定されていて、マッピングが”User ID → Email”になっていることを確認します。

params_salesforce

Locale, Permission Sets, Profile, Role, and Time Zoneの項目は、Salesforceによって設定されて、組織の構成に基づいてマッピングされます。

9.”SAVE”を押します。
10.”SSO”タブを選択します。
11.SAML2.0 Endpoint(HTTP)をコピーしておきます。
12.Issuer URLをコピーしておきます。

sso_salesforce

13.”View Details”を押します。
14.”X.509 PEM”を選択します。
15. ”Download”を押して”X.509証明書”をダウンロードします。

次の設定項目では、”Issuer URL”、”SAML Endpoint”、”E.509証明書”をSalesforceに入力し、SAML SSO接続を確認します。

Salesforce側の設定

Salesforceの管理者ダッシュボードから、以下の設定を行います。

1. 管理者メニューから “セキュリティのコントロール>シングルサインオン設定”へ移動します。
2. SAMLを利用したフェデレーション シングル・サインオンで"編集"を選択し、"SAMLを有効化"のチェックボックスをクリックし、"保存"を押します。
3. Salesforce SSOプロファイルを作成するために、"新規"を選択します。
4. SAMLシングルサインオン設定ページで、以下のようにフォームに記入します。
Name: OneLogin
API Name: OneLogin
Issuer: Issuer URL copied from your app’s SSO tab in OneLogin
Entity ID: https://saml.salesforce.com
Identity Provider Certificate: Click Choose File and upload the X.509 PEM file you downloaded from your app’s SSO tab in OneLogin.
Request Signing Certificate: Default Certificate
Request Signature Method: RSA-SHA1
Assertion Decryption Certificate: Assertion not encrypted
SAML Identity Type: Username
SAML Identity Location: Subject
Identity Provider Login URL: SAML Endpoint URL copied from your app’s SSO tab in OneLogin
Identity Provider Logout URL: -blank-
Custom Error URL: -blank- 
Service Provider Initiated Request Binding: HTTP POST

sfsso

5. "保存"を押します。

OneLoginとSalesforceのセットアップが完了すると、OneLoginとSalesforceはSAMLを利用して接続されます。

トラブルシューティング-メールアドレス不一致

Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない運用を行っている場合があります。
その場合、以下を実行することで問題を解決できます。

1. OneLoginで"Users"へ移動してアカウントオーナーを選択します。
2. "Applications"タブを選択します。
3. “Salesforce Application”を選択することで”Salesoforceログインの編集”のウィンドウが開きます。

Salesforceログインに記載されているデフォルトのフィールドを、OneLogin管理者とSalesforce管理者情報が一致する用に上書きを行います。

ユーザーID

Salesforceへの認証は、OneLoginユーザーのメールアドレスを利用して認証を行います。
しかし、メールアドレスをユーザーIDとして利用していないケースも考えられます。
例えば、ユーザー"might"は複数のSalesforceアカウントにアクセスできます。
OneLoginではユーザーのログインレコードを編集することで、ユーザに別のIDを指定することができます。
"Users>All Users"へ移動し、設定するユーザーを選択して、ユーザーのログインレコードを編集します。

ディープリンク

メールアドレスのSalesoforceリンクをクリックすると、Salesforceの要求されたベージに直接移動します。
OneLoginにログインしていない場合は、認証を行うことで、リンクを開くことができます。
これは、最初のログインが成功後、ブラウザでcookieが正常に設定されると直接リンクが開けるようになります。

Show your support

Clapping shows how much you appreciated Kei Miyazawa’s story.