Salesforce モバイルアプリケーション - SSO (シングルサインオン) の概要

はじめに

• 設定が Salesforce 開発者ドキュメント「Microsoft AD FS を ID プロバイダとして使用した Salesforce への SSO の設定」に準拠していることを確認してください。

Salesforce モバイルアプリケーション に SSO を実装する

私のドメインを有効にする

フォームベースのログインページ

• 私のドメインを入力後、ユーザがネットワークのユーザ名、および、パスワードを入力するためのフォームを持つ Web ページを設定する必要があります。
• 統合 Windows 認証 (NTLM)、または、その他の資格情報プロンプトなど、他の方法は Salesforce モバイルアプリケーションによって処理されません。エラーメッセージ (401 challenge error) 、もしくは、白い画面が表示される可能性が高いです。
• ADFS 2.0 を使用する組織の、この種のログインページの設定については、次の Microsoft 社の記事を参照してください。

RelayState

• SAML サービスは、Salesforce モバイルアプリケーションから SAML プロセスを開始する時、RelayState を含みます。認証後に OAuth 設定を開始するため、ID プロバイダは RelayState を Salesforce にエコーバックします。
• サーバにすべてのロールアップパッチをインストールした後の、ADFS 2.0 の RelayState サポートについては、 Microsoft 社の記事 Supporting Identity Provider Initiated RelayState (英語) を参照してください。

HTTP POST または HTTP Redirect バインディング

よくある問題

• Salesforce モバイルアプリケーションインターフェースで、SAML および私のドメインを使用してログインすると、フルサイトのインターフェースが表示されます。
  • RelayState が当初 SAML サービスから提供されたものと正確に一致していないため、承認プロセスが Salesforce の OAuth 設定にダイレクトされません。
  • ID プロバイダの RelayState 設定を確認し、正しく RelayState を取得し、Salesforce の SAML サービスへ返していることを確認してください。
  • Salesforce 組織の SAML セクションの ID プロバイダのログイン URL に、この URL へダイレクトする時に渡される他のパラメータが含まれないことを確認してください。
  • 参照: SAML 2.0 認証での OAuth、relayState は 80 文字より長い可能性があります。

• 私のドメイン URL を入力すると、401 エラーメッセージ、もしくは、白い画面が表示されます。
  • これは、ADFS が Windows 統合認証 (NTLM プロンプト) を使用するように設定されている場合に発生します。 Salesforce モバイルアプリケーションはこの方法をサポートしていません。
  • フォームベースのログインページを ADFS 管理者が設定する必要があります。
  • イントラネットのフォームベース認証を設定するための Microsoft の回避策については、Microsoft の記事「Windows 統合認証 (WIA) をサポートしていないデバイスでイントラネットのフォーム ベースの認証を構成する」を参照してください。

• SAML アサーションが「InResponseTo: Invalid.」で失敗します。

• Salesforce モバイルアプリケーションで何度も証明書関連のエラーが発生します。 
  • 多くの場合、この問題は Salesforce サポートで解決することはできません。
  • 貴社内の SSO チームまたは IT チームで、新しい証明書をアップロードするか、現在の証明書をネイティブデバイスにインストール、またはロードする必要がないことを確認してください。

• 404 Error - File or directory not found. The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.
  • このエラーは、URL 内でリクエストを送信するときに HTTP リダイレクトバインディングを使用することに主に関連しています。これにより、Microsoft IIS のセキュリティ制限である 2048 の制限を超えてリクエストが拡張され、結果として 404 エラーが返されます。
  • この問題を回避するには、ここで Miscrosoft の例を参照して、エラーを発生させるサーバーの制限を拡張することができます。
  • あるいは、リクエストのバインディングを POST に調整して、代わりにこの ID プロバイダがこのバインディングを受け入れるように設定することもできます。 

• SSL エラーが発生し、サーバーへのセキュリティで保護された接続を確立できません。
  • ユーザがこのエラーに遭遇した場合のベストプラクティスは、iOS とアプリケーションを入手可能な最新バージョンにアップグレードすることです。「Salesforce モバイルアプリケーションの要件」を参照してください。
  • Salesforce は IT/セキュリティチームがシングルサインオンサーバを TLS 1.2 に対応するようにアップグレードすることをお勧めします。
  • App Transport Security (ATS) は iOS 9 で導入された Apple のセキュリティプロトコルです。Apple は iOS 11 でローカルホストおよび Web コンテンツに対してこれを無効化するためのより詳細なオプションを追加しました。
  • ATS が無効化されている場合、iOS は TLS 1.0 バージョンのレコードレイヤーを使用します (最終的に TLS 1.2 がネゴシエートされるとしても)。有効化されている場合、レコードレイヤーは TLS 1.2 です。これは RFC 準拠サーバにとっては問題ありません。
  • このエラーは、組織の ID プロバイダの Web サイト証明書に有効な証明書あるいは完全な証明書チェーンが含まれていない場合に発生する可能性があります。オンサイトツールまたはサードパーティの SSL 評価 Web サイトを使用して証明書をチェックし、完全な証明書チェーンがあることを確認することをお勧めします。

• OAuth エラー。1800.  
  • リモートアクセスの設定に問題があります。このエラーは、ID プロバイダが SAML リクエストで RelayState の値のエンコーディングに失敗したか一部を切り捨てたためにソースの値が失われた場合に発生します。
  • このソースの値は、どのモバイルアプリケーションに接続しようとしているのかを特定し、OAuth アクセストークンを取得します。Salesforce に戻る SAML 応答が、最初のリクエストで Salesforce から提供されたものと完全に同じになるようにしてください。

• Google SSO 使用時の「Error 403: disallowed_useragent」
  • 標準アプリケーションの Web ビューでは、Open ID を使用した iOS デバイスでの Google 認証は動作しません。
  • 回避策については、下記の「高度な認証」のセクションを参照してください。

高度な認証

• iOS および Android での追加の認証フォーム。
  • Salesforce の標準アプリケーション Web ビューで機能しない、Open ID を使用した iOS デバイスでの Google 認証や Azure/Intune の条件付きアクセスポリシーが含まれます。
  • 注: この高度な認証は、モバイルアプリケーションを介したコミュニティへのログインには使用できません。
• 上記の高度な認証の例に対する回避策。
  • 「私のドメインの設定」「... のユーザ認証にネイティブブラウザを使用する」を使用して対応できます。 
  • 手順の詳細については、「モバイル認証方法を使用した [私のドメイン] ログインページのカスタマイズ」を参照してください。
• MDM 制御および証明書ベースの認証の実装を検討するには、「Salesforce for Android and iOSの MDM および EMM サポートとトラブルシューティング」を参照してください。