Salesforce Marketing Cloud - Azure SSO 実装

Azure 設定

1. Azure ポータルから、左側のナビゲーションパネル (左パネル) で [Azure Active Directory service (Azure Active Directory サービス)] を選択します。
2. [Enterprise Applications (エンタープライズアプリケーション)] に移動して、[All Applications (すべてのアプリケーション)] を選択します。
3. 新しいアプリケーションを追加するには、[New application (新しいアプリケーション)] を選択します。
4. [Create your own application (独自のアプリケーションを作成)] ボタンをクリックします。
5. わかりやすい名前を [What's the name of your app ? (アプリケーションの名前は?)] 項目に入力します。
6. [What are you looking to do with your application? (アプリケーションで何をしますか?)] セクションでオプションを選択します。
7. [Create (作成)] をクリックします。

アプリケーションがテナントに追加されている間、数秒間待機します。Azure Active Directory 内に、Marketing Cloud で SSO を使用するための新しいサードパーティエンタープライズアプリケーションが作成されます。 
 

1. エンタープライズアプリケーションを選択したら、[Setup Single Sign-on (シングルサインオンの設定)] オプションを選択する必要があります。
2. [SAML] を選択します。
3. 次に SFMC 側から [設定] > [セキュリティ設定] > [シングルサインオン設定] に移動して、[メタデータのダウンロード] ボタンをクリックします。
4. 新しいブラウザタブをクリックするか、ファイルのダウンロード(通常は SFMCMetadata.xml) を確認します。または、ファイルを右クリックして XML ドキュメントとして保存します。
5. 次に、以前作成した Azure アプリケーションで [Upload metadata file (メタデータファイルのアップロード)] ボタンをクリックします。
6. 右側のファイルフォルダをクリックします。
7. 手順 4 の XML ファイルを選択します。
8. [Open (開く)] をクリックします。
9. 最後に [Add (追加)] をクリックします

このファイルが処理されるまで数秒かかる場合があります。完了したら、基本的な SAML 設定が表示されます。

完了したら、[Save (保存)] を選択します。次に、Base64 署名証明書をダウンロードします。これは、「ポイント 3」の [シングルサインオン] ページにあり、上記のステップ ([証明書 (Base64)] > [ダウンロード)]) に基づいてダウンロードされています。
 

Marketing Cloud 設定

SSO に関するヘルプドキュメントは、こちらを参照してください。  必要なすべてのことがヘルプドキュメントに記載されていますが、以下は、Azure 固有の設定を捕捉するのに役立ちます。

Marketing Cloud SSO は、Marketing Cloud 管理者であるユーザが [設定] で有効化します。[設定] タブにアクセスし、[キー管理] で鍵を作成します。  

1. [キー管理] から [作成] をクリックして、新しい SSO 鍵を作成します。
2. [SSO メタデータ] を選択します。
3. 「Azure SSO Key」 (Azure SSO 鍵) などの [名前] (任意のわかりやすい名前) を入力します。
4. [ガイド付き構成] オプションを選択します。
5. Azure Active Directory から IDP 証明書をアップロードします。  これを以前にダウンロードしていない場合、これは、([証明書 (Base64)] > [ダウンロード]) の [シングルサインオン] ページにあります。
6. 他のすべての必須情報は、上述の SFMC アプリケーション > [シングルサインオン] の「ポイント 4」で Azure Active Directory から取得できます。 
   • エンティティ ID = Azure AD 識別子 
   • 名前 ID 形式 = Email Address (通常、変更していない場合)
   • シングルサインオンサービスの場所の URL: ログイン URL シングルサインオンサービスのバインディング: HTTP ポストまたは HTTP リダイレクト
   • シングルログアウトサービスの場所の URL: ログアウト URL シングルログアウトサービスのバインディング: HTTP ポストまたは HTTP リダイレクト

完了 & テスト

鍵を作成し、ユーザと共に Azure Active Directory を適切に設定したら、これを Marketing Cloud のテストユーザに対して有効にできます。  

1. [設定] に移動します。 
2. [ユーザ] を展開し、[ユーザ] を選択します。
3. SSO の有効化の対象とするユーザを見つけます。
4. ユーザの名前をクリックすると、その設定が表示されます。
5. [編集] をクリックします。
6. [シングルサインオン設定] のセクションを参照します。
7. [シングルサインオンを許可] チェックボックスをオンにします。
8. 統合 ID は Azure のユーザの統合 ID と一致する必要があります。通常、これはメールアドレス/ユーザ名の形式になっています。 
9. 統合 ID を追加して、保存します。
10. このユーザで SSO ログインをテストします。  
11. SP が開始したリンクを使用する（[設定] > [セキュリティ] > [セキュリティ設定] > [シングルサインオン設定] > [Marketing Cloud SP が開始したリンク] ）、または、
12. IDP が開始したリンクを使用する (Azure AD の [Home (ホーム)] > {対象のテナントの名前} > [Enterprise (エンタープライズ)] [Applications (アプリケーション)] > {SFMC SSO で使用するエンタープライズアプリケーションの名前} > [Manage (管理)] > [Properties (プロパティ)] > [User access URL (ユーザーのアクセス URL)] )

SP　が開始したリンクの例:
https://mcYYYYYYYYYYYYYYYYYYYYYYYYY.login.exacttarget.com/sso/YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY

IDP が開始したリンクの例:
https://myapps.microsoft.com/signin/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX?tenantId=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX