Marketing Cloud シングルサインオン (SSO) 実装の概要

主要な用語:

SAML: - Security Assertion Markup Language
SAML2: - Security Assertion Markup Language の第 2 イテレーション
ID プロバイダ (IDP): プリンシパルの ID 情報を作成、維持、管理し、Web ブラウザプロファイルなど、フェデレーション内の他のサービスプロバイダにプリンシパル認証を提供するサービスプロバイダ(ADFS、Okta、Salesforce.com、Ping Federated など)
プリンシパル: ID を認証できるシステムエンティティ(X.811 IT セキュリティ標準)
サービスプロバイダ (SP): システムエンティティがプリンシパルまたは他のシステムエンティティにサービスを提供する場合の、システムエンティティのロール(Salesforce Marketing Cloud は SP として Shobbleth を使用)

SFMC に対する SAML2 IDP の SSO インテグレーションを完了するための一般的な手順は、次のとおりです。

注意: このガイドは教育のみを目的としており、実際の実装は IDP 設定によって異なる場合があります。IDP 固有の要求については、IDP ベンダーまたは IT チームに相談してください。

1.SSO の有効化

A) Salesforce Marketing Cloud アカウントで SSO を有効にします。SSO は Enterprise アカウントですでに有効になっている可能性があります。確認するには、MC インスタンスのメイン Enterprise アカウント ID にログインしてから、[セットアップ] > [管理] > [データ管理] > [キー管理] に移動します。b) SSO が有効になっている場合、[SSO メタデータ] ラジオボタンが表示されます。このラジオボタンが UI に表示されていない場合、SSO が有効になっていないか、ビジネスユニット内にいます。エンタープライズレベルのビジネスユニットを使用しており、SSO が有効になっていない場合は、アカウントの SSO を有効にするようにサポートにケースを登録してください。

注意: 一度に有効にできる SSO メタデータは 1 つのみです。

2.SAML メタデータの取得

SSO が有効化されたら、MC アカウントから SAML メタデータを取得する必要があります。[セットアップ] > [設定] > [セキュリティ] > [セキュリティ設定] > [シングルサインオン設定] > [SSO SAML メタデータ] (ボタン) の下にあります。URL は次のようになります。

https://TenantSpecificEndpoint.login.exacttarget.com/SFMCMetadata

注意: 証明書バージョンを選択するオプションがある場合、最新の有効期限があるバージョン (Jan 2021 - mc.login.exacttarget.com (expires February 5, 2022) など) を選択します。

3.IDP への適用

次に、SFMC メタデータを IDP に適用する必要があります。

4.キーの作成

SFMC メタデータが適用されたら、IDP からメタデータを取得し、SFDC の [キー管理] セクションに入力します。組織内で、[セットアップ] > [管理] > [データ管理] > [キー管理] に移動します。IDP メタデータを SFMC 設定に入力するには、<NameIDFormat> 値が必要です。<NameIDFormat> が欠落しているか無効であるというエラーが発生した場合、メタデータに次の行のいずれかを追加します。<NameIDFormat> が誤った場所にある場合もエラーになります。

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat>

<NameIdFormat> は、</KeyDescriptor> 終了タグと <SingleSignOnService> 開始タグの間に置く必要があります。

</md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat> <md:SingleSignOnService ...>

注意: MD: は XML 名前空間であり、IDP メタデータでそれを使用していないか異なる場合は、それに応じて削除または変更する必要があります。<NameIDFormat> 開始タグと終了タグは、終了 <KeyDescriptor> と開始 <SingleSignOnService> 要素で使用される名前空間に一致する必要があります。

5.キーの保存

次に、[保存] をクリックします。キーが受け入れられると、緑色のバナーが表示され、キーが正常に保存されます。エラーが発生して問題を解決できない場合は、サポートケースを登録してください。

6.SSO 設定の有効化

緑色のバナーが表示されてキーを配置したら、[セットアップ] > [設定] > [セキュリティ] > [セキュリティ設定] > [シングルサインオン設定] > [SSO を有効化] で設定を選択またはオンにして [保存] を選択することで、MC アカウントの SSO を有効にする必要があります。注意: [SSO ログインの ID 検証を要求しない] は省略可能です。注意: 証明書バージョンは異なる場合があります。または、複数のバージョンがリストされている場合があります。

7.ユーザの SSO 設定の定義

次に、[セットアップ] > [ユーザー] > [ユーザー] に移動して、ユーザをクリックします。[SSO を有効化] オプションを選択して、IDP 側で設定されたフェデレーション ID を追加します。値が不明な場合は、IDP または IT チームに確認して、続行するためにその情報を収集する必要があります。

注意: SSO の有効化でよくある状況は、ログインしようとしているエンドユーザがユーザパスワードをリセットできないか、mc.exactarget.com URL を介してログインできないことです。SSO が有効になっている場合、ユーザとパスのログインルートは無視されます。エンドユーザは [セットアップ] > [設定] > [セキュリティ] > [セキュリティ設定] > [編集] > [シングルサインオン設定] > [Marketing Cloud SP が開始したリンク] で指定された SP が開始したリンク、または会話を開始するダッシュボードや別の方法経由の IDP が開始した接続を介してのみログインできるため、これは設計どおりの動作です。すべての mc.exacttarget.com 要求が受信されますが、[SSO を有効化] ボックスが有効になっているユーザの場合は処理されません。これはユーザごとに適用されます。

注意 ii: SSO を使用している場合、SFMC MFA は必要ありませんが、SSO IDP プロバイダが MFA サポートを有効にする必要があります - 詳細はこちら。

8.SSO 設定のテスト

新しく指定された SSO ユーザは、シークレットウィンドウまたは消去されたばかりのキャッシュブラウザを介してテストします。エラーが発生した場合は、サポートにケースを登録してください。問題なくログインできた場合、さらに SSO ユーザを実装できます。ベストプラクティス: アカウントを復元して SFMC にログインし、SSO 設定の問題を修正できるように、少なくとも 1 人の管理ユーザは SSO に接続しないでください。