シングルサインオン

SSO を設定する場合、ユーザーの認証で 1 つのシステムが別のシステムを信頼するように設定するため、ユーザーは各システムに個別にログインする必要がなくなります。ユーザーを認証するシステムは、ID プロバイダーと呼ばれます。認証で ID プロバイダーを信頼するシステムは、サービスプロバイダーと呼ばれます。

たとえば、組織にアクセスするユーザーを認証する ID プロバイダーとして Google を設定できます。そのため、ユーザーは Google ログイン情報を使用して組織にログインします。この例では、組織はサービスプロバイダーとして機能し、ユーザーの正確な認証について Google を信頼します。

Salesforce 組織を ID プロバイダー、サービスプロバイダー、またはその両方として設定できます。これらの各使用事例で、使用する認証プロトコルを選択します。Salesforce は、SAML および OpenID Connect を使用した SSO をサポートしています。Salesforce には、Facebook などの独自の認証プロトコルがあるシステムで SSO を有効にするために使用できる、事前設定された認証プロバイダーも用意されています。詳細は、「シングルサインオン使用事例」を参照してください。Salesforce が ID プロバイダーになっている SAML SSO の実装を確認するには、この動画をご覧ください。

複数のサービスプロバイダーのユーザーを認証するように 1 つの ID プロバイダーを設定することもできます。たとえば、組織を ID プロバイダーとして有効にし、Workday と Office 365 をサービスプロバイダーとして設定できます。その場合、ユーザーは 1 回のログインで組織、Workday、および Office 365 にアクセスできます。

SSO を設定したら、ユーザーがサービスプロバイダーと ID プロバイダーから同時にログアウトできるようにシングルログアウトを設定します。

• シングルサインオンの使用事例
  ユーザーが Salesforce 組織とアプリケーションの間を何度もログインし直すことなくシームレスに移動できるようにするには、シングルサインオン (SSO) を設定します。使用事例によっては、ユーザーが企業のポータルなどサードパーティアプリケーションから Salesforce 組織にログインするように SSO を設定できます。また、ユーザーが Salesforce 組織から別のアプリケーションにログインできるように設定することもできます。さらに、SSO チェーンを設定すると、ユーザーはサードパーティアプリケーションにログインして Salesforce にアクセスした後、Salesforce を使用して別の組織にアクセスすることもできます。もしくは、ユーザーが同じログイン情報を使用して複数のアプリケーションにそれぞれログインするようなログイン環境も設定できます。
• シングルサインオンの用語
  自分の組織でシングルサインオン (SSO) を設定しようと考えているのであれば、先に主要な用語について理解しておいてください。
• シングルサインオンの FAQ
  これらのよくある質問 (FAQ) を確認して、シングルサインオン (SSO) の実装とトラブルシューティングに役立たせてください。
• シングルサインオン (SSO) を使用したログインをユーザーに要求
  デフォルトでは、シングルサインオンを設定すると、ユーザーは SSO プロバイダーまたは Salesforce からログインできます。ユーザーが SSO システムをスキップできないようにするには、Salesforce ユーザー名とパスワードを使用してログインできないようにして、SSO を使用してログインするようにします。Salesforce システム管理者が引き続き Salesforce にアクセスして SSO の停止やその他の問題に対処できるように、Salesforce システム管理者に SSO を要求しないことをお勧めします。
• SAML シングルサインオンフロー
  SAML (Security Assertion Markup Language) でシングルサインオン (SSO) を設定すると、サービスプロバイダーまたは ID プロバイダーからログインを開始できます。サービスプロバイダーの起動によるログインと ID プロバイダーの起動によるログインでは、それぞれ異なるフローを使用しますが、どちらもユーザーはサービスプロバイダーにログインします。
• サービスプロバイダーとしての Salesforce
  ユーザーが ID プロバイダーまたは認証プロバイダーからのログイン情報で Salesforce 組織にログインできるようにシングルサインオン (SSO) を設定します。この使用事例では、Security Assertion Markup Language (SAML) で ID プロバイダーを定義できます。また、定義済み認証プロバイダーを使用したり、OpenID Connect 認証プロバイダーを設定したり、カスタム認証プロバイダーを作成したりすることもできます。
• ID プロバイダーとしての Salesforce
  Salesforce ログイン情報で外部サービスプロバイダーまたは証明書利用者にログインできるようにシングルサインオン (SSO) を設定します。Salesforce 組織を SAML ID プロバイダーとして有効化し、サービスプロバイダーを SAML 外部クライアントアプリケーションまたは接続アプリケーションとして統合できます。また、OpenID Connect を使用して、証明書利用者と組織を統合することもできます。
• SSO 用のサービスプロバイダーおよび ID プロバイダーとしての Salesforce
  認証のニーズに応じて、ID プロバイダーチェーンの作成、複数の組織または Experience Cloud サイトへの SAML シングルサインオン (SSO) の設定、または定義済みの Salesforce 認証プロバイダーの使用を行うことができます。ユーザーがサードパーティ ID プロバイダーから Salesforce にログインしてクライアントアプリケーションにすぐにアクセスできるようにする場合は、ID プロバイダーチェーンを設定します。ユーザーが 1 つのログイン情報セットで複数の組織またはサイトにアクセスできるようにするには、複数の組織またはサイト間で SAML SSO を設定します。また、ユーザーの認証と保護されたデータへのアクセスの承認を行う Salesforce 認証プロバイダーを使用して、2 つの組織間の SSO を設定することもできます。
• ポータルとサイトのシングルサインオン
  ポータルとサイトのシングルサインオン (SSO) を設定できます。Summer '13 リリースの時点では、新しい組織にカスタマーポータルとパートナーポータルを使用できなくなります。代わりに、Experience Cloud サイトを使用します。
• シングルサインオンの例
  シングルサインオン (SSO) プロセスで複数の異なるロールを実行するように Salesforce を設定できます。このセクションでは、Salesforce とサードパーティアプリケーションを SSO 用に設定する方法の例を示します。
• シングルログアウト
  シングルログアウト (SLO) を使用すると、ユーザーは ID プロバイダーまたはサービスプロバイダーのいずれかからログアウトすることで、両方からログアウトできます。Salesforce がサービスプロバイダーか ID プロバイダーかに関係なく、SAML または OpenID Connect を使用して SLO を有効化できます。SLO は、個々のアプリケーションすべてから手動ログアウトを削除することで、セキュリティを強化し、ユーザーの時間を節約できます。
• 代理認証
  代理認証はシングルサインオン (SSO) に似ていますが、ユーザーの操作が若干異なります。代理認証では、システムが別のシステムを使用してユーザーのログイン情報を検証します。たとえば、Lightweight Directory Access Protocol (LDAP) サーバーを使用してログイン情報を検証するように Salesforce 組織を設定できます。SSO と代理認証の両方とも、ユーザーは 1 セットのログイン情報で複数のアプリケーションにログインできます。ただし代理認証では、ユーザーが各アプリケーションに個別にログインする必要があります。