サービスプロバイダーとして Salesforce を使用した SAML SSO

SAML を使用して Salesforce をサービスプロバイダーとして設定すると、認証済みユーザーはサードパーティ ID プロバイダーから Salesforce に移動できます。

SAML により、ID プロバイダーは Salesforce とユーザー情報を交換できます。ユーザーがログインしようとすると、ID プロバイダーはユーザーに関する事実を含む SAML アサーションを Salesforce に送信します。Salesforce はアサーションを受信して、それを Salesforce の設定に対して検証し、ユーザーに組織へのアクセス権を付与します。

ユーザーがログインできない場合は、SAML ログイン履歴を確認して理由を判断します。SAML アサーション検証を使用して、SAML アサーションのエラーのトラブルシューティングを行います。

• SAML サービスプロバイダーとして Salesforce を使用した SSO の設定
  SAML シングルサインオン (SSO) を使用するサービスプロバイダーとして Salesforce 組織または Experience Cloud サイトを設定します。この SAML 設定を使用すると、ユーザーは外部 ID プロバイダーのログイン情報を使用して Salesforce にログインできます。
• SAML アサーションを暗号化するための外部 ID プロバイダーの設定
  SAML シングルサインオン (SSO) 設定で Salesforce をサービスプロバイダーとして設定する場合、保存された証明書を選択して、外部 ID プロバイダーからの受信アサーションを復号化できます。以下の手順は、外部 ID プロバイダーが SAML アサーションを暗号化できるように SSO 設定を編集する方法を示しています。
• SAML の開始ページ、ログインページ、ログアウトページ、およびエラーページのカスタマイズ
  Salesforce への SAML シングルサインオン (SSO) を設定する場合、SSO フロー全体でユーザーに表示されるページの URL を定義します。ID プロバイダーがスタートページ、ログインページ、およびログアウトページの URL を提供できます。または、これらのページの独自の URL を指定できます。カスタムエラーページを指定することもできます。
• サンプル SAML アサーション
  Salesforce は、ID プロバイダーから送信されるいくつかの SAML アサーション形式をサポートしていますが、暗号化されたアサーションやジャストインタイム (JIT) プロビジョニングなどの特定の機能では追加の要件があります。Salesforce 組織で使用する SAML アサーションの形式を ID プロバイダーが判断するために役立つ、次の例を共有してください。
• シングルサインオン設定の表示と編集
  SAML を使用するように Salesforce 組織を設定したら、SAML 設定を [シングルサインオン設定] ページから管理できます。
• ログイン履歴のレビュー
  ユーザーがシングルサインオン (SSO) で組織へのログインに失敗した場合は、ログイン履歴を検索してその理由を確認します。たとえば、ログインの失敗が SAML アサーションに関連しているか Salesforce 設定に関連しているかを確認します。
• Microsoft AD FS を ID プロバイダーとして使用した Salesforce への SSO の設定
  Microsoft Active Directory フェデレーションサービス (AD FS) 2.0 を使用してユーザーが Microsoft 環境から Salesforce 組織にログインできるようにします。 Microsoft AD FS は、シングルサインオン認証の ID プロバイダーとして機能します。
• SAML 用のジャストインタイムプロビジョニング
  ジャストインタイム (JIT) プロビジョニングを使用して、ユーザーが SAML ID プロバイダーで初めてログインしたときに、Salesforce 組織にユーザーアカウントを自動的に作成します。JIT プロビジョニングはユーザーをプロビジョニングしたりユーザーアカウントを事前に作成したりする必要がないため、作業負荷を軽減して時間を節約できます。