シングルサインオンの使用事例
ユーザーが Salesforce 組織とアプリケーションの間を何度もログインし直すことなくシームレスに移動できるようにするには、シングルサインオン (SSO) を設定します。使用事例によっては、ユーザーが企業のポータルなどサードパーティアプリケーションから Salesforce 組織にログインするように SSO を設定できます。また、ユーザーが Salesforce 組織から別のアプリケーションにログインできるように設定することもできます。さらに、SSO チェーンを設定すると、ユーザーはサードパーティアプリケーションにログインして Salesforce にアクセスした後、Salesforce を使用して別の組織にアクセスすることもできます。もしくは、ユーザーが同じログイン情報を使用して複数のアプリケーションにそれぞれログインするようなログイン環境も設定できます。
必要なエディション
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience の両方 |
統合認証を使用可能なエディション: すべてのエディション 代理認証を使用可能なエディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition 認証プロバイダーを使用可能なエディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition |
サービスプロバイダーまたは証明書利用者としての Salesforce
ID プロバイダーまたは認証プロバイダーがすでに会社に存在する場合は、Salesforce をサービスプロバイダー (証明書利用者) として設定できます。ユーザーは、ID プロバイダーまたは認証プロバイダーによってログイン情報が認証され、組織にログインします。この使用事例では、SAML で ID プロバイダーを定義するか、OpenID Connect を使用した定義済み認証プロバイダーを使用するか、またはカスタム認証プロバイダーを作成できます。
SAML を使用して Salesforce をサービスプロバイダーとして設定すると、認証済みユーザーはサードパーティ ID プロバイダーから Salesforce に移動できます。たとえば、会社の IT 部門で Microsoft Active Directory (AD) を ID プロバイダーとして使用しているとします。ユーザーが組織のログインページからログインすると、サービスプロバイダーとして動作している組織が、SAML 要求と共にユーザーを Microsoft AD に転送します。Microsoft AD は、ユーザーを認証する SAML アサーションを含む SAML 応答を返します。ユーザーはログインして組織のホームページに転送されます。
定義済み認証プロバイダーは、OpenID Connect プロトコルを使用して、サードパーティアプリケーションからの SSO を有効化します。たとえば、ユーザーが自分の Facebook アカウントのログイン情報を使用して組織にログインできるようにするとします。この場合は、Facebook を組織の認証プロバイダーとして設定します。組織のログインページには Facebook アイコンが表示されます。このアイコンを選択すると、ユーザーは Facebook のログインページに転送され、自分の Facebook ログイン情報を入力できます。Facebook によって認証されると、ユーザーは組織に転送されてログイン完了となります。Salesforce は、Apple や Google など、いくつかの定義済み認証プロバイダーをサポートしています。
アプリケーションが OpenID Connect をサポートしていない場合は、Apex を使用してカスタム認証プロバイダーを作成できます。
ID プロバイダーまたは OpenID Connect プロバイダーとしての Salesforce
Salesforce は、SAML または OpenID Connect を実装することで、サードパーティサービスプロバイダー (証明書利用者) に対する ID プロバイダーまたは認証プロバイダーとして動作することもできます。
たとえば、ユーザー認証に SAML を実装したカスタムの Your Benefits (従業員福利厚生) という Web アプリケーションを構築したとします。ユーザーが各自の Salesforce ログイン情報を使用して、このアプリケーションにログインできるようにしたいと考えています。この SSO フローを設定するには、Your Benefits (従業員福利厚生) Web アプリケーションを接続アプリケーションとして設定します。Salesforce 組織を、この接続アプリケーションの SAML ID プロバイダーとして定義します。これでユーザーが各自の Salesforce ログイン情報を使用して、Your Benefits (従業員福利厚生) アプリケーションにログインできるようになります。
また、OpenID Connect を使用して、Salesforce を OpenID プロバイダーとして有効化することもできます。たとえば、OpenID Connect をサポートするサードパーティのカスタマーサービスアプリケーションにユーザーが Salesforce 組織から直接ログインできるようにするとします。カスタマーサービスアプリケーション用の接続アプリケーションを作成し、Salesforce を認証プロバイダーとして設定します。Salesforce 認証プロバイダーは OpenID Connect を使用するため、OpenID プロバイダーとして動作します。
両方としての Salesforce
ID プロバイダー同士を連結することで、Salesforce を ID プロバイダーとサービスプロバイダーの両方として動作させることができます。ID プロバイダーは、SAML または OpenID Connect と排他的に連結できます。たとえば、ユーザーが Google から組織にログインして、モバイルカスタマーサービスアプリケーションに直接アクセスできるようにするとします。SAML 専用チェーンを作成するには、Google を組織の SAML ID プロバイダーとして設定します。その後、組織をモバイルカスタマーサービスアプリケーションの SAML ID プロバイダーとして設定します。
また、SAML と OpenID Connect の両方を実装するチェーンを作成することもできます。たとえば、ユーザーが Facebook から Salesforce、そして Workday に SSO で移動できるようにするとします。Facebook を組織の OpenID Connect プロバイダーとして設定します。その後、組織を Workday の SAML ID プロバイダーとして設定します。これによって、ユーザーが Facebook にログインすると、組織にアクセスでき、組織から Workday にもアクセスできるようになります。
Salesforce と代理認証
代理認証を使用すると、同じログイン情報で複数のアプリケーションにログインできます。たとえば、同じログイン情報で Salesforce、Google、そして Amazon にログインできます。各ユーザーが代理認証または Salesforce の管理パスワードのどちらを使用するかを制御できるように、代理認証は組織レベルではなくユーザー権限レベルで管理します。
会社で Lightweight Directory Access Protocol (LDAP) サーバーなどの集中型ログイン情報管理システムを使用している場合は、Salesforce に統合して代理認証を設定できます。また、パスワードではなくトークンで代理認証を設定することもできます。
