OneLoginとSalesforceをSAML連携させる方法を教えてください

お問い合わせ内容

OneLoginとSalesforceをSAMLで連携させる詳細手順を教えてください。

また、以下のような場合、OneLoginでの対応方法が知りたいです。

  • Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない場合
  • SalesforceのメールアドレスをユーザーIDとして利用していない場合

ご回答

OneLoginとSalesforceをSAML連携させて認証を行うには、以下の手順で設定を行います。

OneLoginの設定方法

  1. OneLoginに管理者権限でログインします
  2. 管理メニューを開きます
  3. Apps>AddAppsへ移動します
  4. Salesforceコネクタを検索して選択します

    2017-05-11_15h19_32.png
  5. SAML2.0が選択されていることを確認して、SAVEを押します
    ※必要に応じてコネクタの表示名を変更できます

    2017-05-11_15h19_41.png
  6. Configurationタブへ移動します
  7. Salesforce Login URLのフィールドにSalesforceのログインURLを入力します
    ログインURLは、以下のような形式になります
    https://login.salesforce.com?so=<Your Organization ID>
    Salesforceの組織IDがわからない場合は、Salesforceの設定画面から組織のプロファイル>組織情報から確認できます

    2017-05-11_15h24_45.png
  8. SAVEを押して保存します
  9. Parameterタブを選択します
  10. Credentials areの項目が Configured by adminに設定されていて、マッピングが User ID → Email になっていることを確認します

    2017-05-11_15h27_21.png
    Locale, Permission Sets, Profile, Role, and Time Zoneの項目は、Salesforceによって設定されて、組織の構成に基づいてマッピングされます。
  11. SAVE を押して保存します
  12. SSOタブを選択します
  13. SAML2.0 Endpoint(HTTP)をコピーしておきます
  14. Issuer URLをコピーしておきます

    2017-05-11_15h29_54.png
  15. View Details を押します

    2017-05-11_15h35_17.png
  16. X.509 PEM を選択します

    2017-05-11_15h37_34.png
  17. Download を押して X.509証明書 をダウンロードします

    2017-05-11_15h35_44.png

次のSalesforceの設定項目では、Issuer URLSAML EndpointX.509証明書 をSalesforceに入力し、SAML SSO接続を確認します。

Salesforceの設定方法

Salesforceの管理者ダッシュボードから、以下の設定を行います。

  1.  管理者メニューから セキュリティコントロール>シングルサインオン設定へ移動します

    2017-05-11_15h45_27.png
  2. 編集を選択します

    2017-05-11_15h47_54.png
  3. SAMLを有効化のチェックボックスをクリックし、保存を押します

    2017-05-11_15h49_10.png
  4. Salesforce SSOプロファイルを作成するために 新規を選択します

    2017-05-11_15h49_40.png
  5. SAMLシングルサインオン設定ページで、以下のようにフォームに記入します
    Name: OneLogin
    API Name: OneLogin
    Issuer: Issuer URL copied from your app’s SSO tab in OneLogin
    Entity ID: https://saml.salesforce.com
    Identity Provider Certificate: Click Choose File and upload the X.509 PEM file you downloaded from your app’s SSO tab in OneLogin.
    Request Signing Certificate: Default Certificate
    Request Signature Method: RSA-SHA1
    Assertion Decryption Certificate: Assertion not encrypted
    SAML Identity Type: Username
    SAML Identity Location: Subject
    Identity Provider Login URL: SAML Endpoint URL copied from your app’s SSO tab in OneLogin
    Identity Provider Logout URL: -blank-
    Custom Error URL: -blank- 
    Service Provider Initiated Request Binding: HTTP POST
  6. 保存を押します

OneLogin と Salesforce のセットアップが完了すると、OneLoginとSalesforceはSAMLを利用して接続されます。

困ったときの対応方法

以下の二点で困ったときの対応方法について紹介します。

  • Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない場合
  • SalesforceのメールアドレスをユーザーIDとして利用していない場合

(1) Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない場合

Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない運用を行っている場合があります。その場合、以下を実行することで問題解決できます。

  1. OneLoginでUsersへ移動してアカウントオーナーを選択します
  2. Applicationsタブを選択します
  3. Salesforce Applicationを選択することでSalesoforceログインの編集のウィンドウが開きます

Salesforceログインに記載されているデフォルトのフィールドを、OneLogin管理者とSalesforce管理者情報が一致するように上書きを行います

2017-05-11_15h56_53.png

(2) SalesforceのメールアドレスをユーザーIDとして利用していない場合

Salesforceへの認証は、OneLoginユーザーのメールアドレスを利用して認証を行います。

しかし、メールアドレスをユーザーIDとして利用していないケースも考えられます。
例えば、ユーザー mightは複数のSalesforceアカウントにアクセスできます。

OneLoginではユーザーのログインレコードを編集することで、ユーザーに別のIDを指定することができます。
Users>All Usersへ移動し、設定するユーザーを選択して、ユーザーのログインレコードを編集します。

2017-05-11_16h00_12.png

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください