お問い合わせ内容
OneLoginとSalesforceをSAMLで連携させる詳細手順を教えてください。
また、以下のような場合、OneLoginでの対応方法が知りたいです。
- Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない場合
- SalesforceのメールアドレスをユーザーIDとして利用していない場合
ご回答
OneLoginとSalesforceをSAML連携させて認証を行うには、以下の手順で設定を行います。
OneLoginの設定方法
- OneLoginに管理者権限でログインします
- 管理メニューを開きます
- Apps>AddAppsへ移動します
- Salesforceコネクタを検索して選択します

- SAML2.0が選択されていることを確認して、SAVEを押します
※必要に応じてコネクタの表示名を変更できます
- Configurationタブへ移動します
- Salesforce Login URLのフィールドにSalesforceのログインURLを入力します
ログインURLは、以下のような形式になりますhttps://login.salesforce.com?so=<Your Organization ID>
Salesforceの組織IDがわからない場合は、Salesforceの設定画面から組織のプロファイル>組織情報から確認できます
- SAVEを押して保存します
- Parameterタブを選択します
- Credentials areの項目が
Configured by adminに設定されていて、マッピングがUser ID → Emailになっていることを確認します
Locale, Permission Sets, Profile, Role, and Time Zoneの項目は、Salesforceによって設定されて、組織の構成に基づいてマッピングされます。 - SAVE を押して保存します
- SSOタブを選択します
- SAML2.0 Endpoint(HTTP)をコピーしておきます
- Issuer URLをコピーしておきます

- View Details を押します

- X.509 PEM を選択します

- Download を押して X.509証明書 をダウンロードします

次のSalesforceの設定項目では、Issuer URL、SAML Endpoint、X.509証明書 をSalesforceに入力し、SAML SSO接続を確認します。
Salesforceの設定方法
Salesforceの管理者ダッシュボードから、以下の設定を行います。
- 管理者メニューから
セキュリティコントロール>シングルサインオン設定へ移動します
- 編集を選択します

- SAMLを有効化のチェックボックスをクリックし、保存を押します

- Salesforce SSOプロファイルを作成するために 新規を選択します

- SAMLシングルサインオン設定ページで、以下のようにフォームに記入します
Name: OneLogin API Name: OneLogin Issuer: Issuer URL copied from your app’s SSO tab in OneLogin Entity ID: https://saml.salesforce.com Identity Provider Certificate: Click Choose File and upload the X.509 PEM file you downloaded from your app’s SSO tab in OneLogin. Request Signing Certificate: Default Certificate Request Signature Method: RSA-SHA1 Assertion Decryption Certificate: Assertion not encrypted SAML Identity Type: Username SAML Identity Location: Subject Identity Provider Login URL: SAML Endpoint URL copied from your app’s SSO tab in OneLogin Identity Provider Logout URL: -blank- Custom Error URL: -blank- Service Provider Initiated Request Binding: HTTP POST - 保存を押します
OneLogin と Salesforce のセットアップが完了すると、OneLoginとSalesforceはSAMLを利用して接続されます。
困ったときの対応方法
以下の二点で困ったときの対応方法について紹介します。
- Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない場合
- SalesforceのメールアドレスをユーザーIDとして利用していない場合
(1) Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない場合
Salesfoce管理者メールアドレスと、OneLogin管理者メールアドレスが一致していない運用を行っている場合があります。その場合、以下を実行することで問題解決できます。
- OneLoginでUsersへ移動してアカウントオーナーを選択します
- Applicationsタブを選択します
- Salesforce Applicationを選択することでSalesoforceログインの編集のウィンドウが開きます
Salesforceログインに記載されているデフォルトのフィールドを、OneLogin管理者とSalesforce管理者情報が一致するように上書きを行います

(2) SalesforceのメールアドレスをユーザーIDとして利用していない場合
Salesforceへの認証は、OneLoginユーザーのメールアドレスを利用して認証を行います。
しかし、メールアドレスをユーザーIDとして利用していないケースも考えられます。
例えば、ユーザー mightは複数のSalesforceアカウントにアクセスできます。
OneLoginではユーザーのログインレコードを編集することで、ユーザーに別のIDを指定することができます。
Users>All Usersへ移動し、設定するユーザーを選択して、ユーザーのログインレコードを編集します。
