UNSUPPORTED_CONTACT_PERSONACCT_UPDATE個人取引先を持つ取引先責任者の更新
2. シングルサインオン Web サービスを作成します。
a.
Salesforce
で、[
設定]
から[クイック検索]ボックスに「代理認証 WSDL をダウンロード」と入力し、[代理認証 WSDL をダウンロード]を選択して、
Web
サービス記述言語(WSDL)
ファイルAuthenticationService.wsdl をダウンロードします。WSDL
は、代理認証シングルサインオンサービス を記述するもので、特定の実装を追加するサーバ側スタブを自動的に生 成するために使用できます。たとえば、Apache Axis
から入手できるWSDL2Java ツールでは、
--server-sideスイッチを使用できます。.NETから入手できる
wsdl.exe
ツールでは、/serverスイッチを使用できます。要求と応答のサンプルについての詳細は、「代理認証の SOAP メッセージ のサンプル」
(
ページ23)
を参照してください。b. 企業イントラネットまたはその他の社内でアクセス可能なサイトにリン クを追加し、そこで認証済みユーザの認証情報を取得し、それを
HTTP POST
経由で
Salesforce
ログインページに渡します。Salesforce
ではpassword項目はユーザに戻す場合以外には使用しないため、この項目にパスワードを入れて送信する必要はありません。代わり
に、
Kerberos Ticket
などの他の認証トークンを渡して、実際の企業パスワードが
Salesforce
との間でやりとりされないようにすることができます。Salesforce
代理認証機関を設定して、トークンのみを許可するか、トークンおよびパスワードのいずれかを受け付けるようにできます。機関がトークンのみを受け付ける場合、
Salesforce
ユーザは有効なトークンを作成できないため、直接Salesforce
にログインすることはできません。ただし、多くの企業はトークンとパスワードの両方を許可することを選択します。この環境の場 合、ユーザはまだログインページから
Salesforce
にログインできます。Salesforce
サーバからAuthenticateメッセージで認証情報が戻されたら、それを確認します。これでユーザはアプリケーションへのアクセス権が得られます。
3.
Salesforce
で、[
設定]
から[クイック検索]ボックスに「シングルサインオン」と入力し、[シングルサインオン設定]を選択し、[編集]をクリックして、組織のシングルサインオンゲートウェイ
URL
を指定します。URL
を[代理ゲートウェイ URL]テキストボックスに入力します。セキュリティ上の理由から、
Salesforce
では、指定できる送信ポートを、次のいずれかに制限します。•
80: このポートは、HTTP 接続のみを受け付けます。
•
443: このポートは、HTTPS 接続のみを受け付けます。
•
1024–66535 (1024
と66535
も含む):
これらのポートは、HTTP
接続またはHTTPS
接続を受け付けます。代理認証向けの Salesforce 設定 代理認証シングルサインオンについて
メモ: このチェックボックスをオフにすると、
Salesforce
組織内のログイン制限が原因で最初のログイ ンに失敗した場合、SSO
エンドポイントへのコールは行われません。ログイン試行すべてを記録する 必要がある場合は、このチェックボックスをオンにして、ログイン制限が失敗したかどうかに関係なく
SSO
エンドポイントへのコールアウトが強制的に実行されるようにします。5. 「シングルサインオンの有効」権限を有効にします。
重要:
代理認証向けの Salesforce 設定 代理認証シングルサインオンについて
代理認証実装サンプル
サンプルを入手するには、
Salesforce Developers Web
サイトから.NET 用サンプルコードをダウンロードしてくださ い。このサンプルは、
C#
で記述され、Active Directory
に対してユーザを認証します。最初のサンプルは、代理認証 の単純な実装です。2
つ目のより複雑なサンプルは、認証トークンを使用したシングルサインオンソリュー ションです。どちらのサンプルもMicrosoft .NET v1.1
を使用し、Windows Sever 2003
でIIS 6
を使用してリリースされ ています。サンプルをビルドするには、同梱されているmakefile を使用してください。サンプル 1
これは、simple.asmx.csに実装されます。このファイルでは、新しいクラスSimpleAdAuthを宣言しま す。これは、メソッドAuthenticateが
1
つ含まれるWeb
サービスです。このメソッドでは複数の属性が宣 言されます。これらの属性によって、期待される要求と生成される応答のフォーマット設定が制御され、WSDL
でメッセージ定義を照合するサービスが設定されます。実装では、渡された認証情報を使用し、LDAP
プロバ イダ経由でActive Directory
への接続を試みます。接続に成功した場合、認証情報は有効であり、それ以外の場 合、認証情報は無効です。サンプル 2
このより複雑な例では、パスワードではなく認証トークンを生成して検証します。実装の大部分はsso.asmx.cs ファイルに含まれます。このファイルは、認証トークンを生成できるSingleSignOnクラスを定義し、認証 サービスを実装して後でそのトークンを検証します。生成されたトークンは、トークン番号、有効期限のタイ ムスタンプ、ユーザ名で構成されます。すべてのデータは暗号化されて署名されます。
検証プロセスでは、署名の検証、トークンの復号化、トークンが期限切れでないことの確認、トークン番号が 以前使用されていないことの確認を行います
(
トークン番号と有効期限のタイムスタンプは、リプレイ攻撃の 防止に使用されます)
。ファイルgotosfdc.aspxは、イントラネットファイルからリリースまたはリンクさ れるように設計されたASPX
ページです。このページで強制的にユーザの認証を行い、ユーザの新しい認証トー クンを生成し、さらにそのトークンをローカルNT
ユーザ名から対応付けられたユーザ名と一緒にSalesforce
ロ グインページにPOST
送信します。Salesforce
ログインプロセスは、認証トークンをサービスに返送し、サービ スがトークンを検証して、ユーザがSalesforce
にログインできるようにします。intranet.aspxは、gotosfdc.aspxにリンクする単純なページであるため、この動作を確認できます。
よくある質問 (FAQ)
シングルサインオンを有効にする方法は?
Salesforce
には、シングルサインオンを使用する方法として、次の方法があります。•
Security Assertion Markup Language (SAML)
を使用する統合認証を使用すると、関連付けられているが関連のない
Web
サービス間で認証と認証データを送信することができます。これにより、クライアントアプリケーションから
Salesforce
にサインオンできます。SAML
を使用した統合認証は、組織でデフォルトで有 効化されています。• 代理認証のシングルサインオンを使用すると、
Salesforce
と選択した認証メソッドを統合することができ ます。これにより、LDAP (Lightweight Directory Access Protocol)
サーバによる認証を統合するか、パスワード の変わりにトークンを使用する認証にシングルサインオンを実行することができます。一部のユーザは 代理認証を使用し、それ以外のユーザは引き続きSalesforce
管理パスワードを使用するように、権限レベ ルで代理認証を管理します。代理認証は組織単位ではなく、権限ごとに設定されます。代理認証を使用する主な理由を次に示します。
– 安全な
ID
プロバイダとのインテグレーションなど、より厳密なユーザ認証を使用できる– ログインページを非公開にし、企業ファイアウォールの内側からのみアクセスできるようにする – フィッシング攻撃を減らすために、
Salesforce
を使用する他のすべの企業と差別化できるこの機能をSalesforceで有効化されるよう要求する必要があります。組織の代理認証シングルサインオン の有効化については、
Salesforce
にお問い合わせください。• 認証プロバイダは外部サービスプロバイダのログイン情報を使用して、
Salesforce
組織にユーザがログイ ンできるようにします。Salesforce
では、OpenID Connect
プロトコルがサポートされており、ユーザは任意 のOpenID
プロバイダ(OpenID Connect
をサポートするPaypal
、)
からログイ ンできます。認証プロバイダが有効化されている場合、Salesforce
はユーザのパスワードを検証しませ ん。代わりに、Salesforce
は外部サービスプロバイダのユーザログイン情報を使用して、認証情報を設定 します。Salesforceのどこでシングルサインオンを設定すればよいですか?
代理認証シングルサインオンの場合
:
•
WSDL
にアクセスするには、[
設定]
から[クイック検索]ボックスに「API」と入力し、[API]を選択し、[代理認証 WSDL をダウンロード]を選択します。
• 組織のシングルサインオンゲートウェイ
URL
を指定するには、[
設定]
から[クイック検索]ボックスに「シングルサインオン設定」と入力し、[シングルサインオン設定]を選択し、[編集]を選択します。
• シングルサインオンユーザの「シングルサインオンの有効」ユーザ権限を有効化するには、[設定] から [クイック検索]ボックスに「権限セット」と入力し、[権限セット]を選択します。
SAML
を使用する統合認証の場合:
•
[
設定]
から、[クイック検索]ボックスに「シングルサインオン設定」と入力し、[シングルサインオン設 定]を選択し、[編集]をクリックします。シングルサインオンの実装時にパスワードをリセットする方法は?
代理認証を使用するシングルサインオンユーザの場合、
Salesforce
でそのパスワードが管理されなくなるた め、パスワードリセットは無効化されます。ユーザがSalesforce
でパスワードをリセットしようとすると、Salesforce
システム管理者に転送されます。シングルサインオンログインエラーを表示できる場所は?
代理認証の場合、「すべてのデータの編集」権限を持つシステム管理者は、
[
設定]
から[クイック検索]ボックスに「代理認証のエラー履歴」と入力し、[代理認証のエラー履歴]を選択して、組織のシングルサイ ンオンログインエラーを新しい順に
21
件表示できます。失敗したログインごとに、ユーザのユーザ名、ロ グイン時刻、およびエラーが表示されます。統合認証の場合、システム管理者は [設定] から[クイック検索]ボックスに「ログイン履歴」と入力し、[ログイン履歴]を選択して、ログインエラーを表示できます。
失敗した SAML ログイン試行のログイン履歴のエントリはどこにありますか?
Salesforce
では、アサーションにユーザが見つからない場合、または指定されたユーザID
をSalesforce
のユーザに関連付けられない場合、ログイン履歴にエントリが挿入されます。ログイン履歴を表示するには、
[
設 定]
から[クイック検索]ボックスに「ログイン履歴」と入力し、[ログイン履歴]を選択します。シングルサインオンは会社のファイアウォール外でも機能しますか?
はい、シングルサインオンは会社のファイアウォール外でも機能します。ユーザが会社のファイアウォー ルの外側にいる場合、自分のネットワークパスワードを使用して
Salesforce
にログインできます。または、ログインするための前提条件として、ユーザが会社のネットワークに接続されていることを要求できます。
ID プロバイダから送信された SAML レスポンスを検証できますか?
はい、できます。シングルサインオンを設定した後、
[
設定]
の[
シングルサインオン設定]
ページで[SAML 検 証]をクリックして、[SAML
検証]
ページにアクセスできます。ユーザがSalesforce
にログインしようとして失 敗した場合、無効なSAML
アサーションを使用してSAML
アサーション検証が自動的に設定される場合があります。
[SAML
検証]
ページで、SAML
アサーションが自動的に設定されていない場合、サービスプロバイダから受信した XML エンコードまたは base64 エンコードされた SAML レスポンスを入力できます。Salesforce は、シングルサインオン設定時に指定された値に対してレスポンスを検証し、レスポンスに関する詳細な 情報を提供します。
会社固有の開始ページとログアウトページを設定できますか? はい、できます。
SAML 1.1
または2.0
を使用するシングルサインオンユーザのための開始ページ、エラーページ、ログインページ、ログアウトページをカスタマイズできます。設定の一環として、次の事項を決定します。
•
ID
プロバイダがSAML 1.1
を使用する場合に、シングルサインオンが正常に完了したときのユーザの移動 先となるURL (
開始ページ)
。このURL
は、https://yourInstance.salesforce.com/001/oのような 絶対URL
、または/001/oのような相対URL
にすることができます。このURL
はSAML
認証要求を受け入 れるエンドポイントである必要があります。SAML 2.0
では、開始ページは認証される前にユーザがアクセスを試みたページです。SAML 2.0
開始ページは
Sp-init
シングルサインオンをサポートしなければなりません。SAML 2.0
を使用している場合、RelayStateパラメータを使用して正常なログイン後にユーザをリダイレクトする場所を制御することもできます。
•
Salesforce
がログインシーケンスを開始するSAML
要求を送信するシングルサインオン開始ページです。シングルサインオン開始ページを指定する場合は、ログアウトページも指定することをお勧めします。
よくある質問 (FAQ)