シングルサインオン Web サービスを作成します。

a.

Salesforce

で、

[

設定

]

から[クイック検索]ボックスに「代理認証 WSDL を

ダウンロード」と入力し、[代理認証 WSDL をダウンロード]を選択して、

Web

サービス記述言語

(WSDL)

ファイルAuthenticationService.wsdl をダウンロードします。

WSDL

は、代理認証シングルサインオンサービス を記述するもので、特定の実装を追加するサーバ側スタブを自動的に生 成するために使用できます。たとえば、

Apache Axis

から入手できる

WSDL2Java ツールでは、

--server-sideスイッチを使用できます。.NET

から入手できる

wsdl.exe

ツールでは、/serverスイッチを使用できます。

要求と応答のサンプルについての詳細は、「代理認証の SOAP メッセージ のサンプル」

(

ページ

23)

を参照してください。

b. 企業イントラネットまたはその他の社内でアクセス可能なサイトにリン クを追加し、そこで認証済みユーザの認証情報を取得し、それを

HTTP POST

経由で

Salesforce

ログインページに渡します。

Salesforce

ではpassword項目はユーザに戻す場合以外には使用しないた

め、この項目にパスワードを入れて送信する必要はありません。代わり

に、

Kerberos Ticket

などの他の認証トークンを渡して、実際の企業パスワー

ドが

Salesforce

との間でやりとりされないようにすることができます。

Salesforce

代理認証機関を設定して、トークンのみを許可するか、トークン

およびパスワードのいずれかを受け付けるようにできます。機関がトークンのみを受け付ける場合、

Salesforce

ユーザは有効なトークンを作成できないため、直接

Salesforce

にログインすることはできませ

ん。ただし、多くの企業はトークンとパスワードの両方を許可することを選択します。この環境の場 合、ユーザはまだログインページから

Salesforce

にログインできます。

Salesforce

サーバからAuthenticateメッセージで認証情報が戻されたら、それを確認します。これで

ユーザはアプリケーションへのアクセス権が得られます。

3.

Salesforce

で、

[

設定

]

から[クイック検索]ボックスに「シングルサインオン」と入力し、[シングルサインオ

ン設定]を選択し、[編集]をクリックして、組織のシングルサインオンゲートウェイ

URL

を指定します。

URL

を[代理ゲートウェイ URL]テキストボックスに入力します。

セキュリティ上の理由から、

Salesforce

では、指定できる送信ポートを、次のいずれかに制限します。

•

80: このポートは、HTTP 接続のみを受け付けます。

•

443: このポートは、HTTPS 接続のみを受け付けます。

•

1024–66535 (1024

と

66535

も含む

):

これらのポートは、

HTTP

接続または

HTTPS

接続を受け付けます。

代理認証向けの Salesforce 設定 代理認証シングルサインオンについて

メモ: このチェックボックスをオフにすると、

Salesforce

組織内のログイン制限が原因で最初のログイ ンに失敗した場合、

SSO

エンドポイントへのコールは行われません。ログイン試行すべてを記録する 必要がある場合は、このチェックボックスをオンにして、ログイン制限が失敗したかどうかに関係な

く

SSO

エンドポイントへのコールアウトが強制的に実行されるようにします。

5. 「シングルサインオンの有効」権限を有効にします。

重要:

代理認証向けの Salesforce 設定 代理認証シングルサインオンについて

代理認証実装サンプル

サンプルを入手するには、

Salesforce Developers Web

サイトから.NET 用サンプルコードをダウンロードしてくださ い。

このサンプルは、

C#

で記述され、

Active Directory

に対してユーザを認証します。最初のサンプルは、代理認証 の単純な実装です。

2

つ目のより複雑なサンプルは、認証トークンを使用したシングルサインオンソリュー ションです。どちらのサンプルも

Microsoft .NET v1.1

を使用し、

Windows Sever 2003

で

IIS 6

を使用してリリースされ ています。サンプルをビルドするには、同梱されているmakefile を使用してください。

サンプル 1

これは、simple.asmx.csに実装されます。このファイルでは、新しいクラスSimpleAdAuthを宣言しま す。これは、メソッドAuthenticateが

1

つ含まれる

Web

サービスです。このメソッドでは複数の属性が宣 言されます。これらの属性によって、期待される要求と生成される応答のフォーマット設定が制御され、

WSDL

でメッセージ定義を照合するサービスが設定されます。実装では、渡された認証情報を使用し、

LDAP

プロバ イダ経由で

Active Directory

への接続を試みます。接続に成功した場合、認証情報は有効であり、それ以外の場 合、認証情報は無効です。

サンプル 2

このより複雑な例では、パスワードではなく認証トークンを生成して検証します。実装の大部分はsso.asmx.cs ファイルに含まれます。このファイルは、認証トークンを生成できるSingleSignOnクラスを定義し、認証 サービスを実装して後でそのトークンを検証します。生成されたトークンは、トークン番号、有効期限のタイ ムスタンプ、ユーザ名で構成されます。すべてのデータは暗号化されて署名されます。

検証プロセスでは、署名の検証、トークンの復号化、トークンが期限切れでないことの確認、トークン番号が 以前使用されていないことの確認を行います

(

トークン番号と有効期限のタイムスタンプは、リプレイ攻撃の 防止に使用されます

)

。ファイルgotosfdc.aspxは、イントラネットファイルからリリースまたはリンクさ れるように設計された

ASPX

ページです。このページで強制的にユーザの認証を行い、ユーザの新しい認証トー クンを生成し、さらにそのトークンをローカル

NT

ユーザ名から対応付けられたユーザ名と一緒に

Salesforce

ロ グインページに

POST

送信します。

Salesforce

ログインプロセスは、認証トークンをサービスに返送し、サービ スがトークンを検証して、ユーザが

Salesforce

にログインできるようにします。intranet.aspxは、

gotosfdc.aspxにリンクする単純なページであるため、この動作を確認できます。

よくある質問 (FAQ)

シングルサインオンを有効にする方法は?

Salesforce

には、シングルサインオンを使用する方法として、次の方法があります。

•

Security Assertion Markup Language (SAML)

を使用する統合認証を使用すると、関連付けられているが関連の

ない

Web

サービス間で認証と認証データを送信することができます。これにより、クライアントアプリ

ケーションから

Salesforce

にサインオンできます。

SAML

を使用した統合認証は、組織でデフォルトで有 効化されています。

• 代理認証のシングルサインオンを使用すると、

Salesforce

と選択した認証メソッドを統合することができ ます。これにより、

LDAP (Lightweight Directory Access Protocol)

サーバによる認証を統合するか、パスワード の変わりにトークンを使用する認証にシングルサインオンを実行することができます。一部のユーザは 代理認証を使用し、それ以外のユーザは引き続き

Salesforce

管理パスワードを使用するように、権限レベ ルで代理認証を管理します。代理認証は組織単位ではなく、権限ごとに設定されます。

代理認証を使用する主な理由を次に示します。

– 安全な

ID

プロバイダとのインテグレーションなど、より厳密なユーザ認証を使用できる

– ログインページを非公開にし、企業ファイアウォールの内側からのみアクセスできるようにする – フィッシング攻撃を減らすために、

Salesforce

を使用する他のすべの企業と差別化できる

この機能をSalesforceで有効化されるよう要求する必要があります。組織の代理認証シングルサインオン の有効化については、

Salesforce

にお問い合わせください。

• 認証プロバイダは外部サービスプロバイダのログイン情報を使用して、

Salesforce

組織にユーザがログイ ンできるようにします。

Salesforce

では、

OpenID Connect

プロトコルがサポートされており、ユーザは任意 の

OpenID

プロバイダ

(OpenID Connect

をサポートする

Google

、

Paypal

、

LinkedIn

などのサービス

)

からログイ ンできます。認証プロバイダが有効化されている場合、

Salesforce

はユーザのパスワードを検証しませ ん。代わりに、

Salesforce

は外部サービスプロバイダのユーザログイン情報を使用して、認証情報を設定 します。

Salesforceのどこでシングルサインオンを設定すればよいですか?

代理認証シングルサインオンの場合

:

•

WSDL

にアクセスするには、

[

設定

]

から[クイック検索]ボックスに「API」と入力し、[API]を選択し、

[代理認証 WSDL をダウンロード]を選択します。

• 組織のシングルサインオンゲートウェイ

URL

を指定するには、

[

設定

]

から[クイック検索]ボックスに

「シングルサインオン設定」と入力し、[シングルサインオン設定]を選択し、[編集]を選択します。

• シングルサインオンユーザの「シングルサインオンの有効」ユーザ権限を有効化するには、[設定] から [クイック検索]ボックスに「権限セット」と入力し、[権限セット]を選択します。

SAML

を使用する統合認証の場合

:

•

[

設定

]

から、[クイック検索]ボックスに「シングルサインオン設定」と入力し、[シングルサインオン設 定]を選択し、[編集]をクリックします。

シングルサインオンの実装時にパスワードをリセットする方法は?

代理認証を使用するシングルサインオンユーザの場合、

Salesforce

でそのパスワードが管理されなくなるた め、パスワードリセットは無効化されます。ユーザが

Salesforce

でパスワードをリセットしようとすると、

Salesforce

システム管理者に転送されます。

シングルサインオンログインエラーを表示できる場所は?

代理認証の場合、「すべてのデータの編集」権限を持つシステム管理者は、

[

設定

]

から[クイック検索]

ボックスに「代理認証のエラー履歴」と入力し、[代理認証のエラー履歴]を選択して、組織のシングルサイ ンオンログインエラーを新しい順に

21

件表示できます。失敗したログインごとに、ユーザのユーザ名、ロ グイン時刻、およびエラーが表示されます。統合認証の場合、システム管理者は [設定] から[クイック検

索]ボックスに「ログイン履歴」と入力し、[ログイン履歴]を選択して、ログインエラーを表示できます。

失敗した SAML ログイン試行のログイン履歴のエントリはどこにありますか?

Salesforce

では、アサーションにユーザが見つからない場合、または指定されたユーザ

ID

を

Salesforce

のユー

ザに関連付けられない場合、ログイン履歴にエントリが挿入されます。ログイン履歴を表示するには、

[

設 定

]

から[クイック検索]ボックスに「ログイン履歴」と入力し、[ログイン履歴]を選択します。

シングルサインオンは会社のファイアウォール外でも機能しますか?

はい、シングルサインオンは会社のファイアウォール外でも機能します。ユーザが会社のファイアウォー ルの外側にいる場合、自分のネットワークパスワードを使用して

Salesforce

にログインできます。または、

ログインするための前提条件として、ユーザが会社のネットワークに接続されていることを要求できます。

ID プロバイダから送信された SAML レスポンスを検証できますか?

はい、できます。シングルサインオンを設定した後、

[

設定

]

の

[

シングルサインオン設定

]

ページで[SAML 検 証]をクリックして、

[SAML

検証

]

ページにアクセスできます。ユーザが

Salesforce

にログインしようとして失 敗した場合、無効な

SAML

アサーションを使用して

SAML

アサーション検証が自動的に設定される場合があ

ります。

[SAML

検証

]

ページで、

SAML

アサーションが自動的に設定されていない場合、サービスプロバイダ

から受信した XML エンコードまたは base64 エンコードされた SAML レスポンスを入力できます。Salesforce は、シングルサインオン設定時に指定された値に対してレスポンスを検証し、レスポンスに関する詳細な 情報を提供します。

会社固有の開始ページとログアウトページを設定できますか? はい、できます。

SAML 1.1

または

2.0

を使用するシングルサインオンユーザのための開始ページ、エラーページ、ログインペー

ジ、ログアウトページをカスタマイズできます。設定の一環として、次の事項を決定します。

•

ID

プロバイダが

SAML 1.1

を使用する場合に、シングルサインオンが正常に完了したときのユーザの移動 先となる

URL (

開始ページ

)

。この

URL

は、https://yourInstance.salesforce.com/001/oのような 絶対

URL

、または/001/oのような相対

URL

にすることができます。この

URL

は

SAML

認証要求を受け入 れるエンドポイントである必要があります。

SAML 2.0

では、開始ページは認証される前にユーザがアクセスを試みたページです。

SAML 2.0

開始ページ

は

Sp-init

シングルサインオンをサポートしなければなりません。

SAML 2.0

を使用している場合、RelayStateパラメータを使用して正常なログイン後にユーザをリダイ

レクトする場所を制御することもできます。

•

Salesforce

がログインシーケンスを開始する

SAML

要求を送信するシングルサインオン開始ページです。

シングルサインオン開始ページを指定する場合は、ログアウトページも指定することをお勧めします。

よくある質問 (FAQ)

ドキュメント内 シングルサインオン実装ガイド (ページ 54-59)