SAML ログイン履歴のレビュー
エディション
使用可能なエディション: Salesforce Classicと Lightning Experienceの両方 統合認証を使用可能なエ ディション: すべてのエ ディション
代理認証を使用可能なエ ディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、 Developer Edition、および Database.com Edition 認証プロバイダを使用可 能なエディション:
Professional Edition、
Enterprise Edition、
Performance Edition、 Unlimited Edition、および Developer Edition
ユーザ権限 設定を参照する
• 「設定・定義を参照す る」
設定を編集する
• 「アプリケーションの カスタマイズ」
および
「すべてのデータの編 集」
ユーザがシングルサインオンを使用して他のアプリケーションから
Salesforce
に ログインしてくると、SAML
アサーションがSalesforce
ログインページに送信され ます。アサーションは、[
設定]
の[
シングルサインオン設定]
ページで指定された 認証証明書にあるアサーションと照合されます。ユーザがログインに失敗する と、ログインに失敗した理由を示すメッセージがログイン履歴に書き込まれま す。さらに、SAML アサーション検証に無効なアサーションが自動的に設定され る可能性があります。ログイン履歴を表示するには、
[
設定]
から[クイック検索]ボックスに「ログイ ン履歴」と入力し、[ログイン履歴]を選択します。ログイン履歴を参照した後、ID
プロバイダと情報の共有が必要な場合があります。発生すると考えられるエラーは次のとおりです。
署名が無効です
アサーションで指定された署名が
Salesforce
設定で指定された証明書と一致しません。件名確認エラー
アサーションで指定された<Subject>が
Salesforce
で指定されたSAML
設定と一致しません。SAML ログイン履歴のレビュー
SAML 用のジャストインタイムプロビジョニングにつ いて
エディション
使用可能なエディション: Salesforce Classicと Lightning Experienceの両方 使用可能なエディション:
すべてのエディション ジャストインタイムのプロビジョニングによって、
SAML
アサーションを使用して、ユーザがはじめてログインするときにその場で通常のユーザとポータルユー ザを作成することができます。そのため、あらかじめユーザアカウントを作成 する必要性がなくなります。たとえば、最近、従業員を組織に追加した場合は、
Salesforce
で手動でそのユーザを作成する必要はありません。ユーザがシングルサインオンでログインすると、アカウントが自動的に作成されるため、アカウ ント登録にかかる時間と労力を排除できます。ジャストインタイムのプロビジョ ニングは、
SAML ID
プロバイダと連動し、SAML 2.0
アサーションで正しいユーザ情報を
Salesforce
に渡します。この方法でアカウントを作成および変更できます。ジャストインタイムのプロビジョニングは、
SAML
を使用して通信するため、組織でSAML
ベースのシングルサ インオンが有効化されている必要があります。ジャストインタイムプロビジョニングの利点
ジャストインタイムプロビジョニングを実装すると、組織は次の利点を得られます。
• 管理コストの削減: SAML を介してプロビジョニングすることにより、シングルサインオンプロセスの一部 として、担当者がオンデマンドで取引先を作成できます。このことにより、プロビジョニングプロセスお よびシングルサインオンプロセスを
1
つのメッセージに結合することによって、ユーザが動的にプロビジョ ニングを実行する必要のあるシナリオで必要な統合作業が大幅に簡略化されます。• ユーザの採用の増加: 1 つのパスワードを
1
つ覚えるだけで、自分のメインのサイトとSalesforce
の両方にア クセスできます。そのため、ユーザがSalesforce
アプリケーションを定期的に使用する可能性が高くなりま す。• セキュリティの向上:企業ネットワーク用に作成したパスワードポリシーは、
Salesforce
にも有効となりま す。また、1 回の使用のみ有効な認証情報を送信することで、機密データへのアクセス権を持つユーザに対 するセキュリティの向上を図れます。ジャストインタイムプロビジョニングの要件
ジャストインタイムプロビジョニングでは
SAML
アサーションを作成する必要があります。SAML
アサーション を作成するときは、次の点を考慮してください。• Provision Versionはオプションの属性としてサポートされています。この属性を指定しない場合、デ フォルトは
1.0
です。例:
<saml:Attribute Name="ProvisionVersion" NameFormat=
"urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">1.0</saml:AttributeValue>
</saml:Attribute>
•
ProfileID
は標準プロファイル用でも組織ごとに異なります。プロファイル名を検索しやすくするため、Salesforce
では、ProfileNameをProfileId項目に渡すことでプロファイル名を検索できるようにしています。SAML アサーションの項目の要件
Salesforce
で作成するオブジェクトを正しく特定するには、SAML
アサーションに渡されるすべてのプレフィックスで[ユーザ]を使用する必要があります。次の例では、Username項目名にUser.プレフィックスが追加 されています。
<saml:Attribute
Name="User.Username"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@123.org</saml:AttributeValue>
</saml:Attribute>
次の標準項目をサポートしています。
コメント 必須項目
項目
AboutMe
この項目がない場合は、デフォルトは
firstName
およびlastName
から派生します。Alias
CallCenter City
この項目がない場合は、デフォルトはユーザ名から派生しま す。
CommunityNickname
CompanyName Country
組織設定から派生します。
DefaultCurrencyIsoCode DelegatedApproverId Department
Division
例
:
User.Email=test2@salesforce.comY
この項目がない場合は、デフォルトは組織設定から派生しま す。
EmailEncodingKey
EmployeeNumber Extension Fax
ジャストインタイムプロビジョニングの要件
SAML 用のジャストインタイムプロビジョニングについ
て
コメント 必須項目
項目
この項目がある場合は、
SAML
件名に一致する必要がありま す。一致しない場合は、代わりにSAML
件名を取得します。SAML
では更新できません。FederationIdentifier
(
挿入 のみ)
FirstName
ForecastEnabled IsActive