必要に応じて、 [ 代理認証コールアウトの強制実行 ] チェックボックスをオンにします。

メモ: このチェックボックスをオフにすると、

Salesforce

組織内のログイン制限が原因で最初のログイ ンに失敗した場合、

SSO

エンドポイントへのコールは行われません。ログイン試行すべてを記録する 必要がある場合は、このチェックボックスをオンにして、ログイン制限が失敗したかどうかに関係な

く

SSO

エンドポイントへのコールアウトが強制的に実行されるようにします。

5. 「シングルサインオンの有効」権限を有効にします。

重要: ログインエラーの表示方法については、「シングルサインオンのログインエラーの参照」を参照し てください。

サンプルを入手するには、

Salesforce Developers Web

サイトから.NET 用サンプルコードをダウンロードしてくださ い。

このサンプルは、

C#

で記述され、

Active Directory

に対してユーザを認証します。最初のサンプルは、代理認証 の単純な実装です。

2

つ目のより複雑なサンプルは、認証トークンを使用したシングルサインオンソリュー ションです。どちらのサンプルも

Microsoft .NET v1.1

を使用し、

Windows Sever 2003

で

IIS 6

を使用してリリースされ ています。サンプルをビルドするには、同梱されているmakefile を使用してください。

サンプル 1

これは、simple.asmx.csに実装されます。このファイルでは、新しいクラスSimpleAdAuthを宣言しま す。これは、メソッドAuthenticateが

1

つ含まれる

Web

サービスです。このメソッドでは複数の属性が宣 言されます。これらの属性によって、期待される要求と生成される応答のフォーマット設定が制御され、

WSDL

でメッセージ定義を照合するサービスが設定されます。実装では、渡された認証情報を使用し、

LDAP

プロバ イダ経由で

Active Directory

への接続を試みます。接続に成功した場合、認証情報は有効であり、それ以外の場 合、認証情報は無効です。

サンプル 2

このより複雑な例では、パスワードではなく認証トークンを生成して検証します。実装の大部分はsso.asmx.cs ファイルに含まれます。このファイルは、認証トークンを生成できるSingleSignOnクラスを定義し、認証 サービスを実装して後でそのトークンを検証します。生成されたトークンは、トークン番号、有効期限のタイ ムスタンプ、ユーザ名で構成されます。すべてのデータは暗号化されて署名されます。

検証プロセスでは、署名の検証、トークンの復号化、トークンが期限切れでないことの確認、トークン番号が 以前使用されていないことの確認を行います

(

トークン番号と有効期限のタイムスタンプは、リプレイ攻撃の 防止に使用されます

)

。ファイルgotosfdc.aspxは、イントラネットファイルからリリースまたはリンクさ れるように設計された

ASPX

ページです。このページで強制的にユーザの認証を行い、ユーザの新しい認証トー クンを生成し、さらにそのトークンをローカル

NT

ユーザ名から対応付けられたユーザ名と一緒に

Salesforce

ロ グインページに

POST

送信します。

Salesforce

ログインプロセスは、認証トークンをサービスに返送し、サービ スがトークンを検証して、ユーザが

Salesforce

にログインできるようにします。intranet.aspxは、

gotosfdc.aspxにリンクする単純なページであるため、この動作を確認できます。

シングルサインオンを有効にする方法は?

Salesforce

には、シングルサインオンを使用する方法として、次の方法があります。

•

Security Assertion Markup Language (SAML)

を使用する統合認証を使用すると、関連付けられているが関連の

ない

Web

サービス間で認証と認証データを送信することができます。これにより、クライアントアプリ

ケーションから

Salesforce

にサインオンできます。

SAML

を使用した統合認証は、組織でデフォルトで有 効化されています。

• 代理認証のシングルサインオンを使用すると、

Salesforce

と選択した認証メソッドを統合することができ ます。これにより、

LDAP (Lightweight Directory Access Protocol)

サーバによる認証を統合するか、パスワード の変わりにトークンを使用する認証にシングルサインオンを実行することができます。一部のユーザは 代理認証を使用し、それ以外のユーザは引き続き

Salesforce

管理パスワードを使用するように、権限レベ ルで代理認証を管理します。代理認証は組織単位ではなく、権限ごとに設定されます。

代理認証を使用する主な理由を次に示します。

– 安全な

ID

プロバイダとのインテグレーションなど、より厳密なユーザ認証を使用できる

– ログインページを非公開にし、企業ファイアウォールの内側からのみアクセスできるようにする – フィッシング攻撃を減らすために、

Salesforce

を使用する他のすべの企業と差別化できる

この機能をSalesforceで有効化されるよう要求する必要があります。組織の代理認証シングルサインオン の有効化については、

Salesforce

にお問い合わせください。

• 認証プロバイダは外部サービスプロバイダのログイン情報を使用して、

Salesforce

組織にユーザがログイ ンできるようにします。

Salesforce

では、

OpenID Connect

プロトコルがサポートされており、ユーザは任意 の

OpenID

プロバイダ

(OpenID Connect

をサポートする

Google

、

Paypal

、

LinkedIn

などのサービス

)

からログイ ンできます。認証プロバイダが有効化されている場合、

Salesforce

はユーザのパスワードを検証しませ ん。代わりに、

Salesforce

は外部サービスプロバイダのユーザログイン情報を使用して、認証情報を設定 します。

Salesforceのどこでシングルサインオンを設定すればよいですか?

代理認証シングルサインオンの場合

:

•

WSDL

を使用するには、

[

設定

]

から[開発] > [API] > [代理認証 WSDL をダウンロード]をクリックします。

• 組織のシングルサインオンゲートウェイ

URL

を指定するには、

[

設定

]

から[セキュリティのコントロー

ル] > [シングルサインオン設定] > [編集]をクリックします。

• シングルサインオンユーザの「シングルサインオンの有効」ユーザ権限を有効化するには、

[

設定

]

から [ユーザの管理] > [権限セット]をクリックするか、権限セットを使用できない場合は、[ユーザの管理] >

[プロファイル]をクリックします。

SAML

を使用する統合認証の場合

:

•

[

設定

]

で、[セキュリティのコントロール] > [シングルサインオン設定] > [編集]をクリックします。

シングルサインオンの実装時にパスワードをリセットする方法は?

代理認証を使用するシングルサインオンユーザの場合、

Salesforce

でそのパスワードが管理されなくなるた め、パスワードリセットは無効化されます。ユーザが

Salesforce

でパスワードをリセットしようとすると、

Salesforce

システム管理者に転送されます。

シングルサインオンログインエラーを表示できる場所は?

代理認証の場合、「すべてのデータの編集」権限を持つシステム管理者は、

[

設定

]

から[ユーザの管理] > [代 理認証のエラー履歴]をクリックして、組織のシングルサインオンログインエラーを新しい順に

21

件表示 できます。失敗したログインごとに、ユーザのユーザ名、ログイン時刻、およびエラーが表示されます。

統合認証の場合、システム管理者は、

[

設定

]

から[ユーザの管理] > [ログイン履歴]をクリックして、ログイ ンエラーを表示できます。

失敗した SAML ログイン試行のログイン履歴のエントリはどこにありますか?

Salesforce

では、アサーションにユーザが見つからない場合、または指定されたユーザ

ID

を

Salesforce

のユー

ザに関連付けられない場合、ログイン履歴にエントリが挿入されます。これは、

[

設定

]

で[ユーザの管理] >

[ログイン履歴]をクリックすると表示できます。

シングルサインオンは会社のファイアウォール外でも機能しますか?

はい、シングルサインオンは会社のファイアウォール外でも機能します。ユーザが会社のファイアウォー ルの外側にいる場合、自分のネットワークパスワードを使用して

Salesforce

にログインできます。または、

ログインするための前提条件として、ユーザが会社のネットワークに接続されていることを要求できます。

ID プロバイダから送信された SAML レスポンスを検証できますか?

はい、できます。シングルサインオンを設定した後、

[

設定

]

の[セキュリティのコントロール] > [シングル サインオン設定]で[SAML 検証]ボタンをクリックして、

[SAML

検証

]

ページにアクセスできます。ユーザが

Salesforce

にログインしようとして失敗した場合、無効な

SAML

アサーションを使用して

[SAML

アサーション

検証

]

が自動的に設定される場合があります。

[SAML

検証

]

ページで、

SAML

アサーションが自動的に設定さ れていない場合、サービスプロバイダから受信した

XML

エンコードまたは

base64

エンコードされた

SAML

レ スポンスを入力できます。

Salesforce

は、シングルサインオン設定時に指定された値に対してレスポンスを 検証し、レスポンスに関する詳細な情報を提供します。

会社固有の開始ページとログアウトページを設定できますか? はい、できます。

SAML 1.1

または

2.0

を使用するシングルサインオンユーザのための開始ページ、エラーページ、ログインペー

ジ、ログアウトページをカスタマイズできます。設定の一環として、次の事項を決定します。

• ユーザが

Salesforce

の

[

ログアウト

]

リンクをクリックしたときの移動先となる

URL (

ログアウトページ

)

。

[

私のドメイン

]

が有効な場合を除き、デフォルトはhttps://login.salesforce.com です。

[

私のド メイン

]

が有効な場合のデフォルトはhttps://customdomain.my.salesforce.comです。

•

ID

プロバイダが

SAML 1.1

を使用する場合に、シングルサインオンが正常に完了したときのユーザの移動 先となる

URL (

開始ページ

)

。この

URL

は、https://na1.salesforce.com/001/oのような絶対

URL

、 または/001/oのような相対

URL

にすることができます。この

URL

は

SAML

認証要求を受け入れるエン ドポイントである必要があります。

SAML 2.0

では、開始ページは認証される前にユーザがアクセスを試みたページです。

SAML 2.0

開始ページ

は

Sp-init

シングルサインオンをサポートしなければなりません。

SAML 2.0

を使用している場合、RelayStateパラメータを使用して正常なログイン後にユーザをリダイ

レクトする場所を制御することもできます。

ドキュメント内 シングルサインオン実装ガイド (ページ 56-61)