CONTACT_CHANGE_NOT_ALLOWED取引先責任者の変更は許可されていま
4. 必要に応じて、 [ 代理認証コールアウトの強制実行 ] チェックボックスをオンにします。
メモ: このチェックボックスをオフにすると、
Salesforce
組織内のログイン制限が原因で最初のログイ ンに失敗した場合、SSO
エンドポイントへのコールは行われません。ログイン試行すべてを記録する 必要がある場合は、このチェックボックスをオンにして、ログイン制限が失敗したかどうかに関係なく
SSO
エンドポイントへのコールアウトが強制的に実行されるようにします。5. 「シングルサインオンの有効」権限を有効にします。
重要: ログインエラーの表示方法については、「シングルサインオンのログインエラーの参照」を参照し てください。
サンプルを入手するには、
Salesforce Developers Web
サイトから.NET 用サンプルコードをダウンロードしてくださ い。このサンプルは、
C#
で記述され、Active Directory
に対してユーザを認証します。最初のサンプルは、代理認証 の単純な実装です。2
つ目のより複雑なサンプルは、認証トークンを使用したシングルサインオンソリュー ションです。どちらのサンプルもMicrosoft .NET v1.1
を使用し、Windows Sever 2003
でIIS 6
を使用してリリースされ ています。サンプルをビルドするには、同梱されているmakefile を使用してください。サンプル 1
これは、simple.asmx.csに実装されます。このファイルでは、新しいクラスSimpleAdAuthを宣言しま す。これは、メソッドAuthenticateが
1
つ含まれるWeb
サービスです。このメソッドでは複数の属性が宣 言されます。これらの属性によって、期待される要求と生成される応答のフォーマット設定が制御され、WSDL
でメッセージ定義を照合するサービスが設定されます。実装では、渡された認証情報を使用し、LDAP
プロバ イダ経由でActive Directory
への接続を試みます。接続に成功した場合、認証情報は有効であり、それ以外の場 合、認証情報は無効です。サンプル 2
このより複雑な例では、パスワードではなく認証トークンを生成して検証します。実装の大部分はsso.asmx.cs ファイルに含まれます。このファイルは、認証トークンを生成できるSingleSignOnクラスを定義し、認証 サービスを実装して後でそのトークンを検証します。生成されたトークンは、トークン番号、有効期限のタイ ムスタンプ、ユーザ名で構成されます。すべてのデータは暗号化されて署名されます。
検証プロセスでは、署名の検証、トークンの復号化、トークンが期限切れでないことの確認、トークン番号が 以前使用されていないことの確認を行います
(
トークン番号と有効期限のタイムスタンプは、リプレイ攻撃の 防止に使用されます)
。ファイルgotosfdc.aspxは、イントラネットファイルからリリースまたはリンクさ れるように設計されたASPX
ページです。このページで強制的にユーザの認証を行い、ユーザの新しい認証トー クンを生成し、さらにそのトークンをローカルNT
ユーザ名から対応付けられたユーザ名と一緒にSalesforce
ロ グインページにPOST
送信します。Salesforce
ログインプロセスは、認証トークンをサービスに返送し、サービ スがトークンを検証して、ユーザがSalesforce
にログインできるようにします。intranet.aspxは、gotosfdc.aspxにリンクする単純なページであるため、この動作を確認できます。
シングルサインオンを有効にする方法は?
Salesforce
には、シングルサインオンを使用する方法として、次の方法があります。•
Security Assertion Markup Language (SAML)
を使用する統合認証を使用すると、関連付けられているが関連のない
Web
サービス間で認証と認証データを送信することができます。これにより、クライアントアプリケーションから
Salesforce
にサインオンできます。SAML
を使用した統合認証は、組織でデフォルトで有 効化されています。• 代理認証のシングルサインオンを使用すると、
Salesforce
と選択した認証メソッドを統合することができ ます。これにより、LDAP (Lightweight Directory Access Protocol)
サーバによる認証を統合するか、パスワード の変わりにトークンを使用する認証にシングルサインオンを実行することができます。一部のユーザは 代理認証を使用し、それ以外のユーザは引き続きSalesforce
管理パスワードを使用するように、権限レベ ルで代理認証を管理します。代理認証は組織単位ではなく、権限ごとに設定されます。代理認証を使用する主な理由を次に示します。
– 安全な
ID
プロバイダとのインテグレーションなど、より厳密なユーザ認証を使用できる– ログインページを非公開にし、企業ファイアウォールの内側からのみアクセスできるようにする – フィッシング攻撃を減らすために、
Salesforce
を使用する他のすべの企業と差別化できるこの機能をSalesforceで有効化されるよう要求する必要があります。組織の代理認証シングルサインオン の有効化については、
Salesforce
にお問い合わせください。• 認証プロバイダは外部サービスプロバイダのログイン情報を使用して、
Salesforce
組織にユーザがログイ ンできるようにします。Salesforce
では、OpenID Connect
プロトコルがサポートされており、ユーザは任意 のOpenID
プロバイダ(OpenID Connect
をサポートするPaypal
、)
からログイ ンできます。認証プロバイダが有効化されている場合、Salesforce
はユーザのパスワードを検証しませ ん。代わりに、Salesforce
は外部サービスプロバイダのユーザログイン情報を使用して、認証情報を設定 します。Salesforceのどこでシングルサインオンを設定すればよいですか?
代理認証シングルサインオンの場合
:
•
WSDL
を使用するには、[
設定]
から[開発] > [API] > [代理認証 WSDL をダウンロード]をクリックします。• 組織のシングルサインオンゲートウェイ
URL
を指定するには、[
設定]
から[セキュリティのコントロール] > [シングルサインオン設定] > [編集]をクリックします。
• シングルサインオンユーザの「シングルサインオンの有効」ユーザ権限を有効化するには、
[
設定]
から [ユーザの管理] > [権限セット]をクリックするか、権限セットを使用できない場合は、[ユーザの管理] >[プロファイル]をクリックします。
SAML
を使用する統合認証の場合:
•
[
設定]
で、[セキュリティのコントロール] > [シングルサインオン設定] > [編集]をクリックします。シングルサインオンの実装時にパスワードをリセットする方法は?
代理認証を使用するシングルサインオンユーザの場合、
Salesforce
でそのパスワードが管理されなくなるた め、パスワードリセットは無効化されます。ユーザがSalesforce
でパスワードをリセットしようとすると、Salesforce
システム管理者に転送されます。シングルサインオンログインエラーを表示できる場所は?
代理認証の場合、「すべてのデータの編集」権限を持つシステム管理者は、
[
設定]
から[ユーザの管理] > [代 理認証のエラー履歴]をクリックして、組織のシングルサインオンログインエラーを新しい順に21
件表示 できます。失敗したログインごとに、ユーザのユーザ名、ログイン時刻、およびエラーが表示されます。統合認証の場合、システム管理者は、
[
設定]
から[ユーザの管理] > [ログイン履歴]をクリックして、ログイ ンエラーを表示できます。失敗した SAML ログイン試行のログイン履歴のエントリはどこにありますか?
Salesforce
では、アサーションにユーザが見つからない場合、または指定されたユーザID
をSalesforce
のユーザに関連付けられない場合、ログイン履歴にエントリが挿入されます。これは、
[
設定]
で[ユーザの管理] >[ログイン履歴]をクリックすると表示できます。
シングルサインオンは会社のファイアウォール外でも機能しますか?
はい、シングルサインオンは会社のファイアウォール外でも機能します。ユーザが会社のファイアウォー ルの外側にいる場合、自分のネットワークパスワードを使用して
Salesforce
にログインできます。または、ログインするための前提条件として、ユーザが会社のネットワークに接続されていることを要求できます。
ID プロバイダから送信された SAML レスポンスを検証できますか?
はい、できます。シングルサインオンを設定した後、
[
設定]
の[セキュリティのコントロール] > [シングル サインオン設定]で[SAML 検証]ボタンをクリックして、[SAML
検証]
ページにアクセスできます。ユーザがSalesforce
にログインしようとして失敗した場合、無効なSAML
アサーションを使用して[SAML
アサーション検証
]
が自動的に設定される場合があります。[SAML
検証]
ページで、SAML
アサーションが自動的に設定さ れていない場合、サービスプロバイダから受信したXML
エンコードまたはbase64
エンコードされたSAML
レ スポンスを入力できます。Salesforce
は、シングルサインオン設定時に指定された値に対してレスポンスを 検証し、レスポンスに関する詳細な情報を提供します。会社固有の開始ページとログアウトページを設定できますか? はい、できます。
SAML 1.1
または2.0
を使用するシングルサインオンユーザのための開始ページ、エラーページ、ログインページ、ログアウトページをカスタマイズできます。設定の一環として、次の事項を決定します。
• ユーザが
Salesforce
の[
ログアウト]
リンクをクリックしたときの移動先となるURL (
ログアウトページ)
。[
私のドメイン]
が有効な場合を除き、デフォルトはhttps://login.salesforce.com です。[
私のド メイン]
が有効な場合のデフォルトはhttps://customdomain.my.salesforce.comです。•
ID
プロバイダがSAML 1.1
を使用する場合に、シングルサインオンが正常に完了したときのユーザの移動 先となるURL (
開始ページ)
。このURL
は、https://na1.salesforce.com/001/oのような絶対URL
、 または/001/oのような相対URL
にすることができます。このURL
はSAML
認証要求を受け入れるエン ドポイントである必要があります。SAML 2.0
では、開始ページは認証される前にユーザがアクセスを試みたページです。SAML 2.0
開始ページは
Sp-init
シングルサインオンをサポートしなければなりません。SAML 2.0
を使用している場合、RelayStateパラメータを使用して正常なログイン後にユーザをリダイレクトする場所を制御することもできます。