UNSUPPORTED_CONTACT_PERSONACCT_UPDATE個人取引先を持つ取引先責任者の更新
3. 必要に応じて、 [ 代理認証コールアウトの強制実行 ] を選択します。
メモ: すべてのログイン試行を記録する必要がある場合は、このオプションを選択します。このオプ ションでは、ログイン制限が失敗したかどうかに関係なく、
SSO
エンドポイントへのコールアウトが 強制的に実行されます。このオプションを選択しない場合、Salesforce
組織内のログイン制限のために 最初のログイン試行が失敗すると、SSO
エンドポイントへのコールは行われません。4. 「シングルサインオンの有効」権限を有効にします。
重要:
代理認証向けの Salesforce 設定 代理認証シングルサインオン
代理認証実装サンプル
サンプルを入手するには、
Salesforce Developers Web
サイトから.NET 用サンプルコードをダウンロードしてくださ い。このサンプルは、
C#
で記述され、Active Directory
に対してユーザを認証します。最初のサンプルは、代理認証 の単純な実装です。2
つ目のより複雑なサンプルは、認証トークンを使用したシングルサインオンソリュー ションです。どちらのサンプルもMicrosoft .NET v1.1
を使用し、Windows Sever 2003
でIIS 6
を使用してリリースされ ています。サンプルをビルドするには、同梱されているmakefile を使用してください。サンプル 1
これは、simple.asmx.csに実装されます。このファイルでは、新しいクラスSimpleAdAuthを宣言しま す。これは、メソッドAuthenticateが
1
つ含まれるWeb
サービスです。このメソッドでは複数の属性が宣 言されます。これらの属性によって、期待される要求と生成される応答のフォーマット設定が制御され、WSDL
でメッセージ定義を照合するサービスが設定されます。実装では、渡された認証情報を使用し、LDAP
プロバ イダ経由でActive Directory
への接続を試みます。接続に成功した場合、認証情報は有効であり、それ以外の場 合、認証情報は無効です。サンプル 2
このより複雑な例では、パスワードではなく認証トークンを生成して検証します。実装の大部分はsso.asmx.cs ファイルに含まれます。このファイルは、認証トークンを生成できるSingleSignOnクラスを定義し、認証 サービスを実装して後でそのトークンを検証します。生成されたトークンは、トークン番号、有効期限のタイ ムスタンプ、ユーザ名で構成されます。すべてのデータは暗号化されて署名されます。
検証プロセスでは、署名の検証、トークンの復号化、トークンが期限切れでないことの確認、トークン番号が 以前使用されていないことの確認を行います
(
トークン番号と有効期限のタイムスタンプは、リプレイ攻撃の 防止に使用されます)
。ファイルgotosfdc.aspxは、イントラネットファイルからリリースまたはリンクさ れるように設計されたASPX
ページです。このページで強制的にユーザの認証を行い、ユーザの新しい認証トー クンを生成し、さらにそのトークンをローカルNT
ユーザ名から対応付けられたユーザ名と一緒にSalesforce
ロ グインページにPOST
送信します。Salesforce
ログインプロセスは、認証トークンをサービスに返送し、サービ スがトークンを検証して、ユーザがSalesforce
にログインできるようにします。intranet.aspxは、gotosfdc.aspxにリンクする単純なページであるため、この動作を確認できます。
よくある質問 (FAQ)
シングルサインオンを有効にする方法は?
Salesforce
では、次の方法でSSO
を使用できます。•
Security Assertion Markup Language (SAML)
を使用する統合認証を使用すると、関連付けられているが関連のない
Web
サービス間で認証データを送信することができます。クライアントアプリケーションからSalesforce
にログインできます。Salesforce
では、自動的に組織の統合認証が有効になります。• 代理認証の
SSO
を使用すると、Salesforce
と選択した認証メソッドを統合することができます。これにより、
LDAP (Lightweight Directory Access Protocol)
サーバによる認証を統合するか、認証にパスワードの変わりにトークンを使用することができます。代理認証は組織レベルではなく権限レベルで管理するため、柔 軟性がより高くなります。権限を使用すれば、一部のユーザには代理認証を義務付け、その他のユーザ
は
Salesforce
によって管理されるパスワードを使用するようにできます。代理認証には次の利点があります。
– 安全な
ID
プロバイダとのインテグレーションなど、より厳密なユーザ認証を使用できる– ログインページを非公開にし、企業ファイアウォールの内側からのみアクセスできるようにする – フィッシング攻撃を減らすために、
Salesforce
を使用する他のすべての企業と差別化できる 代理認証を組織で設定する前に、Salesforce
に連絡して代理認証を有効にする必要があります。• 認証プロバイダは外部サービスプロバイダのログイン情報を使用して、
Salesforce
組織にユーザがログイ ンできるようにします。Salesforce
では、OpenID Connect
プロトコルがサポートされており、ユーザは任意 のOpenID Connect
プロバイダPayPal
、)
からログインできます。認証プロバイダが有 効化されている場合、Salesforce
はユーザのパスワードを検証しません。代わりに、Salesforce
は外部サー ビスプロバイダのユーザログイン情報を使用して、認証情報を設定します。Salesforceのどこでシングルサインオンを設定すればよいですか?
代理認証シングルサインオンの場合
:
•
WSDL
にアクセスするには、[
設定]
から[クイック検索]ボックスに「API」と入力し、[API]を選択し、[代理認証 WSDL をダウンロード]を選択します。
• 組織のシングルサインオンゲートウェイ
URL
を指定するには、[
設定]
から[クイック検索]ボックスに「シングルサインオン設定」と入力し、[シングルサインオン設定]を選択し、[編集]を選択します。
• シングルサインオンユーザの「シングルサインオンの有効」ユーザ権限を有効化するには、
[
設定]
から [クイック検索]ボックスに「権限セット」と入力し、[権限セット]を選択します。SAML
を使用する統合認証の場合:
•
[設定] から、
[クイック検索]ボックスに「シングルサインオン設定」と入力し、[シングルサインオン設定]を選択し、[編集]をクリックします。
シングルサインオンの実装時にパスワードをリセットする方法は?
代理認証を使用するシングルサインオンユーザの場合、
Salesforce
でそのパスワードが管理されなくなるた め、パスワードリセットは無効化されます。ユーザがSalesforce
でパスワードをリセットしようとすると、Salesforce
システム管理者に転送されます。シングルサインオンログインエラーを表示できる場所は?
代理認証の場合、「すべてのデータの編集」権限を持つシステム管理者は、
[
設定]
から[クイック検索]ボックスに「代理認証のエラー履歴」と入力し、[代理認証のエラー履歴]を選択して、組織のシングルサイ ンオンログインエラーを新しい順に
21
件表示できます。失敗したログインごとに、ユーザのユーザ名、ロ グイン時刻、およびエラーが表示されます。統合認証の場合、システム管理者は[
設定]
から[クイック検索]ボックスに「ログイン履歴」と入力し、[ログイン履歴]を選択して、ログインエラーを表示できます。
失敗した SAML ログイン試行のログイン履歴のエントリはどこにありますか?
Salesforce
では、アサーションにユーザが見つからない場合、または指定されたユーザID
をSalesforce
のユーザに関連付けられない場合、ログイン履歴にエントリが挿入されます。ログイン履歴を表示するには、
[
設 定]
から[クイック検索]ボックスに「ログイン履歴」と入力し、[ログイン履歴]を選択します。シングルサインオンは会社のファイアウォール外でも機能しますか?
はい、シングルサインオンは会社のファイアウォール外でも機能します。ユーザが会社のファイアウォー ルの外側にいる場合、自分のネットワークパスワードを使用して
Salesforce
にログインできます。または、ログインするための前提条件として、ユーザが会社のネットワークに接続されていることを要求できます。
ID プロバイダから送信された SAML レスポンスを検証できますか?
はい、できます。シングルサインオンを設定した後、
[
設定]
の[
シングルサインオン設定]
ページで[SAML 検 証]をクリックして、[SAML
検証]
ページにアクセスできます。ユーザがSalesforce
にログインしようとして失 敗した場合、無効なSAML
アサーションを使用してSAML
アサーション検証が自動的に設定される場合があ ります。[SAML 検証] ページで、SAML アサーションが自動的に設定されていない場合、サービスプロバイダ から受信したXML
エンコードまたはbase64
エンコードされたSAML
レスポンスを入力できます。Salesforce
は、シングルサインオン設定時に指定された値に対してレスポンスを検証し、レスポンスに関する詳細な 情報を提供します。会社固有の開始ページとログアウトページを設定できますか? はい、できます。
SAML 1.1
または2.0
を使用するシングルサインオンユーザのための開始ページ、エラーページ、ログインページ、ログアウトページをカスタマイズできます。設定の一環として、次の事項を決定します。
•
ID
プロバイダがSAML 1.1
を使用する場合に、シングルサインオンが正常に完了したときのユーザの移動 先となるURL (
開始ページ)
。このURL
は、https://yourInstance.salesforce.com/001/oのような 絶対 URL、または/001/oのような相対 URL にすることができます。この URL は SAML 認証要求を受け入 れるエンドポイントである必要があります。SAML 2.0
では、開始ページは認証される前にユーザがアクセスを試みたページです。SAML 2.0
開始ページは
Sp-init
シングルサインオンをサポートしなければなりません。SAML 2.0
を使用している場合、RelayStateパラメータを使用して正常なログイン後にユーザをリダイレクトする場所を制御することもできます。
•
Salesforce
がログインシーケンスを開始する SAML 要求を送信するシングルサインオン開始ページです。シングルサインオン開始ページを指定する場合は、ログアウトページも指定することをお勧めします。
ログアウトページを指定するとき、ユーザがログアウトをクリックするとき、またはユーザセッション の有効期限が切れた場合に、ユーザはそのページにリダイレクトされます。ログアウトページを指定し ない場合、ユーザは
Salesforce
の通常のログインページにリダイレクトされます。よくある質問 (FAQ)