エディション
統合認証を使用可能なエ ディション: すべてのエ ディション
代理認証を使用可能なエ ディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、
Developer Edition、および Database.com Edition 認証プロバイダを使用可 能なエディション: Professional Edition、
Enterprise Edition、
Performance Edition、
Unlimited Edition、および Developer Edition
ユーザ権限 設定を参照する
• 「設定・定義を参照す る」
設定を編集する
• 「アプリケーションの カスタマイズ」
および
「すべてのデータの編 集」
Salesforceをシングルサインオン用に設定した後、ユーザが
Salesforce
にログインできない場合は、
[SAML
アサーション検証]
とログイン履歴を使用してID
プロバ イダから送信されたSAML
アサーションを検証します。SAML アサーション検証エラー
エディション
統合認証を使用可能なエ ディション: すべてのエ ディション
代理認証を使用可能なエ ディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、 Developer Edition、および Database.com Edition 認証プロバイダを使用可 能なエディション: Professional Edition、 Enterprise Edition、 Performance Edition、 Unlimited Edition、および Developer Edition
ユーザ権限 設定を参照する
• 「設定・定義を参照す る」
設定を編集する
• 「アプリケーションの カスタマイズ」
および
「すべてのデータの編 集」
Salesforce
では、アサーションで次の有効性が必要です。認証ステートメント
アサーションには<AuthenticationStatement>を含める必要がありま す。
条件ステートメント
アサーションに<Conditions>ステートメントが含まれる場合、有効なタ イムスタンプを含める必要があります。
タイムスタンプ
アサーションに有効性の期間を指定することをお勧めします。また、アサー ションのタイムスタンプは、アサーションの有効性の期間の設定に関わら ず、発行から
5
分プラスマイナス3
分以内であることが必要です。これで、マシン間の相違が許容されます。NotBeforeおよびNotOnOrAfterの制約 も定義済みで有効である必要があります。
属性
Salesforce
設定が[ID は Attribute 要素にあります]に設定されている場合、
ID
プロバイダからのアサーションに<AttributeStatement>が含まれ ている必要があります。SAML 1.1
を使用している場合、<AttributeName>および<AttributeNamespace>が<AttributeStatement>の一部として必須で す。
SAML 2.0
を使用している場合、<AttributeName>は必須です。表示形式
<Issuer>ステートメントのFormat属性
は、"urn:oasis:names:tc:SAML:2.0:nameid-format:entity"と設定 するか、全く設定しないかのいずれかである必要があります。
例
:
<saml:Issuer
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://www.salesforce.com</saml:Issuer>
次の例も有効です。
<saml:Issuer >https://www.salesforce.com</saml:Issuer>
発行者
アサーションで指定された発行者は、Salesforceで指定された発行者と一致する必要があります。
件名
アサーションの件名は、
Salesforce
ユーザ名またはユーザの統合ID
のいずれかにする必要があります。利用者
<Audience>の値は必須で、シングルサインオン設定の[エンティティ ID]と一致する必要があります。
デフォルト値は、https://saml.salesforce.comです。
受信者
アサーションで指定された受信者は、
Salesforce
の設定またはOAuth 2.0
トークンエンドポイントで指定された
Salesforce
ログインURL
と一致する必要があります。アサーションのこの部分は必須で、常に検証されます。
署名
アサーションには、有効な署名が含まれている必要があります。署名は、
SAML
設定で指定された証明書に 関連付けられている秘密鍵を使用して作成する必要があります。受信者
アサーションで受け取った受信者と組織
ID
が、シングルサインオン設定で指定したように予期した受信者 と組織ID
に一致します。アサーションのこの部分は省略可能で、存在する場合にのみ検証されます。例:
Recipient that we found in the assertion: http://aalbert-salesforce.com:8081/
?saml=02HKiPoin4zeKLPYxfj3twkPsNSJF3fxsH0Jnq4vVeQr3xNkIWmZC_IVk3 Recipient that we expected based on the Single Sign-On Settings page:
http://asmith.salesforce.com:8081/
?saml=EK03Almz90Cik_ig0L97.0BRme6mT4o6nzi0t_JROL6HLbdR1WVP5aQO5w Organization Id that we expected: 00Dx0000000BQlI
Organization Id that we found based on your assertion: 00D000000000062
サイト URL 属性
有効なサイト
URL
が指定された場合に検証されます。値は次のとおりです。• 未指定
• オン
• サイトの
URL
が無効です•
HTTPS
にはサイトのURL
が必要です• 指定サイトが無効であるか、ページの使用制限を超えています
エディション
統合認証を使用可能なエ ディション: すべてのエ ディション
代理認証を使用可能なエ ディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、
Developer Edition、および Database.com Edition 認証プロバイダを使用可 能なエディション: Professional Edition、
Enterprise Edition、
Performance Edition、
Unlimited Edition、および Developer Edition
ユーザ権限 設定を参照する
• 「設定・定義を参照す る」
設定を編集する
• 「アプリケーションの カスタマイズ」
および
「すべてのデータの編 集」
ユーザがシングルサインオンを使用して他のアプリケーションから
Salesforce
に ログインしてくると、SAML
アサーションがSalesforce
ログインページに送信され ます。アサーションは、[
設定]
の[セキュリティのコントロール] > [シングルサイ ンオン設定]で指定された認証証明書にあるアサーションと照合します。ユーザ がログインに失敗すると、ログインに失敗した理由を示すメッセージがログイ ン履歴に書き込まれます。さらに、SAML アサーション検証に無効なアサーショ ンが自動的に設定される可能性があります。ログイン履歴を表示するには、
[
設定]
から[ユーザ] > [ログイン履歴]をクリック します。ログイン履歴を参照した後、ID
プロバイダと情報の共有が必要な場合 があります。発生すると考えられるエラーは次のとおりです。