YPortalRole

Rating Street

ポータルのジャストインタイムプロビジョニング

SAML 用のジャストインタイムプロビジョニングについ

て

コメント 必須項目

項目

空白の場合、デフォルトは「ロールなし」に設定されます。

UserRoleId Website Zip

通常の

SAML JIT

ユーザにサポートされた標準項目のほかに、取引先責任者では、次の項目がサポートされてい

ます。

コメント 必須項目

項目

Birthdate

氏名

|

電話 CanAllowPortalSelfReg

Department Description DoNotCall Fax

HasOptedOutofEmail HasOptedOutofFax HomePhone

LeadSource

町名・番地

|

市区郡

|

都道府県

|

郵便番号

|

国 Mailing

MobilePhone Owner

町名・番地

|

市区郡

|

都道府県

|

郵便番号

|

国 Other

OtherPhone Phone Salutation Title

コミュニティのジャストインタイムプロビジョニング

コミュニティのジャストインタイム

(JIT)

のプロビジョニングによって、

SAML

アサーションを使用して、ユー ザが

ID

プロバイダからはじめてログインするときにその場で顧客とパートナーコミュニティユーザを作成す ることができます。そのため、あらかじめユーザアカウントを作成する必要性がなくなります。JIT は、SAML

コミュニティのジャストインタイムプロビジョニング

SAML 用のジャストインタイムプロビジョニングについ

て

を使用して通信するため、組織で

SAML

ベースのシングルサインオンが有効化されている必要があります。そ の後、

ID

プロバイダと連携して必要な

JIT

の

SAML

アサーションを生成できます。

SAML シングルサインオン設定

[SAML を有効化]を使用したシングルサインオン用の SAML 設定の手順に従います。必要に応じて値を設定 し、

JIT

プロビジョニングのコミュニティに固有の次の値も含めます。

1. [ユーザプロビジョニングの有効化]をオンにします。

メモ:

• ジャストインタイムプロビジョニングでは、ユーザタイプの統合

ID

が必要です。[SAML のユーザ ID 種別]で、

[

アサーションには、ユーザオブジェクトの統合

ID

が含まれます

]

を選択します。

•

ID

プロバイダが

Salesforce

ユーザ名を以前使用していた場合は、統合

ID

を使用する必要があること を

ID

プロバイダに通知してください。

2. [エンティティ ID]は組織全体で一意であり、httpsで始まる必要があります。

1

つの組織に[エンティティ

ID]が同じ

2

つの

SAML

設定を使用することはできません。[エンティティ ID]に基本ドメイン

(

https://saml.salesforce.com

)

を使用するか、コミュニティ

URL

(

https://acme.force.com/customersなど

)

を使用するかを指定します。この情報は、

ID

プロバイダと 共有する必要があります。

ヒント: 通常、エンティティ

ID

としてコミュニティ

URL

を使用します。

Salesforce to Salesforce

サービスを 提供する場合、コミュニティ

URL

を指定する必要があります。

3. [SAML のユーザ ID 種別]で、[アサーションには、ユーザオブジェクトの統合 ID が含まれます]を選択 します。

ID

プロバイダが

Salesforce

ユーザ名を以前使用していた場合は、統合

ID

を使用する必要があること を

ID

プロバイダに通知してください。

コミュニティユーザの作成と変更

SAML

アサーションには次が必要です。

• [受信者]

URL

。これは、組織の

SAML

シングルサインオン設定詳細ページからのコミュニティログイン

URL

です。

URL

は次の形式を使用します。

https://<community_URL>/login?so=<orgID>

たとえば、Recipient="https://acme.force.com/customers/login?so=00DD0000000JsCM"とした 場合、acme.force.com/customersがコミュニティホームページで、00DD0000000JsCMが[組織 ID]

です。

アサーション復号化証明書が組織の

SAML

シングルサインオン設定にアップロードされている場合、scパ ラメータを使用して

URL

に証明書

ID

を含めます。たとえば、

Recipient="https://acme.force.com/customers/login?so=00DD0000000JsCM&sc=0LE000000Dp"

とした場合、0LE000000Dpが証明書

ID

です。

コミュニティのジャストインタイムプロビジョニング

SAML 用のジャストインタイムプロビジョニングについ

て

•

Salesforce

で、

SAML

アサーションの件名内

(

または、

SAML

シングルサインオン設定での

SAML ID

の場所の定義 方法によっては属性要素内

)

の[統合 ID]を既存のユーザレコードのFederationIdentifier項目と照 合すること。

1. 一致するユーザレコードが見つかった場合は、

SAML

アサーションの属性を使用して指定された項目を 更新します。

2. 一致するユーザレコードが見つからなかった場合は、指定された[取引先 ID]

(

Contact.Accountま たはAccount.AccountNumber

)

の取引先責任者の一致を取引先責任者

ID (

User.ContactId

)

またはメー ル

(

Contact.Email

)

に基づいて検索します。

i. 一致する取引先責任者レコードが見つかった場合は、

SAML

アサーションの属性を使用して指定され た取引先責任者項目を更新してから、新しいユーザレコードを挿入します。

ii. 一致する取引先責任者レコードが見つからなかった場合は、

SAML

アサーションで指定された Contact.AccountまたはAccount.AccountNumberとAccount.Nameの両方に基づいて取引先 の一致を検索するか、一致が見つかった場合は取引先の既存の取引先責任者とユーザレコードを更 新します。

i. 一致する取引先レコードが見つかった場合は、新しいユーザレコードを挿入し、

SAML

アサーショ ンで指定された属性に基づいて取引先レコードを更新します。

ii. 一致する取引先レコードが見つからなかった場合は、

SAML

アサーションで指定された属性に基づ いて新しい取引先レコード、新しい取引先責任者レコード、および新しいユーザレコードを挿入 します。

ユーザアカウントが無効な場合、ユーザアカウントは更新されますが、

JIT

アサーションのUser.IsActive

が

true

に設定されていない限り、無効なままです。その[統合 ID]のユーザアカウントが存在しない場

合、新規ユーザが作成されます。

• コミュニティで自己登録が無効になっており、デフォルトの新規ユーザプロファイルとロールが指定され ていない場合、User.ProfileId項目に、コミュニティに関連付けられている有効なプロファイル名また は

ID

が含まれること。

Salesforce

は、

SAML

アサーションの件名内の[統合 ID]を既存のユーザレコードのFederationIdentifier

項目と照合します。

メモ:

Salesforce

では、

SAML

アサーション内のユーザオブジェクトのカスタム項目もサポートされていま

す。Userで始まるアサーションの属性は、カスタム項目として解析されます。たとえば、アサーション の属性User.NumberOfProductsBought__cは、プロビジョニングされるユーザの

NumberOfProductsBought項目に配置されます。取引先と取引先責任者ではカスタム項目はサポート されていません。

コミュニティ SAML アサーションでサポートされる項目

Salesforce

に作成するオブジェクトを正しく識別するために、プレフィックスを使用する必要があります。

SAML

アサーションでは、取引先スキーマのすべての項目にAccountプレフィックスを使用し

(

たとえば、

コミュニティのジャストインタイムプロビジョニング

SAML 用のジャストインタイムプロビジョニングについ

て

Account.AccountId

)

、取引先責任者スキーマのすべての項目にContactプレフィックスを使用します。次 の例では、[メール]項目名にContactプレフィックスが追加されています。

<saml:Attribute

Name="Contact.Email"

NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">

<saml:AttributeValue xsi:type="xs:anyType">testuser@123.org</saml:AttributeValue>

</saml:Attribute>

通常の

SAML JIT

ユーザにサポートされた標準項目のほかに、取引先では、次の項目がサポートされています。

コメント 必須項目

項目

町名・番地

|

市区郡

|

都道府県

|

郵便番号

|

国 Billing

AnnualRevenue Description Fax

この項目がある場合は、

SAML

件名に一致する必要がありま す。一致しない場合は、代わりに

SAML

件名を取得します。

SAML

で更新することはできません。

FederationIdentifier

(

挿入

Y

のみ

)

IsCustomerPortal IsPartner

NumberOfEmployees Ownership

Phone PortalRole Rating Street

TickerSymbol

空白の場合、デフォルトは「ロールなし」に設定されます。

UserRoleId Website Zip

通常の

SAML JIT

ユーザにサポートされた標準項目のほかに、取引先責任者では、次の項目がサポートされてい

ます。

コメント 必須項目

項目 Birthdate

コミュニティのジャストインタイムプロビジョニング

SAML 用のジャストインタイムプロビジョニングについ

て

コメント 必須項目

項目

氏名

|

電話 CanAllowPortalSelfReg

Department Description DoNotCall Fax

HasOptedOutofEmail HasOptedOutofFax HomePhone

LeadSource

町名・番地

|

市区郡

|

都道府県

|

郵便番号

|

国 Mailing

MobilePhone Owner

町名・番地

|

市区郡

|

都道府県

|

郵便番号

|

国 Other

OtherPhone Phone Salutation Title

ジャストインタイムプロビジョニングのエラー

次に、

SAML

用のジャストインプロビジョニングのエラーコードと説明を示します。

SAML

エラーは

URL

パラメータで返されます。次に例を示します。

http://login.salesforce.com/identity/jit/saml-error.jsp?

ErrorCode=5&ErrorDescription=Unable+to+create+user&ErrorDetails=

INVALID_OR_NULL_FOR_RESTRICTED_PICKLIST+TimeZoneSidKey

メモ:

Salesforce

では、

SAML

構成でカスタムエラー

URL

が指定されている場合、この

URL

をリダイレクトし

ます。

エラーメッセージ

エラーの詳細 説明

コード

MISSING_FEDERATION_ID

ドキュメント内 シングルサインオン実装ガイド (ページ 40-45)