Rating Street
ポータルのジャストインタイムプロビジョニング
SAML 用のジャストインタイムプロビジョニングについ
て
コメント 必須項目
項目
空白の場合、デフォルトは「ロールなし」に設定されます。
UserRoleId Website Zip
通常の
SAML JIT
ユーザにサポートされた標準項目のほかに、取引先責任者では、次の項目がサポートされています。
コメント 必須項目
項目
Birthdate
氏名
|
電話 CanAllowPortalSelfRegDepartment Description DoNotCall Fax
HasOptedOutofEmail HasOptedOutofFax HomePhone
LeadSource
町名・番地
|
市区郡|
都道府県|
郵便番号|
国 MailingMobilePhone Owner
町名・番地
|
市区郡|
都道府県|
郵便番号|
国 OtherOtherPhone Phone Salutation Title
コミュニティのジャストインタイムプロビジョニング
コミュニティのジャストインタイム
(JIT)
のプロビジョニングによって、SAML
アサーションを使用して、ユー ザがID
プロバイダからはじめてログインするときにその場で顧客とパートナーコミュニティユーザを作成す ることができます。そのため、あらかじめユーザアカウントを作成する必要性がなくなります。JIT は、SAMLコミュニティのジャストインタイムプロビジョニング
SAML 用のジャストインタイムプロビジョニングについ
て
を使用して通信するため、組織で
SAML
ベースのシングルサインオンが有効化されている必要があります。そ の後、ID
プロバイダと連携して必要なJIT
のSAML
アサーションを生成できます。SAML シングルサインオン設定
[SAML を有効化]を使用したシングルサインオン用の SAML 設定の手順に従います。必要に応じて値を設定 し、
JIT
プロビジョニングのコミュニティに固有の次の値も含めます。1. [ユーザプロビジョニングの有効化]をオンにします。
メモ:
• ジャストインタイムプロビジョニングでは、ユーザタイプの統合
ID
が必要です。[SAML のユーザ ID 種別]で、[
アサーションには、ユーザオブジェクトの統合ID
が含まれます]
を選択します。•
ID
プロバイダがSalesforce
ユーザ名を以前使用していた場合は、統合ID
を使用する必要があること をID
プロバイダに通知してください。2. [エンティティ ID]は組織全体で一意であり、httpsで始まる必要があります。
1
つの組織に[エンティティID]が同じ
2
つのSAML
設定を使用することはできません。[エンティティ ID]に基本ドメイン(
https://saml.salesforce.com)
を使用するか、コミュニティURL
(
https://acme.force.com/customersなど)
を使用するかを指定します。この情報は、ID
プロバイダと 共有する必要があります。ヒント: 通常、エンティティ
ID
としてコミュニティURL
を使用します。Salesforce to Salesforce
サービスを 提供する場合、コミュニティURL
を指定する必要があります。3. [SAML のユーザ ID 種別]で、[アサーションには、ユーザオブジェクトの統合 ID が含まれます]を選択 します。
ID
プロバイダがSalesforce
ユーザ名を以前使用していた場合は、統合ID
を使用する必要があること をID
プロバイダに通知してください。コミュニティユーザの作成と変更
SAML
アサーションには次が必要です。• [受信者]
URL
。これは、組織のSAML
シングルサインオン設定詳細ページからのコミュニティログインURL
です。URL
は次の形式を使用します。https://<community_URL>/login?so=<orgID>
たとえば、Recipient="https://acme.force.com/customers/login?so=00DD0000000JsCM"とした 場合、acme.force.com/customersがコミュニティホームページで、00DD0000000JsCMが[組織 ID]
です。
アサーション復号化証明書が組織の
SAML
シングルサインオン設定にアップロードされている場合、scパ ラメータを使用してURL
に証明書ID
を含めます。たとえば、Recipient="https://acme.force.com/customers/login?so=00DD0000000JsCM&sc=0LE000000Dp"
とした場合、0LE000000Dpが証明書
ID
です。コミュニティのジャストインタイムプロビジョニング
SAML 用のジャストインタイムプロビジョニングについ
て
•
Salesforce
で、SAML
アサーションの件名内(
または、SAML
シングルサインオン設定でのSAML ID
の場所の定義 方法によっては属性要素内)
の[統合 ID]を既存のユーザレコードのFederationIdentifier項目と照 合すること。1. 一致するユーザレコードが見つかった場合は、
SAML
アサーションの属性を使用して指定された項目を 更新します。2. 一致するユーザレコードが見つからなかった場合は、指定された[取引先 ID]
(
Contact.Accountま たはAccount.AccountNumber)
の取引先責任者の一致を取引先責任者ID (
User.ContactId)
またはメー ル(
Contact.Email)
に基づいて検索します。i. 一致する取引先責任者レコードが見つかった場合は、
SAML
アサーションの属性を使用して指定され た取引先責任者項目を更新してから、新しいユーザレコードを挿入します。ii. 一致する取引先責任者レコードが見つからなかった場合は、
SAML
アサーションで指定された Contact.AccountまたはAccount.AccountNumberとAccount.Nameの両方に基づいて取引先 の一致を検索するか、一致が見つかった場合は取引先の既存の取引先責任者とユーザレコードを更 新します。i. 一致する取引先レコードが見つかった場合は、新しいユーザレコードを挿入し、
SAML
アサーショ ンで指定された属性に基づいて取引先レコードを更新します。ii. 一致する取引先レコードが見つからなかった場合は、
SAML
アサーションで指定された属性に基づ いて新しい取引先レコード、新しい取引先責任者レコード、および新しいユーザレコードを挿入 します。ユーザアカウントが無効な場合、ユーザアカウントは更新されますが、
JIT
アサーションのUser.IsActiveが
true
に設定されていない限り、無効なままです。その[統合 ID]のユーザアカウントが存在しない場合、新規ユーザが作成されます。
• コミュニティで自己登録が無効になっており、デフォルトの新規ユーザプロファイルとロールが指定され ていない場合、User.ProfileId項目に、コミュニティに関連付けられている有効なプロファイル名また は
ID
が含まれること。Salesforce
は、SAML
アサーションの件名内の[統合 ID]を既存のユーザレコードのFederationIdentifier項目と照合します。
メモ:
Salesforce
では、SAML
アサーション内のユーザオブジェクトのカスタム項目もサポートされています。Userで始まるアサーションの属性は、カスタム項目として解析されます。たとえば、アサーション の属性User.NumberOfProductsBought__cは、プロビジョニングされるユーザの
NumberOfProductsBought項目に配置されます。取引先と取引先責任者ではカスタム項目はサポート されていません。
コミュニティ SAML アサーションでサポートされる項目
Salesforce
に作成するオブジェクトを正しく識別するために、プレフィックスを使用する必要があります。SAML
アサーションでは、取引先スキーマのすべての項目にAccountプレフィックスを使用し
(
たとえば、コミュニティのジャストインタイムプロビジョニング
SAML 用のジャストインタイムプロビジョニングについ
て
Account.AccountId
)
、取引先責任者スキーマのすべての項目にContactプレフィックスを使用します。次 の例では、[メール]項目名にContactプレフィックスが追加されています。<saml:Attribute
Name="Contact.Email"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">testuser@123.org</saml:AttributeValue>
</saml:Attribute>
通常の
SAML JIT
ユーザにサポートされた標準項目のほかに、取引先では、次の項目がサポートされています。コメント 必須項目
項目
町名・番地
|
市区郡|
都道府県|
郵便番号|
国 BillingAnnualRevenue Description Fax
この項目がある場合は、
SAML
件名に一致する必要がありま す。一致しない場合は、代わりにSAML
件名を取得します。SAML
で更新することはできません。FederationIdentifier
(
挿入Y
のみ)
IsCustomerPortal IsPartner
NumberOfEmployees Ownership
Phone PortalRole Rating Street
TickerSymbol
空白の場合、デフォルトは「ロールなし」に設定されます。
UserRoleId Website Zip
通常の
SAML JIT
ユーザにサポートされた標準項目のほかに、取引先責任者では、次の項目がサポートされています。
コメント 必須項目
項目 Birthdate
コミュニティのジャストインタイムプロビジョニング
SAML 用のジャストインタイムプロビジョニングについ
て
コメント 必須項目
項目
氏名
|
電話 CanAllowPortalSelfRegDepartment Description DoNotCall Fax
HasOptedOutofEmail HasOptedOutofFax HomePhone
LeadSource
町名・番地
|
市区郡|
都道府県|
郵便番号|
国 MailingMobilePhone Owner
町名・番地
|
市区郡|
都道府県|
郵便番号|
国 OtherOtherPhone Phone Salutation Title
ジャストインタイムプロビジョニングのエラー
次に、
SAML
用のジャストインプロビジョニングのエラーコードと説明を示します。SAML
エラーはURL
パラメータで返されます。次に例を示します。http://login.salesforce.com/identity/jit/saml-error.jsp?
ErrorCode=5&ErrorDescription=Unable+to+create+user&ErrorDetails=
INVALID_OR_NULL_FOR_RESTRICTED_PICKLIST+TimeZoneSidKey
メモ:
Salesforce
では、SAML
構成でカスタムエラーURL
が指定されている場合、このURL
をリダイレクトします。
エラーメッセージ
エラーの詳細 説明
コード