まえがき
この記事は Salesforce Advent Calendar 2024 の16日目の記事です。
現在、Identity and Access Management アーキテクト の絶賛試験勉強中なのですが、Salesforceさんの動画でデモしてたSalesforce 組織同士のシングルサインオンについて Developer Edition 組織(Trailheadで作成できるハンズオン組織)で実装した際の手順を共有します。👇
元の動画はこちら👇(当該デモの箇所)
Salesforceは IdP(IDプロバイダー)としてもSP(サービスプロバイダー)としても構成できます。
※IdPだのSPだの意味が分からないという方は、土田先生の動画からご覧下さい。
私が今回やってみたのは、SP環境のレポート開こうとリンククリックした一般ユーザーをIdP環境にリダイレクトさせて認証させるというもの。認証されたらSP環境のレポートが表示されます。
マイドメインを設定
DE組織を2つ用意し、今回 IdP側はidpenv SP側はspenv というドメインにしました。
各組織でユーザー情報に同一の統合IDを設定
今回は、営業太郎さんというユーザーで検証します。
SP環境では代理管理者、IdP環境では標準ユーザープロファイルで設定してみました。SSOで同一ユーザーだよと認識されるために統合ID に共通の値を設定しておきます。
IdP側の組織でIDプロバイダーを有効化
IDプロバイダーの画面で「IDプロバイダーを有効化」をクリックします
こんな画面になるので表示された証明書のままで「保存」を押します。
ダウンロードボタンを押して
証明書とメタデータをダウンロードしておきます。
SP側でSAML統合シングルサインオン設定
SP側の組織でシングルサインオン設定をします。
・SAMLを使用した統合シングルサインオンセクションの SAMLを有効化にチェック
・SAMLシングルサインオン構成で「メタデータファイルから新規作成」ボタンを押します。
ダウンロードしておいたメタデータファイルを選択して作成ボタンを押します。
そうするとあらかた埋めてくれています。
IDプロバイダーの証明書のファイル選択でダウンロードしておいた証明書を選択します
IdP側で接続アプリケーションを作成
新規接続アプリケーションを設定します
このときの署名とか証明書とか件名種別とか揃えます。
ちなみに私の環境はこんな設定になってます。
接続アプリの使用できるプロファイル設定もしておきます。(これ設定忘れててハマりました・・・)
SP側で認証設定する
SP側の私のドメイン画面でIdP組織(今回はidpenv-dev-ed)が選択できるようになってるのでチェック入れて保存します。
上記設定でSP側ドメインをクリックしてきたユーザーがSSOできるはず!!!!
あれ?うまくいかない?と思ったら確認するところ
→ ID プロバイダーイベントログ
これは接続アプリケーション側でプロファイル設定していなかったのが原因でした。
サービスプロバイダーとSAMLの統合の前提条件
SAML シングルサインオンフロー
アプリケーションランチャーに表示させて相互に行き来させる設定
それぞれの組織でお互いの接続アプリケーションの設定をして、開始URLを設定しておけばアプリケーションランチャーに別組織が表示されるので、とっても便利になります
こんな感じ
あとがき
複数Salesforce利用している会社さんで実装するきっかけだったりとか、やってみようとおもったけど何か躓いてる方の助けになればいいなーと思ってます。
IAM資格勉強はこんなことできるんだーって学びが多くて面白いなぁと書かせて頂きました。それでは、皆さん素敵な X'mas & Salesforce Lifeを🎄
