■ はじめに
Salesforce Identityは、Salesforceにおける認証・SSOを整理するうえで重要な機能です。
ただ、実務では次のように混乱しやすいです。
- Salesforce IdentityはIdPなのか?
- Salesforce IdentityはSPなのか?
- 既存の企業SSOと連携する場合、どちらの役割になるのか?
本記事では、Salesforce Identityの構成を
IdP / SP の役割に絞ってシンプルに整理します。
■ Salesforce Identityとは
Salesforce Identityとは、Salesforceが提供する認証・ID管理の仕組みです。
主に以下のような用途で使用されます。
- Salesforceへのログイン管理
- 外部アプリとのSSO連携
- Experience Cloudなどの顧客向け認証
- 複数サービスへのログイン統合
ポイントは、Salesforce Identityは構成によって
IdPにもSPにもなれるという点です。
■ 実務上の要望
実務では、以下のような要望がよくあります。
- 既存の企業SSOを使ってSalesforceにログインしたい
- Salesforceを認証基盤として外部アプリにもログインさせたい
- 複数のアプリを1回のログインで使えるようにしたい
- 利用者にシンプルなログイン体験を提供したい
このときに重要になるのが、
Salesforce IdentityがIdPとして動くのか、SPとして動くのかです。
■ IdPとSPの考え方
まず、IdPとSPの役割を整理します。
| 用語 | 意味 | 役割 |
|---|---|---|
| IdP | Identity Provider | 認証する側 |
| SP | Service Provider | 認証結果を受け取る側 |
シンプルに言うと、以下の整理です。
認証する側 → IdP
認証結果を使う側 → SP
■ 実務上のSalesforce Identityの構成
Salesforce Identityは、認証ハブのように利用できます。
利用者
↓
Salesforce Identity
↓
Salesforce / 外部アプリ
ただし、既存の企業SSOがある場合は、
Salesforce Identityが必ず認証する側になるとは限りません。
既存のエンタープライズSSOが認証を担当する場合、
Salesforce Identityはその認証結果を受け取る側になります。
つまり、この場合のSalesforce Identityは、
サービスプロバイダー(SP) として機能します。
■ 構成図
以下のように整理すると分かりやすいです。
■ 試験・実務での判断ポイント
Salesforce Identityの役割を判断するときは、
次の順番で考えると分かりやすいです。
1. 誰が認証しているか?
まず、認証している主体を確認します。
既存の企業SSOが認証している
→ 企業SSOがIdP
Salesforce Identityが認証している
→ Salesforce IdentityがIdP
2. Salesforce Identityは何をしているか?
次に、Salesforce Identityの役割を見ます。
認証結果を受け取っている
→ SP
認証結果を他サービスへ渡している
→ IdP
■ まとめ
Salesforce Identityは、構成によって
IdPにもSPにもなります。
重要なのは、名称ではなく役割です。
| 要件 | Salesforce Identityの役割 |
|---|---|
| 既存の企業認証を使う | SP |
| Salesforceを認証基盤にする | IdP |
特に、既存のエンタープライズSSOを利用する場合は、
Salesforce Identityは認証する側ではなく、
認証結果を受け取る側として機能します。
そのため、この場合のSalesforce Identityは、
サービスプロバイダー(SP) と整理できます。
■ 参考
Salesforce Help
Salesforce Customer Identity の SSO ユースケース
https://help.salesforce.com/s/articleView?id=xcloud.external_identity_single_sign_on_use_cases.htm&type=5