プロビジョニングとは
新入社員が入社した際、Salesforceにユーザを作らねばならない…という場面を想定します。
ユーザを手作業で作ることもできますが、それを自動化する機能もあります。これを「プロビジョニング」と呼びます。
また、退社した場合には自動的にユーザを無効化することもできます。これを「プロビジョニング解除」と呼びます。
本記事では、その方法をまとめます。
前提
ユーザのプロビジョニング&プロビジョニング解除を行うには、外部にIDを管理するサービスが存在していることが前提となります。(Active Directory, Azure AD, Ping Identity, Facebook等)
どのサービスを利用しているかによって、方式が変わってきます。
方式まとめ
| サービス | プロビジョニング方式 | プロビジョニング解除方式 | 仕組み |
|---|---|---|---|
| Open ID Connect (Facebook, Google等) |
Salesforceの設定画面でFacebook, Google等を認証プロバイダに設定時に自動生成される登録ハンドラのコードを編集し、ユーザを自動生成するよう変える。 | (不可) | Facebook, Google等を使ってサインアップ/ログイン時に登録ハンドラが自動実行される。 |
| Azure AD | Azure ADでこちらの手順を参照して設定する。 | Azure ADでこちらの手順を参照して設定する。 | 左記の設定を行うと、Azure ADが裏でSOAP APIを叩いてくれるようになっている。 |
| SCIMに対応するSAML IDプロバイダ (例:Ping Identity) |
Ping Identityの場合、こちらの手順を参照して設定する。 | Ping Identityの場合、こちらの手順を参照して設定する。 | 左記の設定を行うと、IDプロバイダが裏でSCIM エンドポイントを叩いてくれるようになっている。 |
| SCIMに対応しないSAML IDプロバイダ | Salesforceの設定画面でSAML 用のジャストインタイムプロビジョニングを有効化する。 | 標準機能では実現不可。IDプロバイダ側でユーザの無効化時にREST APIまたはSOAP APIを叩いてSalesforceのユーザを無効化する必要がある。 | 左記の設定を行うと、Salesforceに存在しないユーザがSAMLによってログインしようとした際にSalesforceが自動的にユーザを作成してくれる。 |
| Active Directory | Identity Connectを導入する。 | Identity Connectを導入する。 | Identity Connectは、Active Direcoryのユーザ情報をSalesforceに同期する製品。 |