Salesforce 外部IDP連携の設定方法

本ページでは、Salesforce をSAML Identity Provider(IdP)として使用し、
トラスト・ログインと連携する手順を説明します。

設定はSalesforce側とトラスト・ログイン管理ページの両方で行います。

事前確認

  • トラスト・ログインオプションの外部IDP連携オプションへのお申し込みが必要です。
  • トラスト・ログインにSalesforceと同じメールアドレスでアカウントを作成しておく必要があります。
    ※ログインIDを使用して照合する場合は、メールアドレスの一致は必須ではありません。
     参考:外部IDP(SAML)連携のNameID設定
  • トラスト・ログインの外部IDP連携では、SP Initiated SSOのみ対応しています。
  • ログイン方法をSAML認証のみに制限したい場合、メンバーをパスワード認証の割り当てから外す必要があります。
    管理者権限ユーザーは緊急時に備え、パスワード認証を割り当てておくことを推奨します。
     参考:パスワード認証の設定 ~IDPとトラスト・ログインのパスワード両方でログインする~

設定手順

Salesforce 側の設定

※最新の設定手順はSalesforceから提供されているマニュアルをご確認ください。
 参考(外部サイト):SAML が有効な接続アプリケーションとしてのサービスプロバイダの定義

  1. Salesforceに管理者アカウントでログインします。
     
  2. 「管理」「セキュリティのコントロール」「IDプロバイダ」で「IDプロバイダを有効化」ボタンを押します。
    次画面ではドロップダウンメニューから証明書を選択します。
    Salesforce01__1_.png
     
  3. 「IDプロバイダの設定」で「発行者」を控え、
    「証明書のダウンロード」ボタンから証明書ファイルを保存します。
    Salesforce03__4_.png
     
  4. 「サービスプロバイダ」横の
    「接続アプリケーションでサービスプロバイダが作成されました。こちらをクリックしてください。」をクリックすると
    「新規接続アプリケーション」画面に進みます。
    「基本情報」で各項目を以下のように設定し、ロゴをアップロードします。

    項目 設定値・詳細
    接続アプリケーション名 TrustLogin
    API参照名 TrustLogin
    取引先責任者メール idaas-jp@globalsign.com

    salesforce01.png
     

  5. 続けて「Webアプリケーション設定」で「SAMLの有効化」をオンに変更し、
    各項目を以下のように設定して「保存」ボタンを押します。 

    項目 設定値・詳細
    開始 URL(任意)

    ※外部IDP連携では通常 SP Initated SSOのみ対応していますが、
     「開始 URL」に以下のURLを設定することで、IDPから遷移させることが可能になります。
     必要に応じてご設定ください。

    https://portal.trustlogin.com/

    エンティティID trustlogin-saml-sp
    ACS URL https://portal.trustlogin.com/saml/acs
    件名種別 ユーザ名
    名前ID形式 NameIDとして送信するユーザー属性の形式を指定します。

    salesforce02.png
     

  6. 「Manage」ボタンを押し、次画面の「SP-initのリダイレクトエンドポイント(SSO URL)」を控えます。また、
    「プロファイルを管理する」ボタンを押し、IDP連携を利用するユーザーのプロファイルを選択します。
    Salesforce06.png

以上でSalesforce側の設定は完了です。
続いてトラスト・ログイン側の設定を行います。
 

トラスト・ログイン側の設定

  1. トラスト・ログインにログインし、
    「管理ページ」の「設定 > オプション機能 > 外部IDP連携 > 設定」を開きます。

     
  2. 「SAML IDPを追加」を開きます。

     
  3. 「SAML IDプロバイダー作成」画面で、以下の情報を入力します。

    項目 設定値・詳細
    名前 任意の名称を入力してください。
    例:Salesforce
    SSO URL Salesforce の設定 > 手順5で控えた「SSO URL」の値
    Entity ID Salesforce の設定 > 手順3で控えた「発行者」の値
    SAML IDプロバイダー証明書 Salesforce の設定 > 手順3でダウンロードした証明書情報
    ※証明書はテキストエディタで開き、テキストをコピーペーストしてください。
    NameIDフォーマット NameIDとして送信する形式を指定します。
    Salesforce の設定 > 手順5の「名前ID形式」で指定した形式に合わせた値を選択してください。

    ※詳細はこちら
    優先NameID属性 NameIDの照合時、優先するメンバー属性を指定します。

    ※詳細はこちら
    大文字・小文字を区別する NameIDの照合時に大文字・小文字を区別するかどうかを指定します。
    ※詳細はこちら


     

  4. 「登録」をクリックします。
     
  5. 続いてSalesforceのIDでログインさせるメンバーの割り当てを行います。
    外部IDPリストから、先ほど追加したSAML IDPの名前をクリックします。
     
  6. 「メンバーの追加」をクリックします。(グループごと追加する場合には「グループの追加」)
    salesforce.png
     
  7. 対象のメンバーを選択し「登録」ボタンをクリックします。
    SKUID__11_.png

    メンバーの追加が完了しました。
    以上で設定は完了です。

設定確認

トラスト・ログインログインページより、企業IDとメールアドレスを入力するとSalesforceのボタンが現れます。

そちらでログインしてください。

SKUID02__2_.png

Salesforce 外部IDP連携の設定方法

本ページでは、Salesforce をSAML Identity Provider(IdP)として使用し、
トラスト・ログインと連携する手順を説明します。

設定はSalesforce側とトラスト・ログイン管理ページの両方で行います。

事前確認

  • トラスト・ログインオプションの外部IDP連携オプションへのお申し込みが必要です。
  • トラスト・ログインにSalesforceと同じメールアドレスでアカウントを作成しておく必要があります。
    ※ログインIDを使用して照合する場合は、メールアドレスの一致は必須ではありません。
     参考:外部IDP(SAML)連携のNameID設定
  • トラスト・ログインの外部IDP連携では、SP Initiated SSOのみ対応しています。
  • ログイン方法をSAML認証のみに制限したい場合、メンバーをパスワード認証の割り当てから外す必要があります。
    管理者権限ユーザーは緊急時に備え、パスワード認証を割り当てておくことを推奨します。
     参考:パスワード認証の設定 ~IDPとトラスト・ログインのパスワード両方でログインする~

設定手順

Salesforce 側の設定

※最新の設定手順はSalesforceから提供されているマニュアルをご確認ください。
 参考(外部サイト):SAML が有効な接続アプリケーションとしてのサービスプロバイダの定義

  1. Salesforceに管理者アカウントでログインします。
     
  2. 「管理」「セキュリティのコントロール」「IDプロバイダ」で「IDプロバイダを有効化」ボタンを押します。
    次画面ではドロップダウンメニューから証明書を選択します。
    Salesforce01__1_.png
     
  3. 「IDプロバイダの設定」で「発行者」を控え、
    「証明書のダウンロード」ボタンから証明書ファイルを保存します。
    Salesforce03__4_.png
     
  4. 「サービスプロバイダ」横の
    「接続アプリケーションでサービスプロバイダが作成されました。こちらをクリックしてください。」をクリックすると
    「新規接続アプリケーション」画面に進みます。
    「基本情報」で各項目を以下のように設定し、ロゴをアップロードします。

    項目 設定値・詳細
    接続アプリケーション名 TrustLogin
    API参照名 TrustLogin
    取引先責任者メール idaas-jp@globalsign.com

    salesforce01.png
     

  5. 続けて「Webアプリケーション設定」で「SAMLの有効化」をオンに変更し、
    各項目を以下のように設定して「保存」ボタンを押します。 

    項目 設定値・詳細
    開始 URL(任意)

    ※外部IDP連携では通常 SP Initated SSOのみ対応していますが、
     「開始 URL」に以下のURLを設定することで、IDPから遷移させることが可能になります。
     必要に応じてご設定ください。

    https://portal.trustlogin.com/

    エンティティID trustlogin-saml-sp
    ACS URL https://portal.trustlogin.com/saml/acs
    件名種別 ユーザ名
    名前ID形式 NameIDとして送信するユーザー属性の形式を指定します。

    salesforce02.png
     

  6. 「Manage」ボタンを押し、次画面の「SP-initのリダイレクトエンドポイント(SSO URL)」を控えます。また、
    「プロファイルを管理する」ボタンを押し、IDP連携を利用するユーザーのプロファイルを選択します。
    Salesforce06.png

以上でSalesforce側の設定は完了です。
続いてトラスト・ログイン側の設定を行います。
 

トラスト・ログイン側の設定

  1. トラスト・ログインにログインし、
    「管理ページ」の「設定 > オプション機能 > 外部IDP連携 > 設定」を開きます。

     
  2. 「SAML IDPを追加」を開きます。

     
  3. 「SAML IDプロバイダー作成」画面で、以下の情報を入力します。

    項目 設定値・詳細
    名前 任意の名称を入力してください。
    例:Salesforce
    SSO URL Salesforce の設定 > 手順5で控えた「SSO URL」の値
    Entity ID Salesforce の設定 > 手順3で控えた「発行者」の値
    SAML IDプロバイダー証明書 Salesforce の設定 > 手順3でダウンロードした証明書情報
    ※証明書はテキストエディタで開き、テキストをコピーペーストしてください。
    NameIDフォーマット NameIDとして送信する形式を指定します。
    Salesforce の設定 > 手順5の「名前ID形式」で指定した形式に合わせた値を選択してください。

    ※詳細はこちら
    優先NameID属性 NameIDの照合時、優先するメンバー属性を指定します。

    ※詳細はこちら
    大文字・小文字を区別する NameIDの照合時に大文字・小文字を区別するかどうかを指定します。
    ※詳細はこちら


     

  4. 「登録」をクリックします。
     
  5. 続いてSalesforceのIDでログインさせるメンバーの割り当てを行います。
    外部IDPリストから、先ほど追加したSAML IDPの名前をクリックします。
     
  6. 「メンバーの追加」をクリックします。(グループごと追加する場合には「グループの追加」)
    salesforce.png
     
  7. 対象のメンバーを選択し「登録」ボタンをクリックします。
    SKUID__11_.png

    メンバーの追加が完了しました。
    以上で設定は完了です。

設定確認

トラスト・ログインログインページより、企業IDとメールアドレスを入力するとSalesforceのボタンが現れます。

そちらでログインしてください。

SKUID02__2_.png