本ページでは、Salesforce をSAML Identity Provider(IdP)として使用し、
トラスト・ログインと連携する手順を説明します。
設定はSalesforce側とトラスト・ログイン管理ページの両方で行います。
事前確認
- トラスト・ログインオプションの外部IDP連携オプションへのお申し込みが必要です。
- トラスト・ログインにSalesforceと同じメールアドレスでアカウントを作成しておく必要があります。
※ログインIDを使用して照合する場合は、メールアドレスの一致は必須ではありません。
参考:外部IDP(SAML)連携のNameID設定 - トラスト・ログインの外部IDP連携では、SP Initiated SSOのみ対応しています。
- ログイン方法をSAML認証のみに制限したい場合、メンバーをパスワード認証の割り当てから外す必要があります。
※管理者権限ユーザーは緊急時に備え、パスワード認証を割り当てておくことを推奨します。
参考:パスワード認証の設定 ~IDPとトラスト・ログインのパスワード両方でログインする~
設定手順
Salesforce 側の設定
※最新の設定手順はSalesforceから提供されているマニュアルをご確認ください。
参考(外部サイト):SAML が有効な接続アプリケーションとしてのサービスプロバイダの定義
-
Salesforceに管理者アカウントでログインします。
- 「管理」「セキュリティのコントロール」「IDプロバイダ」で「IDプロバイダを有効化」ボタンを押します。
次画面ではドロップダウンメニューから証明書を選択します。
- 「IDプロバイダの設定」で「発行者」を控え、
「証明書のダウンロード」ボタンから証明書ファイルを保存します。
-
「サービスプロバイダ」横の
「接続アプリケーションでサービスプロバイダが作成されました。こちらをクリックしてください。」をクリックすると
「新規接続アプリケーション」画面に進みます。
「基本情報」で各項目を以下のように設定し、ロゴをアップロードします。項目 設定値・詳細 接続アプリケーション名 TrustLogin API参照名 TrustLogin 取引先責任者メール idaas-jp@globalsign.com
-
続けて「Webアプリケーション設定」で「SAMLの有効化」をオンに変更し、
各項目を以下のように設定して「保存」ボタンを押します。項目 設定値・詳細 開始 URL(任意) ※外部IDP連携では通常 SP Initated SSOのみ対応していますが、
「開始 URL」に以下のURLを設定することで、IDPから遷移させることが可能になります。
必要に応じてご設定ください。https://portal.trustlogin.com/
エンティティID trustlogin-saml-sp ACS URL https://portal.trustlogin.com/saml/acs 件名種別 ユーザ名 名前ID形式 NameIDとして送信するユーザー属性の形式を指定します。
- 「Manage」ボタンを押し、次画面の「SP-initのリダイレクトエンドポイント(SSO URL)」を控えます。また、
「プロファイルを管理する」ボタンを押し、IDP連携を利用するユーザーのプロファイルを選択します。
以上でSalesforce側の設定は完了です。
続いてトラスト・ログイン側の設定を行います。
トラスト・ログイン側の設定
- トラスト・ログインにログインし、
「管理ページ」の「設定 > オプション機能 > 外部IDP連携 > 設定」を開きます。
- 「SAML IDPを追加」を開きます。
-
「SAML IDプロバイダー作成」画面で、以下の情報を入力します。
項目 設定値・詳細 名前 任意の名称を入力してください。
例:SalesforceSSO URL Salesforce の設定 > 手順5で控えた「SSO URL」の値 Entity ID Salesforce の設定 > 手順3で控えた「発行者」の値 SAML IDプロバイダー証明書 Salesforce の設定 > 手順3でダウンロードした証明書情報
※証明書はテキストエディタで開き、テキストをコピーペーストしてください。NameIDフォーマット NameIDとして送信する形式を指定します。
Salesforce の設定 > 手順5の「名前ID形式」で指定した形式に合わせた値を選択してください。
※詳細はこちら優先NameID属性 NameIDの照合時、優先するメンバー属性を指定します。
※詳細はこちら大文字・小文字を区別する NameIDの照合時に大文字・小文字を区別するかどうかを指定します。
※詳細はこちら
- 「登録」をクリックします。
- 続いてSalesforceのIDでログインさせるメンバーの割り当てを行います。
外部IDPリストから、先ほど追加したSAML IDPの名前をクリックします。
- 「メンバーの追加」をクリックします。(グループごと追加する場合には「グループの追加」)
-
対象のメンバーを選択し「登録」ボタンをクリックします。
メンバーの追加が完了しました。
以上で設定は完了です。
設定確認
トラスト・ログインログインページより、企業IDとメールアドレスを入力するとSalesforceのボタンが現れます。
そちらでログインしてください。