~はじめに~
本マニュアルは、Salesforce と Gluegent Gate の連携を、最小限の設定で行う方法をご紹介しています。
本マニュアルの通りに設定を行うことで Salesforce へのログインが Gluegent Gate を通して行われます。
ご用意いただくものは、Gluegent Gate の管理者ID / パスワードと、連携する Salesforce の管理者情報です。
ステップ1:Salesforce で「私のドメイン」設定と「セキュリティトークン」操作
ステップ2:Gluegent Gate で「IdP証明書」の取得
ステップ3:Salesforce で「シングルサインオン」の設定
ステップ4:Gluegent Gate で「シングルサインオン」の設定
ステップ5:Salesforce で「私のドメイン」の認証設定
ステップ6:Gluegent Gateで「ユーザー」の新規登録
ステップ9:Gluegent Gateで「アクセス権限」の設定
ステップ10:シングルサインオン(SSO)でのログインの確認
重要:
Gluegent Gate と Salesforce の連携には API を使用しております。 Salesforce の Professional Edition では API の使用は有償となっております。Enterprise Edition では無償でご利用いただけます。
→Salesforce editions with API access
Salesforce の Sandbox では Gluegent Gate との連携は行なえません。
ステップ1:Salesforce で「私のドメイン」設定と「セキュリティトークン」操作
Salesforceの「私のドメイン」の設定
Salesforceにログインします。
メニューから「設定」をクリックします。
「クイック検索/検索」欄に「私のドメイン」と入力し、表示された設定メニューをクリックします。
Gluegent Gate と連携させるため、「私のドメイン」を設定します。「私のドメイン」を入力し、「使用可能か調べる」をクリックします。
契約条件を確認しチェックをONにしてから、「ドメインの登録」をクリックします。
ドメインは「早い者勝ち」です。既に使われている場合は登録できません。
ドメインの伝搬が完了すると、管理者宛にメールが送信されます。
Salesforceのセキュリティトークンのリセット
画面上部のログインユーザー名をクリックし、表示されたメニューから「私の設定」をクリックします。
「個人用」をクリックし、「私のセキュリティトークンのリセット」をクリックします。
「セキュリティトークンのリセット」をクリックします。
注意:
クリック後、管理者のメールアドレスにセキュリティトークンが送信されます。この情報は外部に漏らさないよう厳重に管理してください。
ステップ2:Gluegent Gate で「IdP証明書」の取得
シングルサインオンの設定に必要な「IdP証明書」を取得します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「システム」>「IdP証明書」の順にクリックします。
状態が「使用中」となっている証明書の「DL」アイコンをクリックします。
証明書ファイルがダウンロードされます。後ほど使用しますので、任意の場所に保存してください。
ステップ3:Salesforce で「シングルサインオン」の設定
Salesforceの証明書と鍵の管理
Salesforceにログインします。
メニューから「設定」をクリックします。
「クイック検索/検索」欄に「証明書」と入力し、表示された設定メニューをクリックします。
「自己署名証明書の作成」をクリックします。
「証明書と鍵の編集」の必要事項を入力し「保存」をクリックします。
表示ラベル・一意の名前には画面上部で表示されている制約があります。特に指定の値はありませんので分かりやすい値を入力してください。
Salesforceのシングルサインオン設定
「クイック検索/検索」欄に「シングルサインオン」と入力し、表示された設定メニューをクリックします。
「SAMLシングルサインオン設定」の「新規」をクリックします。
各項目を設定します。
- 名前(必須)
- 任意の名前を入力します。ここでは「GLG」と入力します。
- API参照名(必須)
- 任意の名前を入力します。名前入力時に自動的に同じ値が入力されます。ここでは「GLG」と入力します。
- 発行者(必須)
- 「https://slink.secioss.com/<ご契約のテナントID>」を入力します。
- エンティティID(必須)
- 「ステップ1」で設定した「私のドメイン」のURLを入力します。「https://<私のドメイン>」の形式で入力します。例)https://xxxxxxxx.my.salesforce.com
- IDプロバイダの証明書(必須)
- 「証明書のダウンロード」でダウンロードした証明書(pem)ファイルをアップロードします。
- 証明書の署名要求
- 「Salesforceの証明書と鍵の管理」で作成した証明書を選択します。
- 署名要求メソッド
- 「RSA-SHA256」を選択します。
- アサーション復号化証明書
- 「アサーション暗号化なし」を選択します。
- SAML ID種別(必須)
- 「アサーションには、ユーザオブジェクトの統合IDが含まれます」を選択します。
- ただし、すでに Salesforce にユーザーがいる場合は以下の設定を行います。
- Salesforce のドメインと Gluegent Gate のテナントID が同じ場合は「アサーションには、ユーザのSalesforceユーザ名が含まれます」を選択します。
- Salesforce のドメインと Gluegent Gate のテナントID が異なる場合は「アサーションには、ユーザオブジェクトの統合IDが含まれます」を選択します。
- SAML IDの場所(必須)
- 「IDは、SubjectステートメントのNameIdentifier要素にあります」を選択します。
- サービスプロバイダの起動要求バインド(必須)
- 「HTTPリダイレクト」を選択します。
- IDプロバイダのログインURL
-
https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=<ご契約のテナントID>
- 例えばテナントIDが「example」の場合は以下の URL となります。
-
https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=example
- カスタムログアウトURL
- 下記URLを入力します。
https://auth.gluegent.net/saml/saml2/idp/initSLO.php?RelayState=/saml/logout.php&logout=salesforce
- カスタムエラーURL
- 空欄
- シングルログアウトを有効にする
- チェックをオンにします。
- ユーザプロビジョニングの有効化
- チェックをオフにします。
「保存」をクリックします。
情報:
シングルサインオン設定の画面で「SAMLを有効化」のチェックがオフの場合は「編集」をクリックします。
「SAMLを有効化」のチェックをオンにし「保存」をクリックします。
ステップ4:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate の設定
Gluegent Gate の管理画面にアクセスします。
「シングルサインオン」>「クラウドサービス」の順にクリックします。
一覧の「Salesforce」の編集アイコンをクリックします。
各項目を設定します。
- シングルサインオンの設定
- 「有効」のチェックをオンにします。
- エンティティID(必須)
- 「ステップ3」で設定した「エンティティID(私のドメイン)」を入力します。「https://<私のドメイン>」の形式で入力します。
- 例)https://xxxxxxxx.my.salesforce.com
- ログインURL(必須)
- Salesforce のシングルサインオン設定で表示されている「Salesforce ログイン URL」の値を入力します。
- ログアウトURL
- 「https://<マイドメイン>/secur/logout.jsp」を入力します。
- 例)https://xxxxxxxx.my.salesforce.com/secur/logout.jsp
- ID同期
- 「有効」のチェックをオンにします。
- Salesforce 管理アカウント名
- Salesforce の管理権限を持つユーザー名を入力します。
- 管理アカウントのパスワード
- 上記ユーザーのパスワードを入力します。
- 管理アカウントのトークン
- セキュリティトークンのリセットを実行した時に送付されたメールに記載された値を入力します。
- パスワード同期
- ID 同期時の Salesforce 側のパスワードの設定ルールです。
「シングルサインオンのパスワード」を設定します。
- ユーザーの種類
- ユーザー・コミュニティユーザーから選択します。
- 同期するユーザーの属性
- Salesforce に同期するユーザー情報を別の項目に変更する場合はこちらを設定します。
「保存」をクリックします。
「Salesforce ログイン URL」の確認方法
Salesforceにログインします。
メニューから「設定」をクリックします。
「クイック検索/検索」欄に「シングルサインオン」と入力し、表示された設定メニューをクリックします。
シングルサインオン設定の一覧で「名前」をクリックします。
「Salesforce ログイン URL」を確認します。
ステップ5:Salesforce で「私のドメイン」の認証設定
Salesforceにログインします。
メニューから「設定」をクリックし、「クイック検索/検索」欄に「私のドメイン」と入力します。
「私のドメイン」の設定画面で、認証設定の「編集」をクリックします。
認証サービスて「ログインページ」のチェックを外し、SAMLシングルサインオン設定の名前(ここではGLG)のチェックをONにし「保存」をクリックします。
この操作によりログイン方法が Gluegent Gate 経由に変更されます。
ステップ6:Gluegent Gateで「ユーザー」の新規登録
Gluegent Gate でユーザーを新規登録します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」>「新規登録」の順にクリックします。
ユーザーの新規登録画面に遷移します。必要事項を入力します。
- ユーザID
- ログイン時に使用するIDです。
- 別名
- ユーザーを Salesforce と連携させるためには必須です。
- 8文字以内で設定してください。
- 別名を入力しなかった場合、姓が Salesforce の別名に同期されます。
- パスワード
- パスワードを設定します。
- 許可するサービス
- Salesforce にチェックします。
- Salesforce のロール
- アカウントに適用させる Salesforce のライセンスを選択します。
- 通知用メールアドレス
- 管理者ユーザーの場合は、必ず指定します。
「登録」をクリックします。
ステップ7:Gluegent Gateで「操作ログ」を確認
登録後、ログで正しくユーザーが登録されたかを確認します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ログ」>「システムログ」の順にクリックします。
ログファイルで「操作ログ」を選択し、「適用」をクリックします。
※その他の検索項目は必要に応じて設定します。
Gluegent Gate への追加ログと Salesforce への追加ログが表示されます。
※「(Salesforce)」がついているものが Salesforce への追加ログです。
※赤いテキストで表示されたログは、ユーザーの登録に失敗した処理です
ステップ8:Gluegent Gateで「認証」の設定
認証ルール(本人確認のための処理)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「認証」>「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:rule_web)
- 認証方法
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下の 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ9:Gluegent Gateで「アクセス権限」の設定
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
「アクセス権限」>「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。
必要事項を入力します。
- ID
- 任意の値を入力します。(例:for_web)
- アクセス先のサービス
- 「Salesforce」のチェックをオンにします。
- 要求される認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ10:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
※Salesforce の管理者でログインしている場合は、ログアウトしてからご確認ください。
「Salesforce ログイン URL」にアクセスします。
ステップ4:Gluegent Gate で「シングルサインオン」の設定 >「Salesforce ログイン URL」の確認方法
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- Gluegent Gate のユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、Salesforce に自動的に遷移します。遷移しない場合は画面上の「こちらへ」をクリックしてください。
Gluegent Gate が Salesforce にアクセス可能かを確認し、アクセス可能と判断されれば、Salesforce へのログインが成功します。