intra-mart Accel Platform SAML認証セットアップガイド 第6版 2022-06-01

4.4. salesforce.com

salesforce.com をIdP としてSAML 認証を行うための設定例を説明します。

4.4.1. 前提条件

  • salesforce.com のドメイン登録が完了していること
  • salesforce.com をIdP として有効化していること

4.4.2. 設定方法

4.4.2.1. salesforce.com のメタデータをダウンロード

salesforce.com のメタデータをダウンロードします。
「管理」→「セキュリティのコントロール」→「ID プロバイダ」からダウンロード可能です。

4.4.2.2. intra-mart Accel Platform にsalesforce.com を登録

IdP 新規登録画面からsalesforce.com を以下の設定で新規登録します。
記載のない項目はIdP の設定に応じて変更してください。
IdP 新規登録時の設定例
状態
有効
IdPメタデータ
salesforce.com からダウンロードしたメタデータの内容
ユーザコード取得方法
属性名を指定して取得する
属性名
usercd
シングルサインオン
有効
シングルログアウト
無効

4.4.2.3. intra-mart Accel Platform のメタデータをダウンロード

IdP新規登録後、IdP 一覧画面からメタデータをダウンロードします。

4.4.2.4. 接続アプリケーションの新規作成

salesforce.com の接続アプリケーションに intra-mart Accel Platform を登録します。
「ビルド」→「作成」→「アプリケーション」から登録可能です。
「Web アプリケーション設定」項目の設定例
SAML の有効化
チェック
エンティティ ID
intra-mart Accel Platform のメタデータにある「EntityDescriptor」要素の「entityID」属性の値
ACS URL
intra-mart Accel Platform のメタデータにある「AssertionConsumerService」要素の「Location」属性の値
件名種別
ユーザ名
名前 ID 形式
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
発行者
初期入力されている値
要求署名を確認
IdP 登録時に署名するように設定した場合はチェックを入れます。
IdP 登録時と同じ証明書をアップロードします。
SAML レスポンスを暗号化
IdP 登録時に暗号化するように設定した場合はチェックを入れます。
IdP 登録時と同じ証明書をアップロードします。
暗号化アルゴリズムをブロック
IdP 登録時に設定した「デフォルト復号アルゴリズム」と同じアルゴリズムを設定します。

4.4.2.5. 接続アプリケーションのカスタム属性設定

登録後、接続アプリケーションの詳細画面からカスタム属性を設定します。
カスタム属性の設定例
属性キー
usercd
属性値
$User.Username

コラム

  • 「属性キー」にはIdP 新規登録時の「属性名」の値と同じにしてください。
  • 「属性値」の「$User.Username」とはsalesforce.com のユーザ名(メールアドレス形式)のことです。

4.4.2.6. 接続アプリケーションのプロファイル設定

登録後、接続アプリケーションの詳細画面からプロファイルを設定します。
アプリケーションへのアクセス権を持つユーザを選択してください。

4.4.2.7. intra-mart Accel Platform ユーザとsalesforce.com ユーザをマッピング

テナント管理者でログインしてSAMLユーザマッピング(管理)画面から intra-mart Accel Platform のユーザコードとsalesforce.com のユーザ名をマッピングしてください。

4.4.3. salesforce.com のユーザで intra-mart Accel Platform にログイン

上記設定が完了すると intra-mart Accel Platform の一般ユーザログイン画面にsalesforce.com のログイン画面に遷移するボタンが表示されます。
ボタンを押下してsalesforce.com のログイン画面でログインすると intra-mart Accel Platform にログインします。

4.4.4. 注意事項

4.4.4.1. 使用可能な署名アルゴリズム

2016年8月現在、intra-mart Accel Platform とsalesforce.com 間のSAML認証で使用可能な署名アルゴリズムを各鍵長、各バインディングごとに表した一覧は以下になります。
salesforce.com
    HTTP-REDIRECTバインディング HTTP-POSTバインディング
SHA1withDSA
1024bit
2048bit以上
×
SHA1withRSA
1024bit
2048bit以上
SHA256withRSA
1024bit
2048bit以上

4.4.4.2. intra-mart Accel Platform のメタデータが変更された場合

IdPの設定を更新して intra-mart Accel Platform のメタデータに変更があった場合は接続アプリケーションの設定を更新してください。

4.4.4.3. シングルログアウトについて

salesforce.com はシングルログアウトに対応していません。
IdP登録時にシングルログアウトを有効にしないでください。