4.4. salesforce.com¶
salesforce.com をIdP としてSAML 認証を行うための設定例を説明します。
4.4.1. 前提条件¶
- salesforce.com のドメイン登録が完了していること
- salesforce.com をIdP として有効化していること
4.4.2. 設定方法¶
4.4.2.1. salesforce.com のメタデータをダウンロード¶
salesforce.com のメタデータをダウンロードします。「管理」→「セキュリティのコントロール」→「ID プロバイダ」からダウンロード可能です。
4.4.2.2. intra-mart Accel Platform にsalesforce.com を登録¶
IdP 新規登録画面からsalesforce.com を以下の設定で新規登録します。記載のない項目はIdP の設定に応じて変更してください。
IdP 新規登録時の設定例 状態 有効 IdPメタデータ salesforce.com からダウンロードしたメタデータの内容 ユーザコード取得方法 属性名を指定して取得する 属性名 usercd シングルサインオン 有効 シングルログアウト 無効
4.4.2.3. intra-mart Accel Platform のメタデータをダウンロード¶
IdP新規登録後、IdP 一覧画面からメタデータをダウンロードします。
4.4.2.4. 接続アプリケーションの新規作成¶
salesforce.com の接続アプリケーションに intra-mart Accel Platform を登録します。「ビルド」→「作成」→「アプリケーション」から登録可能です。
「Web アプリケーション設定」項目の設定例 SAML の有効化 チェック エンティティ ID intra-mart Accel Platform のメタデータにある「EntityDescriptor」要素の「entityID」属性の値 ACS URL intra-mart Accel Platform のメタデータにある「AssertionConsumerService」要素の「Location」属性の値 件名種別 ユーザ名 名前 ID 形式 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 発行者 初期入力されている値 要求署名を確認 IdP 登録時に署名するように設定した場合はチェックを入れます。IdP 登録時と同じ証明書をアップロードします。 SAML レスポンスを暗号化 IdP 登録時に暗号化するように設定した場合はチェックを入れます。IdP 登録時と同じ証明書をアップロードします。 暗号化アルゴリズムをブロック IdP 登録時に設定した「デフォルト復号アルゴリズム」と同じアルゴリズムを設定します。
4.4.2.5. 接続アプリケーションのカスタム属性設定¶
登録後、接続アプリケーションの詳細画面からカスタム属性を設定します。
カスタム属性の設定例 属性キー usercd 属性値 $User.Usernameコラム
「属性キー」にはIdP 新規登録時の「属性名」の値と同じにしてください。 「属性値」の「$User.Username」とはsalesforce.com のユーザ名(メールアドレス形式)のことです。
4.4.2.6. 接続アプリケーションのプロファイル設定¶
登録後、接続アプリケーションの詳細画面からプロファイルを設定します。アプリケーションへのアクセス権を持つユーザを選択してください。
4.4.2.7. intra-mart Accel Platform ユーザとsalesforce.com ユーザをマッピング¶
テナント管理者でログインしてSAMLユーザマッピング(管理)画面から intra-mart Accel Platform のユーザコードとsalesforce.com のユーザ名をマッピングしてください。
4.4.3. salesforce.com のユーザで intra-mart Accel Platform にログイン¶
上記設定が完了すると intra-mart Accel Platform の一般ユーザログイン画面にsalesforce.com のログイン画面に遷移するボタンが表示されます。ボタンを押下してsalesforce.com のログイン画面でログインすると intra-mart Accel Platform にログインします。
4.4.4. 注意事項¶
4.4.4.1. 使用可能な署名アルゴリズム¶
2016年8月現在、intra-mart Accel Platform とsalesforce.com 間のSAML認証で使用可能な署名アルゴリズムを各鍵長、各バインディングごとに表した一覧は以下になります。
salesforce.com HTTP-REDIRECTバインディング HTTP-POSTバインディング SHA1withDSA 1024bit2048bit以上 ○○ ○× SHA1withRSA 1024bit2048bit以上 ○○ ○○ SHA256withRSA 1024bit2048bit以上 ○○ ○○
4.4.4.2. intra-mart Accel Platform のメタデータが変更された場合¶
IdPの設定を更新して intra-mart Accel Platform のメタデータに変更があった場合は接続アプリケーションの設定を更新してください。
4.4.4.3. シングルログアウトについて¶
salesforce.com はシングルログアウトに対応していません。IdP登録時にシングルログアウトを有効にしないでください。