Salesforce
Salesforce連携のシングルサインオンを有効にします。
Salesforce連携でシングルサインオンを行う場合は以下の設定が必要です。
注意
-
試用版は連携できません。
-
Sandboxの場合、OneGate管理ページのサービス連携設定としてあらかじめ用意されている「Salesforce」からは連携できません。[クラウド設定]>[サービス連携設定]の[登録]から連携設定を行ってください。
なお、SandboxではSSO機能のみ利用できます。ユーザー同期(プロビジョニング機能)は利用できません。
OneGateでサービス登録を行う
OneGateでSalesforceとの連携設定を行います。
-
-
OneGate管理メニューの[クラウド設定]>[サービス連携設定]をクリックする
-
-
-
クラウドサービス一覧で[Salesforce]をクリックする
-
-
-
「情報資産設定」の「Salesforce連携」で「ユーザー同期とSSO先として利用する」または「SSO先として利用する」を選択する
-
-
-
「IdP証明書」で[選択]アイコンをクリックし、有効期間内のIdP証明書を指定する
-
-
-
「接続設定」の以下の項目を設定し、[接続テスト]をクリックする
-
SalesforceログインURL<必須>
SalesforceのログインURLを入力します。
管理者ユーザー名 <必須>
管理者権限のユーザー名を入力します。
管理者パスワード <必須>
管理者権限のユーザーパスワードを入力します。
セキュリティトークン <必須>
Salesforceの事前設定で取得したセキュリティトークンを入力します。
[接続テスト]
接続設定を使用してSalesforceサービスに接続確認を行います。
接続テストに成功すると画面上部に以下のメッセージが表示され、Salesforceのプロファイルの選択が有効になります。
-
-
-
「デフォルトプロファイル設定」で選択画面表示アイコンをクリックする
-
-
-
Salesforceユーザーにデフォルトで割り当てるプロファイルを選択し、[OK]をクリックする
-
-
-
[保存]をクリックする
-
アプリケーションロールの割当・同期項目の登録を行う
アプリケーションロールの割当・同期項目の登録は、ユーザー種別(OneGate登録利用者/AD連携利用者)によって異なります。
OneGate登録利用者の場合
OneGateに直接登録した利用者に、Salesforceのアプリケーションロールを割り当て、同期項目を登録します。
-
-
OneGate管理メニューの[利用者管理]>[利用者一覧]をクリックする
-
-
-
-
対象の利用者をクリックする
-
-
-
以下の項目を設定し、Salesforceの同期項目の登録、アプリケーションロールの割り当てを行う
-
Salesforce User
Salesforce側のユーザー名を入力します。
(Salesforce) Alias
Salesforce側の「別名」を入力します。
(Salesforce) LastName
Salesforce側の「姓」を入力します。
(Salesforce) CommunityNickname
「cybozu.com」を選択します。
(Salesforce) Email
Salesforce側の「メール」のメールアドレスを入力します。
(Salesforce) EmailEncodingKey
メールの文字コードを入力します。
(例)UTF-8(Salesforce) TimeZoneSidKey
タイムゾーンを入力します。
(例) Asia/Tokyo
(Salesforce) LocaleSidKey
国コードを入力します。
(例) ja(Salesforce) LanguageLocaleKey
言語コードを入力します。
(例) ja(Salesforce) Password
Salesforce側ユーザーにセットするパスワードを入力します。
※SSOの有効化後は使用されない情報です。Salesforceへのユーザー同期時にのみ利用するパスワードとなります。
-
-
-
[保存]をクリックする
-
-
-
利用者の同期設定を行う
-
AD連携利用者の場合
AD連携/Entra ID連携の利用者の場合は、アプリケーションロールの割り当ておよび同期項目の登録は
Active DirectoryまたはEntra IDで行い、結果をOneGateで確認します。
-
-
Active DirectoryまたはEntra ID上の任意のOUにセキュリティグループ「SalesforceG」を作成し、AD連携利用者をメンバー登録する
-
参照
Active DirectoryまたはEntra ID上でセキュリティグループを作成し、ユーザーを追加する方法については以下を参照してください。
Salesforceのアプリケーションロールが割り当てられ、同期項目が登録されます。
アプリケーションロールの割り当ておよび同期項目の登録結果を確認します。
-
-
-
OneGate管理メニューの[AD設定]>[AD連携設定]をクリックする
-
-
-
-
対象のAD連携設定名をクリックする
-
-
-
[標準クラウドサービス]の[Salesforce]に「SalesforceG」のグループ名が表示されていることを確認する
-
-
-
「AD連携設定」画面に戻り、対象のAD連携設定の[属性設定]をクリックする
-
-
-
Salesforceの同期項目の登録結果を確認する
-
AD連携利用者とSalesforceユーザーの属性マッピングはデフォルトで設定されています。
ポイント
-
Salesforceの管理画面でSAMLを有効にする
Salesforceの管理画面でSAMLを有効にします。
-
-
Salesforce(https://<subdomain>.my.salesforce.com/)に管理者アカウントでログインする
-
-
-
-
画面右上の歯車アイコンから[設定]をクリックし、メニューから「ID」>「シングルサインオン設定」を選択して[編集]をクリックする
-
-
-
[SAMLを有効化]をチェックし、[保存]をクリックする
-
OneGate側でIdPメタデータをダウンロードする
OneGateのクラウド設定「共通設定」で表示内容を確認し、以下のメタデータ情報を取得します。
取得したメタデータは、Salesforce側でシングルサインオン構成を編集する際に使用します。
|
共通設定のメタデータ |
|
|---|
-
-
OneGate管理メニューの[クラウド設定]>[共通設定]をクリックする
-
-
-
-
「メタデータ」で以下の項目の情報を取得する
-
Salesforceの管理画面でIdPメタデータをアップロードし、構成を編集する
先ほど取得したIdPメタデータとログアウトURL情報を利用して、Salesforceの管理画面からシングルサインオン構成を編集します。
-
-
Salesforceの「シングルサインオン設定」画面で、[メタデータファイルから新規作成]をクリックする
-
-
-
[ファイルを選択]をクリックし、OneGateからダウンロードした「saml_metadata.xml」ファイルを選択し、[作成]をクリックする
-
-
-
以下の項目を設定し、[保存]をクリックする
-
Salesforce側で認証設定を行う
Salesforceの共通管理画面へのログイン時の認証設定を行います。






















