| [運用] Windowsで構築する、クラウド・サービスと社内システムのSSO環境 第3回 4.Salesforce.com CRMとAD FS 2.0との連携 Microsoft MVPIdentity Lifecycle Manager 伊藤忠テクノソリューションズ株式会社 富士榮 尚寛 2010/09/22 |
 |
|
|
|
[SaaS]Salesforce.com CRMとの認証連携
Salesforce.comはGoogle Appsと違い、先にIdPにアクセスして認証を受ける必要がある(「IdP Initiated: POST Binding」と呼ばれる認証連携方式)。
 |
| Salesforce.comへのシングル・サインオン環境 |
■Salesforce.com側の設定
まずSalesforce.com側の設定だが、設定画面の中のセキュリティのコントロール・メニューでシングル・サインオンの設定ができる。
 |
| Salesforce.com側のシングル・サインオン設定画面 |
ここでは、Google Appsと同様にログオン認証システムとして社内のAD FS 2.0を指定するための設定を行う。
| 設定項目 | 設定値 | 備考 |
| SAMLを有効化 | 有効(チェックを入れる) | |
| SAMLのバージョン | [2.0]を選択 | |
| IDプロバイダの証明書 | CN=ADFS Signing ? [AD FS 2.0サーバFQDN] | AD FS 2.0のトークン署名に使用している証明書(自動生成) |
| SAMLのユーザーID種別 | [アサーションには、ユーザーのSalesforceユーザー名が含まれます]を選択 | |
| SAMLのユーザーIDの場所 | [ユーザーIDは、SubjectステートメントのNameIdentifier要素にあります]を選択 | |
| 発行者 | http://<AD FS 2.0サーバFQDN>/adfs/services/trust | |
 |
||
| Salesforce.com側の設定項目 | ||
IdP-InitiatedでもRP−IdPの間での直接の通信はないので、Salesforce.comからAD FS 2.0のサーバに対して名前解決やアクセスができる必要はない。
■AD FS 2.0側の設定
次はIdPとなるAD FS 2.0側の設定である。ここでは認証要求元(RP)としてSalesforce.comを信頼するという設定を下記の表に基づいて行う。それにはAD FS 2.0の管理コンソールの左ペインから[信頼関係]を選び、右ペインの操作ウィンドウから[証明書利用者信頼の追加]をクリックする。「証明書利用者信頼の追加」ウィザードが起動したら、下表のように各項目を設定する。
| 設定項目 | 設定値 | |
| 証明書利用者についてのデータ取得方法 | [証明書利用者についてのデータを手動で入力する]を選択 | |
| 表示名 | Salesforce.com(任意) | |
| プロファイルの選択 | [AD FS 2.0プロファイル]を選択 | |
| URLの構成 | [SAML2.0 WebSSOプロトコルのサポートを有効にする]を選択 | |
| 証明書利用者SAML2.0 SSOサービスのURL | https://login.salesforce.com | |
| 証明書利用者信頼の識別子 | https://saml.salesforce.com | |
| 発行承認規則の選択 | [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する]を選択 | |
|
||
| 証明書利用者信頼(RP)の追加ウィザードにおける設定項目 | ||
ウィザードが完了したらGoogle Appsの場合と同様に要求規則(発行変換規則)の追加を行う。
| 設定項目 | 設定値 | |
| 規則テンプレート | [LDAP属性を要求として送信]を選択 | |
| 要求規則名 | Salesforce.com(任意) | |
| 属性ストア | [Active Directory]を選択 | |
| LDAP属性 | E-Mail-Addresses | |
| 出力方向の要求の種類 | 名前 ID | |
|
||
| 要求規則の設定 | ||
| Google Appsの場合と同様、要求規則の編集ダイアログで[発行変換規則]タブを選んで[規則の追加]ボタンをクリックする。「発行変換規則の追加」ウィザードが起動したら、このように各項目を設定して要求規則を完成させる。 | ||
要求規則の中で属性ストアのLDAP属性「E-Mail-Addresses」を「名前 ID」にマッピングするという設定を行ったので、マッピング元となるActive Directoryユーザーの電子メール属性にSalesforce.comのログインIDとなるメール・アドレスを設定する。
■実際の動作
ここまで設定ができたら実際にSalesforce.comのサービスにアクセスしてみる。
今回は先にIdPで認証を受けるので、次のAD FS 2.0のサインイン・ページを開く。
https://<IdPのFQDN>/adfs/ls/IdpInitiatedSignOn.aspx
AD FS 2.0はサインイン先のRPが指定されていない場合、ドロップダウン・リストでAD FS 2.0に設定されているRPのリストが表示されるので、先ほど作成した[Salesforce.com]を選択して[移動]ボタンをクリックする。
 |
||||||
| AD FS 2.0のサインイン・ページ | ||||||
|
Windows統合認証が行われるので、そのときPCにログオンしているユーザーのメール・アドレス属性の値(メール・アドレス)でそのままSalesforce.comへログオンできるはずだ。
 |
| Salesforce.comへのサインオン |
| PCにログオンしていたアカウントに関連付けられているメール・アドレスで、Salesforce.comにログオンできたところ。 |
◆
次回は、Windows Azureとforce.com、Amazon EC2の各サービスとAD FS 2.0を連携する実際の手順を解説する。
 |
 |
| INDEX | ||
| [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境 | ||
| 第1回 クラウド・コンピューティングとアイデンティティ管理の概要 | ||
| 1.クラウド・コンピューティングの基礎と課題 | ||
| 2.クラウドでのセキュリティ対策とアイデンティティ管理の役割 | ||
| 3.クラウドがアイデンティティ管理システムにもたらす変化 | ||
| 第2回 クラウド・コンピューティング時代の認証技術 | ||
| 1.アイデンティティ連携(フェデレーション)の要素技術 | ||
| 2.マイクロソフトのアイデンティティに関するビジョン | ||
| 3.アイデンティティ・メタシステムの実装 | ||
| 第3回 クラウド・サービスと社内ADとのSSOを実現する(前) | ||
| 1.AD FS 2.0のセットアップ | ||
| 2.Google AppsとAD FS 2.0との連携 | ||
| 3.Windows Live IDとAD FS 2.0との連携 | ||
 |
4.Salesforce.com CRMとAD FS 2.0との連携 | |
| 第4回 クラウド・サービスと社内ADとのSSOを実現する(後) | ||
| 1.Windows AzureとAD FS 2.0との連携(1) | ||
| 2.Windows AzureとAD FS 2.0との連携(2) | ||
|
||
 |
Windows 運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
