【Azure AD】SalesforceのSSO設定で自動ログインを実現しよう(後編)
コンサルタントの永井です。
今回はAzure ADを活用したSalesforceのシングルサインオン設定についてお伝えします。
前編の記事では、Azure ADとSalesforce環境を紐づける設定について解説いたしました。
後編ではMicrosoft(Azure)ユーザとSalesforceユーザの紐づけ方法について解説いたします。
本記事のゴール
設定の概要
Azure ADを使用したSalesforceのSSO設定を行うには、大きく分けて2つの設定が必要になります。
(前編)Azureの環境↔Salesforceの環境を接続する設定
(本記事)Azureで管理されているMicrosoftユーザとSalesforceユーザの紐づけを行う設定
ユーザーが実際にログインできるようになるための設定を解説します。
補足
それでは後編にLet's Go!
5.Salesforceユーザのセキュリティトークン発行
SalesforceユーザとAzureユーザを紐づけするための準備として、Salesforceにログインしセキュリティトークンを再発行します。
※Salesforce環境が他のシステムやアプリケーションと接続されている場合、セキュリティトークンをリセットしてしまうと認証情報が切れてしまい、連携ができなくなってしまう可能性がある点をご注意ください
セキュリティトークンが再発行されると、システム管理者ユーザーのメールアドレスへ新しいセキュリティトークンの通知メールが送信されます。
次の章では、再発行したセキュリティトークンをAzure側に設定する手順を解説します。
6.Azureの自動ユーザープロビジョニング構成の設定
先ほど再発行したSalesforceのセキュリティトークン(Salesforceの管理ユーザの認証情報)をAzure ADに設定します。
Azure AD側にもどり、ユーザプロビジョニング設定を行います。
Salesforce管理者ユーザーの認証情報を設定します。
(シークレットトークン=Salesforce側で発行したセキュリティトークンのことです)
テスト接続を行い、入力した認証情報でSalesforceにログインできるかを確認します。テスト接続に成功したら保存します。
Azure AD ↔ SalesforceのSSOログインの下地が整いました。
次は、どのWindows(Azure)ユーザーをSSOログインの対象にするかの設定を行います。
7.Azureユーザをプロビジョニング対象に設定
Azure側で管理しているユーザのうち、SalesforceのSSO認証を許可するユーザを指定します。
SSOを許可するユーザーの追加ができたので、次はSalesforce側でユーザー設定を行います。
8.SalesforceユーザへAzureのユーザ情報を付与
先ほどの手順でAzure側のどのユーザーをSSOログイン許可するかの設定を行いました。
SalesforceユーザーにAzure側のユーザー情報を付与することで、利用メンバーがSSOログインできるようになります。(この手順を行わないと、環境同士は繋がっているのにユーザー同士が紐づかないのでログインに失敗します)
ユーザー情報の「統合ID」の欄に、Windowsユーザーの「ユーザープリンシパル名」を入力して保存します。(これによって、SalesforceユーザーとWindowsユーザーが同一人物かどうかが判定されます)
お待たせしました。ようやく全ての設定が完了です。
実際にログインを試みると、IDとパスワードを入力しなくても勝手にSalesforceにログインできることが確認できます。
いかがでしたでしょうか?
SalesforceのSSO設定はクセがありますが、1度設定してしまえば社内のユーザーは面倒なログイン作業が不要になります。
ぜひ設定を検討してみてください!!
CREFILではプロジェクトで得たナレッジやつまづいた箇所などを定期的に投稿しております。
もし参考になった方は「スキ」をよろしくお願いします。
では、またお会いしましょう!
※Microsoft Azure は、マイクロソフト グループの企業の商標です。