[運用]
Windowsで構築する、クラウド・サービスと社内システムのSSO環境 第3回

4.Salesforce.com CRMとAD FS 2.0との連携

Microsoft MVP
Identity Lifecycle Manager
伊藤忠テクノソリューションズ株式会社
富士榮 尚寛
2010/09/22

[SaaS]Salesforce.com CRMとの認証連携

 Salesforce.comはGoogle Appsと違い、先にIdPにアクセスして認証を受ける必要がある(「IdP Initiated: POST Binding」と呼ばれる認証連携方式)。

Salesforce.comへのシングル・サインオン環境

Salesforce.com側の設定
 まずSalesforce.com側の設定だが、設定画面の中のセキュリティのコントロール・メニューでシングル・サインオンの設定ができる。

Salesforce.com側のシングル・サインオン設定画面

 ここでは、Google Appsと同様にログオン認証システムとして社内のAD FS 2.0を指定するための設定を行う。

設定項目 設定値 備考
SAMLを有効化 有効(チェックを入れる)  
SAMLのバージョン [2.0]を選択  
IDプロバイダの証明書 CN=ADFS Signing ? [AD FS 2.0サーバFQDN] AD FS 2.0のトークン署名に使用している証明書(自動生成)
SAMLのユーザーID種別 [アサーションには、ユーザーのSalesforceユーザー名が含まれます]を選択  
SAMLのユーザーIDの場所 [ユーザーIDは、SubjectステートメントのNameIdentifier要素にあります]を選択  
発行者 http://<AD FS 2.0サーバFQDN>/adfs/services/trust  
Salesforce.com側の設定項目

 IdP-InitiatedでもRP−IdPの間での直接の通信はないので、Salesforce.comからAD FS 2.0のサーバに対して名前解決やアクセスができる必要はない。

AD FS 2.0側の設定
 次はIdPとなるAD FS 2.0側の設定である。ここでは認証要求元(RP)としてSalesforce.comを信頼するという設定を下記の表に基づいて行う。それにはAD FS 2.0の管理コンソールの左ペインから[信頼関係]を選び、右ペインの操作ウィンドウから[証明書利用者信頼の追加]をクリックする。「証明書利用者信頼の追加」ウィザードが起動したら、下表のように各項目を設定する。

設定項目 設定値
証明書利用者についてのデータ取得方法 [証明書利用者についてのデータを手動で入力する]を選択
表示名 Salesforce.com(任意)
プロファイルの選択 [AD FS 2.0プロファイル]を選択
URLの構成 [SAML2.0 WebSSOプロトコルのサポートを有効にする]を選択
証明書利用者SAML2.0 SSOサービスのURL https://login.salesforce.com
証明書利用者信頼の識別子 https://saml.salesforce.com
発行承認規則の選択 [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する]を選択
証明書利用者信頼(RP)の追加ウィザードにおける設定項目

 ウィザードが完了したらGoogle Appsの場合と同様に要求規則(発行変換規則)の追加を行う。

設定項目 設定値
規則テンプレート [LDAP属性を要求として送信]を選択
要求規則名 Salesforce.com(任意)
属性ストア [Active Directory]を選択
LDAP属性 E-Mail-Addresses
出力方向の要求の種類 名前 ID
要求規則の設定
Google Appsの場合と同様、要求規則の編集ダイアログで[発行変換規則]タブを選んで[規則の追加]ボタンをクリックする。「発行変換規則の追加」ウィザードが起動したら、このように各項目を設定して要求規則を完成させる。

 要求規則の中で属性ストアのLDAP属性「E-Mail-Addresses」を「名前 ID」にマッピングするという設定を行ったので、マッピング元となるActive Directoryユーザーの電子メール属性にSalesforce.comのログインIDとなるメール・アドレスを設定する。

実際の動作
 ここまで設定ができたら実際にSalesforce.comのサービスにアクセスしてみる。

 今回は先にIdPで認証を受けるので、次のAD FS 2.0のサインイン・ページを開く。

https://<IdPのFQDN>/adfs/ls/IdpInitiatedSignOn.aspx

 AD FS 2.0はサインイン先のRPが指定されていない場合、ドロップダウン・リストでAD FS 2.0に設定されているRPのリストが表示されるので、先ほど作成した[Salesforce.com]を選択して[移動]ボタンをクリックする。

AD FS 2.0のサインイン・ページ
「Salesforce.com」を選ぶ。
これをクリックするとSalesforce.comへサインイン(ログオン)できる。

 Windows統合認証が行われるので、そのときPCにログオンしているユーザーのメール・アドレス属性の値(メール・アドレス)でそのままSalesforce.comへログオンできるはずだ。

Salesforce.comへのサインオン
PCにログオンしていたアカウントに関連付けられているメール・アドレスで、Salesforce.comにログオンできたところ。

 次回は、Windows Azureとforce.com、Amazon EC2の各サービスとAD FS 2.0を連携する実際の手順を解説する。End of Article


 INDEX
  [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境
  第1回 クラウド・コンピューティングとアイデンティティ管理の概要
    1.クラウド・コンピューティングの基礎と課題
    2.クラウドでのセキュリティ対策とアイデンティティ管理の役割
    3.クラウドがアイデンティティ管理システムにもたらす変化
 
  第2回 クラウド・コンピューティング時代の認証技術
    1.アイデンティティ連携(フェデレーション)の要素技術
    2.マイクロソフトのアイデンティティに関するビジョン
    3.アイデンティティ・メタシステムの実装
 
  第3回 クラウド・サービスと社内ADとのSSOを実現する(前)
    1.AD FS 2.0のセットアップ
    2.Google AppsとAD FS 2.0との連携
    3.Windows Live IDとAD FS 2.0との連携
  4.Salesforce.com CRMとAD FS 2.0との連携
 
  第4回 クラウド・サービスと社内ADとのSSOを実現する(後)
    1.Windows AzureとAD FS 2.0との連携(1)
    2.Windows AzureとAD FS 2.0との連携(2)

 Windows 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH