AzureADとLMISのSSO設定をする(LMIS編)
AzureADとLMISのSSO設定を行う場合の、LMIS側の設定について説明します。
事前に「AzureADとLMISのSSO設定をする(AzureAD編)」を実施し、AzureADからダウンロードしたメタデータファイルをご準備ください。
<目次>
操作方法
1.システム管理者ユーザでログインし、管理メニューを表示します。
管理メニューを表示する操作については、「運用管理に使用するメニュー」を参照してください。
2.クイック検索テキストボックスで「シングルサインオン設定」を検索しクリックします。
3.SAMLを有効化します。[編集]ボタンをクリックします。
4.「SAML を有効化」をチェックし、[保存]ボタンをクリックします。
5.「メタデータファイルから新規作成」をクリックします。
6.AzureADからダウンロードしたメタデータファイルを選択し、[作成]ボタンをクリックします。
7.基本的な情報が自動で設定されます。必要に応じて下記の設定変更を行い、[保存]ボタンをクリックします。
LMISでは、ジャストインタイムのユーザプロビジョニング機能は非対応となっております。
名前 | 任意 |
API参照名 | 任意 |
発行名 | IDプロバイダの発行者を指定します。 メタデータをインポートした場合、「Azure AD 識別子」が自動入力されます。 |
エンティティID | SalesforceのエンティティIDを指定します。 メタデータをインポートした場合、「識別子 (エンティティ ID)」が自動入力されます。 |
IDプロパイダの証明書 | IDプロバイダの証明書を指定します。 メタデータをインポートした場合、「証明書」が自動入力されます。 |
署名要求メソッド | IDプロバイダの署名方式を指定します。 |
SAML ID 種別 | IDプロバイダのSAML認証情報の送信内容を指定します。
Sandbox環境の場合は、 LMISのユーザ名が「ユーザ名.Sandbox名」となるため、「統合ID」や「ユーザID」を使用して検証してください。 |
SAML ID の場所 | IDプロバイダのSAML認証情報の送信内容を指定します。
|
サービスプロバイダの起動要求バインド | IDプロバイダのエンドポイントとバインド方式を指定します。 |
IDプロバイダのログインURL | IDプロバイダの認証URLを指定します。 |
8.認証設定を変更します。クイック検索テキストボックスで「私のドメイン」を検索しクリックします。
9.認証設定の[編集]をクリックします。
10.作成した作成した認証サービスを選択してください。
複数の認証サービスを選択した場合、ユーザーが Salesforce 環境へのシングルサインオンを開始すると、サインインに使用する認証サービスを選択するよう要求されます。
設定後、[保存]をクリックします。
11.通常のLMISのログインURLである「https://login.salesforce.com」からログインを防止する場合は次の設定を実施します。
私のドメインの「ポリシー」の[編集]をクリックします。
12.「https://login.salesforce.comからのログインを防止」をチェックありにして保存します。
私のドメインのURLからしかログインができなくなります。
これで、LMISのSSO設定は完了です。
SSOをテストする
SSOできるかをテストします。
1.AzureADにログインし、LMISのシングルサインオン設定画面を表示します。
⑤「シングル サインオンをTest」の[Test]クリックします。
2.[サインインのテスト]をクリックします。
3.LMISにログインできればSSO設定が問題なく設定されています。
失敗する場合
SSOに失敗する原因を確認します。
1.LMISのシングルサインオン設定画面を開きます。
2.[SAMLアサーション検証]をクリックします。
3.失敗した原因が記録されるので、エラー内容に応じて対応を実施してください。
参考情報
シングルサインオン設定の詳細は、Salesforceヘルプ「SAML シングルサインオンを使用するサービスプロバイダとして Salesforce を設定」を参照してください。