AzureADとLMISのSSO設定をする(LMIS編)

AzureADとLMISのSSO設定を行う場合の、LMIS側の設定について説明します。

事前に「AzureADとLMISのSSO設定をする(AzureAD編)」を実施し、AzureADからダウンロードしたメタデータファイルをご準備ください。


<目次>

操作方法


1.システム管理者ユーザでログインし、管理メニューを表示します。
管理メニューを表示する操作については、「運用管理に使用するメニュー」を参照してください。

2.クイック検索テキストボックスで「シングルサインオン設定」を検索しクリックします。

 

3.SAMLを有効化します。[編集]ボタンをクリックします。

 

4.「SAML を有効化」をチェックし、[保存]ボタンをクリックします。

 

5.「メタデータファイルから新規作成」をクリックします。

 

6.AzureADからダウンロードしたメタデータファイルを選択し、[作成]ボタンをクリックします。

 

7.基本的な情報が自動で設定されます。必要に応じて下記の設定変更を行い、[保存]ボタンをクリックします。

LMISでは、ジャストインタイムのユーザプロビジョニング機能は非対応となっております。

名前

任意

API参照名

任意

発行名

IDプロバイダの発行者を指定します。

メタデータをインポートした場合、「Azure AD 識別子」が自動入力されます。

エンティティID

SalesforceのエンティティIDを指定します。

メタデータをインポートした場合、「識別子 (エンティティ ID)」が自動入力されます。

IDプロパイダの証明書

IDプロバイダの証明書を指定します。

メタデータをインポートした場合、「証明書」が自動入力されます。

署名要求メソッド

IDプロバイダの署名方式を指定します。

SAML ID 種別

IDプロバイダのSAML認証情報の送信内容を指定します。
選択する項目は以下を参照してください。

  • アサーションには、ユーザのSalesforceユーザ名が含まれます
    Salesforceのユーザ名を送信します。

  • アサーションには、ユーザオブジェクトの統合IDが含まれます
    Salesforceユーザの統合IDに指定した内容を送信します。

  • アサーションには、ユーザオブジェクトのユーザIDが含まれます
    認証情報に、SalesforceのユーザのレコードID値を保持し送信します。

Sandbox環境の場合は、 LMISのユーザ名が「ユーザ名.Sandbox名」となるため、「統合ID」や「ユーザID」を使用して検証してください。

SAML ID の場所

IDプロバイダのSAML認証情報の送信内容を指定します。
選択する項目は以下を参照してください。

  • IDは、SubjectステートメントのNameIdentifier要素にあります
    認証のキー情報が、名前ID(またはNameIdentifier)に指定されている場合に選択します。

  • ID は Attribute 要素にあります
    認証のキー情報が、名前ID(またはNameIdentifier)に指定されていない場合に選択します。

サービスプロバイダの起動要求バインド

IDプロバイダのエンドポイントとバインド方式を指定します。

IDプロバイダのログインURL

IDプロバイダの認証URLを指定します。

 

8.認証設定を変更します。クイック検索テキストボックスで「私のドメイン」を検索しクリックします。

 

9.認証設定の[編集]をクリックします。

 

10.作成した作成した認証サービスを選択してください。
複数の認証サービスを選択した場合、ユーザーが Salesforce 環境へのシングルサインオンを開始すると、サインインに使用する認証サービスを選択するよう要求されます。
設定後、[保存]をクリックします。

 

11.通常のLMISのログインURLである「https://login.salesforce.com」からログインを防止する場合は次の設定を実施します。

私のドメインの「ポリシー」の[編集]をクリックします。

 

12.「https://login.salesforce.comからのログインを防止」をチェックありにして保存します。

私のドメインのURLからしかログインができなくなります。


これで、LMISのSSO設定は完了です。

SSOをテストする


SSOできるかをテストします。

1.AzureADにログインし、LMISのシングルサインオン設定画面を表示します。

⑤「シングル サインオンをTest」の[Test]クリックします。

 

2.[サインインのテスト]をクリックします。

 

3.LMISにログインできればSSO設定が問題なく設定されています。

 

失敗する場合

SSOに失敗する原因を確認します。

1.LMISのシングルサインオン設定画面を開きます。

2.[SAMLアサーション検証]をクリックします。

 

3.失敗した原因が記録されるので、エラー内容に応じて対応を実施してください。

参考情報


シングルサインオン設定の詳細は、Salesforceヘルプ「SAML シングルサインオンを使用するサービスプロバイダとして Salesforce を設定」を参照してください。