次の方法で共有

Microsoft Entra ID でシングル サインオン用に Salesforce を構成する

この記事では、Salesforce と Microsoft Entra ID を統合する方法について説明します。 Salesforce と Microsoft Entra ID を統合すると、次のことができます。

  • Salesforce にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントを使用して Salesforce に自動的にサインインできるようにする。
  • 1 つの場所でアカウントを管理します。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

  • シングル サインオン (SSO) が有効な Salesforce のサブスクリプション。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

  • Salesforce では、SP Initiated SSO がサポートされます。

  • Salesforce では、自動化されたユーザー プロビジョニングとプロビジョニング解除 (推奨) がサポートされます。

  • Salesforce では、Just-In-Time ユーザー プロビジョニングがサポートされます。

  • Salesforce モバイル アプリケーションを Microsoft Entra ID と共に構成して SSO を有効にできるようになりました。 この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

Microsoft Entra ID への Salesforce の統合を構成するには、ギャラリーから管理対象 SaaS アプリのリストに Salesforce を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに、「Salesforce」と入力します。
  4. 結果パネルで [Salesforce] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します

Salesforce 用に Microsoft Entra SSO を構成してテストする

B.Simon というテスト ユーザーを使用して、Salesforce に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと Salesforce の関連ユーザーの間にリンク関係を確立する必要があります。

Salesforce に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します:

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
    • Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
    • Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. Salesforce の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>エンタープライズ アプリ>Salesforce>シングルサインオンに移動します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の編集/ペン アイコンを選択して設定を編集します。

    基本的な SAML 構成を編集する

  5. [基本的な SAML 構成] セクションで、次のフィールドの値を入力します。

    その通り。 [識別子] ボックスに、次の形式で値を入力します。

    エンタープライズ アカウント: https://<subdomain>.my.salesforce.com

    開発者アカウント: https://<subdomain>-dev-ed.my.salesforce.com

    b。 [応答 URL] ボックスに、次のパターンを使用して値を入力します。

    エンタープライズ アカウント: https://<subdomain>.my.salesforce.com

    開発者アカウント: https://<subdomain>-dev-ed.my.salesforce.com

    c. [サインオン URL] ボックスに、次のパターンを使用して値を入力します。

    エンタープライズ アカウント: https://<subdomain>.my.salesforce.com

    開発者アカウント: https://<subdomain>-dev-ed.my.salesforce.com

    注意

    これらの値は実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 これらの値を取得するには、Salesforce クライアント サポート チームに問い合わせてください。

  6. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードして、お使いのコンピューターに保存します。

    証明書のダウンロードのリンク

  7. [Salesforce のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

    構成 URL をコピーする

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

Salesforce SSO の構成

  1. 別の Web ブラウザー ウィンドウで、Salesforce 企業サイトに管理者としてサインインします

  2. ページの右上隅にある [設定] アイコンの下にある [セットアップ] を選択します。

    シングル サインオンの構成 (設定アイコン)

  3. ナビゲーション ウィンドウの [設定] まで下にスクロールし、[ ID ] を選択して関連セクションを展開します。 次に単一 Sign-On 設定を選択します。

    シングル サインオンの構成 (設定)

  4. [ 単一 Sign-On 設定] ページで、[ 編集 ] ボタンを選択します。

    シングル サインオンの構成 (編集)

    注意

    Salesforce アカウントのシングル サインオン設定を有効にできない場合は、 Salesforce クライアント サポート チームにお問い合わせください。

  5. [ SAML Enabled] を選択し、[ 保存] を選択します。

    シングル サインオンの構成 (SAML 有効)

  6. SAML シングル サインオン設定を構成するには、[ メタデータ ファイルから新規] を選択します。

    シングル サインオンの構成 (メタデータ ファイルから新規)

  7. [ ファイルの選択] を選択 して、ダウンロードしたメタデータ XML ファイルをアップロードし、[ 作成] を選択します。

    シングル サインオンの構成 (ファイルの選択)

  8. [SAML Single Sign-On Settings](SAML シングル サインオンの設定) ページでは、各フィールドが自動的に設定されます。SAML JIT を使用する場合は、 [User Provisioning Enabled](ユーザー プロビジョニングは有効です) を選択し、 [SAML Identity Type](SAML ID の種類) として [Assertion contains the Federation ID from the User object](アサーションにはユーザー オブジェクトからのフェデレーション ID が含まれます) を選択します。それ以外の場合は、 [User Provisioning Enabled](ユーザー プロビジョニングは有効です) の選択を解除し、 [SAML Identity Type](SAML ID の種類) として [Assertion contains the User's Salesforce username](アサーションにユーザーの Salesforce ユーザー名が含まれています) を選択します。 保存 を選択します。

    シングル サインオンの構成 (ユーザー プロビジョニングは有効です)

    注意

    SAML JIT を構成した場合は、「Microsoft Entra SSO の構成」セクションで追加の手順を行う必要があります。 Salesforce アプリケーションでは特定の SAML アサーションが使用されるため、SAML トークン属性の構成に特定の属性が必要です。 次のスクリーンショットには、Salesforce で必要な属性の一覧が示されています。

    JIT に必須の属性のウィンドウを示すスクリーンショット。

    SAML JIT でユーザーをプロビジョニングする場合に問題が引き続き発生する場合は、「Just-In-Time プロビジョニング要件と SAML アサーション フィールド」を参照してください。 一般に、JIT が失敗すると、次のようなエラーが表示される場合があります。We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. Salesforce の左側のナビゲーション ウィンドウで、[ 会社の設定] を選択して関連セクションを展開し、[ マイ ドメイン] を選択します。

    シングル サインオンの構成 (マイ ドメイン)

  10. [ 認証構成] セクションまで下にスクロールし、[ 編集 ] ボタンを選択します。

    シングル サインオンの構成 (認証の構成)

  11. [ 認証構成] セクションで、SAML SSO 構成の ログイン ページAzureSSO as Authentication Service を確認し、[保存] を選択 します

    注意

    複数の認証サービスを選択した場合、ユーザーが Salesforce 環境へのシングル サインオンを開始すると、サインインに使用する認証サービスを選択するよう要求されます。 このメッセージが表示されないようにするには、その他すべての認証サービスをオフのままにしておいてください。

Salesforce テスト ユーザーの作成

このセクションでは、B.Simon というユーザーを Salesforce に作成します。 Salesforce では、Just-In-Time プロビジョニングがサポートされています。この設定は既定で有効になっています。 このセクションにはアクション項目はありません。 ユーザーがまだ Salesforce に存在しない場合は、Salesforce にアクセスしようとしたときに新しいユーザーが作成されます。 Salesforce は、自動ユーザー プロビジョニングもまたサポートしています。自動ユーザー プロビジョニングの構成方法について詳しくは、こちらをご覧ください。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [ このアプリケーションをテストする] を選択すると、このオプションはログイン フローを開始できる Salesforce のサインオン URL にリダイレクトされます。

  • Salesforce のサインオン URL に直接移動し、そこからログイン フローを開始します。

  • Microsoft マイ アプリを使用することができます。 マイ アプリ ポータルで [Salesforce] タイルを選択すると、SSO を設定した Salesforce に自動的にサインインします。 マイ アプリ ポータルの詳細については、マイ アプリ ポータルの概要に関するページを参照してください。

Salesforce (モバイル) の SSO をテストする

  1. Salesforce モバイル アプリケーションを開きます。 サインイン ページで、[ カスタム ドメインの使用] を選択します。

    Salesforce モバイル アプリの [カスタムドメインを使用]

  2. [ カスタム ドメイン] ボックスに、登録済みのカスタム ドメイン名を入力し、[ 続行] を選択します。

    Salesforce モバイル アプリの [カスタムドメイン]

  3. Microsoft Entra 資格情報を入力して Salesforce アプリケーションにサインインし、[ 次へ] を選択します。

    Salesforce モバイル アプリ Microsoft Entra 資格情報

  4. 次に示すように、[ アクセスの許可 ] ページで、[ 許可 ] を選択して Salesforce アプリケーションへのアクセスを許可します。

    Salesforce モバイル アプリの [アクセスを許可しますか?]

  5. 最後に、サインインに成功すると、アプリケーションのホームページが表示されます。

    Salesforce モバイル アプリのホームページ Salesforce モバイル アプリ

ローカル アカウントを介したアプリケーション アクセスを禁止する

SSO が機能することを検証し、組織内でロールアウトしたら、 ローカル資格情報を使用してアプリケーション アクセスを無効にします。 これにより、Salesforce へのサインインを保護するために、条件付きアクセス ポリシーや MFA などが確実に設定されます。

関連コンテンツ

Enterprise Mobility + Security E5 または Microsoft Defender for Cloud Apps の別のライセンスをお持ちの場合は、その製品のアプリケーション アクティビティの監査証跡を収集できます。これは、アラートを調査するときに使用できます。 Defender for Cloud Apps では、ユーザー、管理者、またはサインインのアクティビティがポリシーに準拠していない場合にアラートをトリガーできます。 Microsoft Defender for Cloud Apps を Salesforce に 接続すると 、Salesforce サインイン イベントは Defender for Cloud Apps によって収集されます。

さらに、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。