はじめに
近年、多くの企業で業務のクラウド化が進み、1人のユーザーが複数のSaaSアプリケーションを日常的に利用するようになりました。それに伴い、現場で大きな課題となっているのが「パスワードの管理」です。
「またパスワードを忘れてログインできない」「システムごとにパスワードを変えるのが面倒で、簡単なものを使い回してしまう」といったユーザーのパスワード疲れは、業務効率を低下させるだけでなく、セキュリティ上の重大なリスクにも直面します。また、システム管理者にとっても、新入社員の入社時や退職時のアカウント管理、そして日々のパスワードリセット対応は大きな運用負荷となっています。
これらの課題をスマートに解決できるのが、シングルサインオン(SSO)です。
SalesforceにSSOを導入することで、以下のような大きなメリットを得ることができます。
ユーザーの利便性向上:
一度のログインでSalesforceを含む複数のシステムにアクセス可能になり、業務の生産性が向上します。
管理コストの削減:
アカウントを一元管理できるため、Salesforce側でのパスワードリセット対応や退職時のアカウント無効化漏れを防げます。
セキュリティの強化:
強固なパスワードポリシーや多要素認証(MFA)を一括して適用・統制できます。
本記事では、Salesforceの管理者や開発者の皆様に向けて、SSOのなかでも広く普及しているSAML認証を用いた設定手順を分かりやすく解説していきます。
「またパスワードを忘れてログインできない」「システムごとにパスワードを変えるのが面倒で、簡単なものを使い回してしまう」といったユーザーのパスワード疲れは、業務効率を低下させるだけでなく、セキュリティ上の重大なリスクにも直面します。また、システム管理者にとっても、新入社員の入社時や退職時のアカウント管理、そして日々のパスワードリセット対応は大きな運用負荷となっています。
これらの課題をスマートに解決できるのが、シングルサインオン(SSO)です。
SalesforceにSSOを導入することで、以下のような大きなメリットを得ることができます。
ユーザーの利便性向上:
一度のログインでSalesforceを含む複数のシステムにアクセス可能になり、業務の生産性が向上します。
管理コストの削減:
アカウントを一元管理できるため、Salesforce側でのパスワードリセット対応や退職時のアカウント無効化漏れを防げます。
セキュリティの強化:
強固なパスワードポリシーや多要素認証(MFA)を一括して適用・統制できます。
本記事では、Salesforceの管理者や開発者の皆様に向けて、SSOのなかでも広く普及しているSAML認証を用いた設定手順を分かりやすく解説していきます。
SalesforceにおけるSSOの仕組み
SalesforceでSSOの設定手順に入る前に、裏側でどのような通信が行われているのか、基本的な仕組みを理解しておきましょう。
SSOの仕組みを理解する上で、まず押さえておきたいのが「IdP」と「SP」という2つの重要な役割です。
IdP(Identity Provider:アイデンティティ・プロバイダ):
ユーザーの認証情報(IDやパスワード)を一元管理し、「このユーザーは正当な権限を持っているか」を認証・証明する役割を持ちます。
SP(Service Provider:サービス・プロバイダ):
ユーザーが実際に利用したいクラウドサービスのことです。今回の構成では Salesforce がSPに該当します。
SSOの仕組みを理解する上で、まず押さえておきたいのが「IdP」と「SP」という2つの重要な役割です。
IdP(Identity Provider:アイデンティティ・プロバイダ):
ユーザーの認証情報(IDやパスワード)を一元管理し、「このユーザーは正当な権限を持っているか」を認証・証明する役割を持ちます。
SP(Service Provider:サービス・プロバイダ):
ユーザーが実際に利用したいクラウドサービスのことです。今回の構成では Salesforce がSPに該当します。
実際にユーザーがSalesforceにログインする際の流れを見てみましょう。
1.アクセス要求:
ユーザーがSalesforceのログインページ(私のドメインURL)にアクセスし、SSOログインボタンをクリックします。
2.リクエストの送信:
Salesforceは「このユーザーを認証してください」という要求を生成し、ユーザーのブラウザをIdPの画面へリダイレクトさせます。
3.IdPでの認証:
ユーザーはIdPの画面で認証(ID/パスワードの入力や多要素認証など)を行います。(※すでに他のSaaSアプリ等でIdPにログイン済みの場合は、このステップは自動的にスキップされ、スムーズに次のステップへ進みます。)
4.認証成功の証明書の発行:
認証が成功すると、IdPは「このユーザーは間違いなく本人です」という証明書を発行し、ユーザーのブラウザを経由してSalesforceへと渡します。
5.ログイン完了:
Salesforceは受け取った証明書を検証し、正当なものだと確認できればユーザーのログインを許可します。
1.アクセス要求:
ユーザーがSalesforceのログインページ(私のドメインURL)にアクセスし、SSOログインボタンをクリックします。
2.リクエストの送信:
Salesforceは「このユーザーを認証してください」という要求を生成し、ユーザーのブラウザをIdPの画面へリダイレクトさせます。
3.IdPでの認証:
ユーザーはIdPの画面で認証(ID/パスワードの入力や多要素認証など)を行います。(※すでに他のSaaSアプリ等でIdPにログイン済みの場合は、このステップは自動的にスキップされ、スムーズに次のステップへ進みます。)
4.認証成功の証明書の発行:
認証が成功すると、IdPは「このユーザーは間違いなく本人です」という証明書を発行し、ユーザーのブラウザを経由してSalesforceへと渡します。
5.ログイン完了:
Salesforceは受け取った証明書を検証し、正当なものだと確認できればユーザーのログインを許可します。
SalesforceのSAMLシングルサインオン設定の作成
IdPの情報をSalesforceに登録します。手動で各URLや証明書を入力することも可能ですが、入力ミスを防ぐためにIdPから提供されるメタデータファイル(XML形式)をインポートするのがベストプラクティスです。
手順:
1.[シングルサインオン設定] 画面の「SAML シングルサインオン設定」セクションにある [メタデータファイルから新規作成] をクリックします。
手順:
1.[シングルサインオン設定] 画面の「SAML シングルサインオン設定」セクションにある [メタデータファイルから新規作成] をクリックします。
2.IdPからダウンロードしておいたXMLファイルを選択し、[作成] をクリックします。
3.インポートされた情報をもとに設定画面が開きます。項目を確認・調整し、[保存] をクリックします。
4.設定の保存が終わったら、シングルサインオンの有効化を行います。
6.[私のドメイン] 画面の「認証設定」の認証サービスの項目に先ほどの3で作成したSSOの設定の名前が表示されているのでチェックを入れ、保存します。
SSOログインの設定が完了しました。
実際に陥った設定ミス
受入テスト時にSalesforceからログアウトするとIdP側でもログアウトされてしまうといった事象が発生しました。
これはシングルサインオンの設定(SalesforceのSAMLシングルサインオン設定の作成の3の手順)にて、「シングルログアウトを有効にする」にチェックが入っている場合に発生します。
従って、Salesforceのログアウト時にIdP側はログアウトさせたくない場合は、チェックを外しましょう。
これはシングルサインオンの設定(SalesforceのSAMLシングルサインオン設定の作成の3の手順)にて、「シングルログアウトを有効にする」にチェックが入っている場合に発生します。
従って、Salesforceのログアウト時にIdP側はログアウトさせたくない場合は、チェックを外しましょう。
運用初期段階における対応案
SSO対応を行う際に「ユーザーにSSOの利用を強制したい」という理由から、標準なSalesforceのログインフォームを削除する([私のドメイン] 画面の「認証設定」の認証サービスの「ログインフォーム」のチェックを外す)ケースがよく見られます。
しかし、これは非常に危険な操作です。
運用初期においてSSOの設定に不備があったり、IdP側で一時的なシステム障害が発生した場合、ユーザーがSalesforceにログインすることができず、運用が止まってしまう可能性があります。
運用初期段階、少なくともSSOの動作テストが完了し、本番環境で完全に安定稼働するまでの間は、「ログインフォーム」のチェックは残したままとすることを推奨します。
これにより、ログイン画面には「標準のログインフォーム」と「SSOログインボタン」の両方が表示されます。
万が一SSOでエラーが発生しても、標準のIDとパスワードを使ってSalesforceにログインすることで運用が止まってしまうことを避けることができます。
しかし、これは非常に危険な操作です。
運用初期においてSSOの設定に不備があったり、IdP側で一時的なシステム障害が発生した場合、ユーザーがSalesforceにログインすることができず、運用が止まってしまう可能性があります。
運用初期段階、少なくともSSOの動作テストが完了し、本番環境で完全に安定稼働するまでの間は、「ログインフォーム」のチェックは残したままとすることを推奨します。
これにより、ログイン画面には「標準のログインフォーム」と「SSOログインボタン」の両方が表示されます。
万が一SSOでエラーが発生しても、標準のIDとパスワードを使ってSalesforceにログインすることで運用が止まってしまうことを避けることができます。
おわりに
本記事では、SalesforceにおけるSSO(シングルサインオン)の仕組みから、標準機能を使った実践的な設定手順、そして運用初期のトラブルを防ぐための対応までを解説しました。
SSOの導入は、社内の認証基盤(IdP)との連携や各種パラメーターの調整が必要になるため、最初は少しハードルが高く感じるかもしれません。
しかし、一度設定を完了させれば、ユーザーの「パスワード疲れ」を解消し、システム管理者の日々の運用負荷を劇的に下げる強力な武器となります。
まずはSandbox環境を活用し、今回ご紹介した「標準のログインフォームを残す」という安全な手順からテスト運用を始めてみてください。この記事が、皆様のよりセキュアで快適なSalesforce環境構築の一助となれば幸いです。
もし支援のご要望があればお問い合わせください。最後までお読みいただきありがとうございました!
SSOの導入は、社内の認証基盤(IdP)との連携や各種パラメーターの調整が必要になるため、最初は少しハードルが高く感じるかもしれません。
しかし、一度設定を完了させれば、ユーザーの「パスワード疲れ」を解消し、システム管理者の日々の運用負荷を劇的に下げる強力な武器となります。
まずはSandbox環境を活用し、今回ご紹介した「標準のログインフォームを残す」という安全な手順からテスト運用を始めてみてください。この記事が、皆様のよりセキュアで快適なSalesforce環境構築の一助となれば幸いです。
もし支援のご要望があればお問い合わせください。最後までお読みいただきありがとうございました!