コミュニティの SAML の設定
組織で既存のシングルサインオン機能を使用してユーザ認証を簡略化および標準化している場合、この機能をコミュニティにも拡張できます。
| 使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition |
次の情報は、Security Assertion Markup Language (SAML) 認証プロトコルと、ID プロバイダを使用して組織のシングルサインオンを設定する方法について理解していることを前提としています。コミュニティに SAML を実装する場合、重要なのはログインに関連付けられているコミュニティ URL をシングルサインオンフローに使用することです。また、SAML アサーションの POST のコミュニティ URL に /login が含まれていることを確認します。
これは、ユーザのブラウザ、コミュニティ、および ID プロバイダ間で行われる SAML 要求と応答の処理の概要です。

この表では、コミュニティの SAML アサーションに必須なものを、その他の種別の Salesforce ドメインに必須なものと比較しています。
| 要件 | 標準 | ポータル | Force.com サイト | コミュニティ |
|---|---|---|---|---|
| SAML アサーションの POST が実行される URL。 | login.salesforce.com | login.salesforce.com | login.salesforce.com | コミュニティ URL |
| アサーションで organization_id と portal_id は必須か | いいえ | はい – 属性として渡される | はい – 属性として渡される | いいえ |
| アサーションで siteUrl は必須か | いいえ | いいえ | はい – 属性として渡される | いいえ |
次のサンプル SAML アサーションでは、Acme 組織のサンプル顧客コミュニティについて、Recipient として指定された コミュニティ URL を表示します。この例は、SAML 設定が 1 つの組織に当てはまります。
1<samlp:Response ID="_f97faa927f54ab2c1fef230eee27cba21245264205456"
2 IssueInstant="2009-06-17T18:43:25.456Z" Version="2.0">
3 <saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:
4 entity">https://www.salesforce.com</saml:Issuer>
5
6 <samlp:Status>
7 <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:
8 status:Success"/>
9 </samlp:Status>
10
11 <saml:Assertion ID="_f690da2480a8df7fcc1cbee5dc67dbbb1245264205456"
12 IssueInstant="2009-06-17T18:43:25.456Z" Version="2.0">
13 <saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:
14 nameid-format:entity">https://www.salesforce.com</saml:Issuer>
15
16 <saml:Subject>
17 <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:
18 nameid-format:unspecified">saml_portal_user_federation_id
19 </saml:NameID>
20
21 <saml:SubjectConfirmation Method="urn:oasis:names:tc:
22 SAML:2.0:cm:bearer">
23 <saml:SubjectConfirmationData NotOnOrAfter=
24 "2009-06-17T18:48:25.456Z"
25 Recipient="https://acme.force.com/customers/login/?saml=02HKiPoin4f49GRMsOdFmhTgi_0nR7BBAflopdnD3gtixujECWpxr9klAw"/>
26 </saml:SubjectConfirmation>
27 </saml:Subject>
28
29 <saml:Conditions NotBefore="2009-06-17T18:43:25.456Z"
30 NotOnOrAfter="2009-06-17T18:48:25.456Z">
31
32 <saml:AudienceRestriction>
33 <saml:Audience>https://saml.salesforce.com</saml:Audience>
34 </saml:AudienceRestriction>
35 </saml:Conditions>
36
37 <saml:AuthnStatement AuthnInstant="2009-06-17T18:43:25.456Z">
38
39 <saml:AuthnContext>
40 <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:
41 ac:classes:unspecified
42 </saml:AuthnContextClassRef>
43 </saml:AuthnContext>
44 </saml:AuthnStatement>
45
46 </saml:Assertion>
47</samlp:Response>組織に複数の SAML 設定がある場合、前のサンプル SAML アサーションは当てはまりますが、Recipient の違いに注意してください。
- login の後のスラッシュは不要
- so パラメータは必須で、組織 ID の指定が必要
1Recipient="https://acme.force.com/customers/login?so=00DD0000000JsCM"コミュニティからログアウトすると、シングルサインオン用の SAML を使用して承認された外部ユーザは [ID プロバイダのログアウト URL] (コミュニティの SAML で設定されている場合) にリダイレクトされます。SAML 設定は、[設定] の にあります。
SAML の設定についての詳細は、次のリソースを参照してください。