この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

コミュニティの SAML の設定

組織で既存のシングルサインオン機能を使用してユーザ認証を簡略化および標準化している場合、この機能をコミュニティにも拡張できます。
使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

次の情報は、Security Assertion Markup Language (SAML) 認証プロトコルと、ID プロバイダを使用して組織のシングルサインオンを設定する方法について理解していることを前提としています。コミュニティに SAML を実装する場合、重要なのはログインに関連付けられているコミュニティ URL をシングルサインオンフローに使用することです。また、SAML アサーションの POST のコミュニティ URL に /login が含まれていることを確認します。

これは、ユーザのブラウザ、コミュニティ、および ID プロバイダ間で行われる SAML 要求と応答の処理の概要です。

OAuth 認証フロー

この表では、コミュニティの SAML アサーションに必須なものを、その他の種別の Salesforce ドメインに必須なものと比較しています。
要件 標準 ポータル Force.com サイト コミュニティ
SAML アサーションの POST が実行される URL。 login.salesforce.com login.salesforce.com login.salesforce.com コミュニティ URL
アサーションで organization_idportal_id は必須か いいえ はい – 属性として渡される はい – 属性として渡される いいえ

ジャストインタイムプロビジョニングを使用して、コミュニティでポータルユーザを作成する場合に必須です。コミュニティ固有のポータルユーザは、portal_id を除外してプロビジョニングできます。

メモ

アサーションで siteUrl は必須か いいえ いいえ はい – 属性として渡される いいえ
次のサンプル SAML アサーションでは、Acme 組織のサンプル顧客コミュニティについて、Recipient として指定された コミュニティ URL を表示します。この例は、SAML 設定が 1 つの組織に当てはまります。
1<samlp:Response ID="_f97faa927f54ab2c1fef230eee27cba21245264205456" 
2      IssueInstant="2009-06-17T18:43:25.456Z" Version="2.0">
3   <saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:
4      entity">https://www.salesforce.com</saml:Issuer>
5
6   <samlp:Status>
7      <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:
8         status:Success"/>
9   </samlp:Status>
10
11   <saml:Assertion ID="_f690da2480a8df7fcc1cbee5dc67dbbb1245264205456" 
12      IssueInstant="2009-06-17T18:43:25.456Z" Version="2.0">
13      <saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:
14         nameid-format:entity">https://www.salesforce.com</saml:Issuer>
15
16      <saml:Subject>
17         <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:
18            nameid-format:unspecified">saml_portal_user_federation_id
19         </saml:NameID>
20
21         <saml:SubjectConfirmation Method="urn:oasis:names:tc:
22            SAML:2.0:cm:bearer">
23         <saml:SubjectConfirmationData NotOnOrAfter=
24            "2009-06-17T18:48:25.456Z" 
25            Recipient="https://acme.force.com/customers/login/?​saml=02HKiPoin4f49GRMsOdFmhTgi_​0nR7BBAflopdnD3gtixujECWpxr9klAw"/>
26         </saml:SubjectConfirmation>
27      </saml:Subject>
28
29      <saml:Conditions NotBefore="2009-06-17T18:43:25.456Z" 
30                       NotOnOrAfter="2009-06-17T18:48:25.456Z">
31
32         <saml:AudienceRestriction>
33            <saml:Audience>https://saml.salesforce.com</saml:Audience>
34         </saml:AudienceRestriction>
35      </saml:Conditions>
36
37      <saml:AuthnStatement AuthnInstant="2009-06-17T18:43:25.456Z">
38
39         <saml:AuthnContext>
40            <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:
41               ac:classes:unspecified
42            </saml:AuthnContextClassRef>
43         </saml:AuthnContext>
44      </saml:AuthnStatement>
45
46   </saml:Assertion>
47</samlp:Response>
組織に複数の SAML 設定がある場合、前のサンプル SAML アサーションは当てはまりますが、Recipient の違いに注意してください。
  • login の後のスラッシュは不要
  • so パラメータは必須で、組織 ID の指定が必要
Recipient は次のようになります。
1Recipient="https://acme.force.com/customers/login?​so=00DD0000000JsCM"

コミュニティからログアウトすると、シングルサインオン用の SAML を使用して承認された外部ユーザは [ID プロバイダのログアウト URL] (コミュニティの SAML で設定されている場合) にリダイレクトされます。SAML 設定は、[設定] の [セキュリティのコントロール] | [シングルサインオン設定] にあります。

SAML の設定についての詳細は、次のリソースを参照してください。