シングルサインオンの概要

Salesforce には、ユーザ認証の独自のシステムがありますが、会社によっては、既存のシングルサインオン機能を使用して、ユーザ認証を簡略化し、標準化したい場合があります。シングルサインオンの実装には 2 つのオプションがあります。Security Assertion Markup Language (SAML) を使用する統合認証または代理認証です。

• Security Assertion Markup Language (SAML) を使用する統合認証を使用すると、関連付けられているが関連のない Web サービス間で認証と認証データを送信することができます。これにより、クライアントアプリケーションから Salesforce にサインオンできます。SAML を使用した統合認証は、組織でデフォルトで有効化されています。
• 代理認証のシングルサインオンを使用すると、Salesforce と選択した認証メソッドを統合することができます。これにより、LDAP (Lightweight Directory Access Protocol) サーバによる認証を統合するか、パスワードの変わりにトークンを使用する認証にシングルサインオンを実行することができます。一部のユーザは代理認証を使用し、それ以外のユーザは引き続き Salesforce 管理パスワードを使用するように、権限レベルで代理認証を管理します。代理認証は組織単位ではなく、権限ごとに設定されます。
  代理認証を使用する主な理由を次に示します。

  • 安全な ID プロバイダとのインテグレーションなど、より厳密なユーザ認証を使用できる
  • ログインページを非公開にし、企業ファイアウォールの内側からのみアクセスできるようにする
  • フィッシング攻撃を減らすために、Salesforce を使用する他のすべの企業と差別化できる
  この機能を Salesforce で有効化されるよう要求する必要があります。組織の代理認証シングルサインオンの有効化については、Salesforce にお問い合わせください。
• 認証プロバイダは外部サービスプロバイダのログイン情報を使用して、Salesforce 組織にユーザがログインできるようにします。Salesforce では、OpenID Connect プロトコルがサポートされており、ユーザは任意の OpenID プロバイダ (OpenID Connect をサポートする Google、Paypal、LinkedIn などのサービス) からログインできます。認証プロバイダが有効化されている場合、Salesforce はユーザのパスワードを検証しません。代わりに、Salesforce は外部サービスプロバイダのユーザログイン情報を使用して、認証情報を設定します。