この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザ認証の要素
パスワード
Cookie
シングルサインオン
私のドメイン
2 要素認証
ネットワークベースのセキュリティ
データエクスポート向け CAPTCHA セキュリティ
セッションセキュリティ
カスタムログインフロー
シングルサインオン
接続アプリケーション
デスクトップクライアントアクセス
ユーザ認証の設定
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield プラットフォームの暗号化で Salesforce データを保護
組織のセキュリティの監視
Apex 開発および Visualforce 開発のセキュリティのヒント
PDF

シングルサインオン

シングルサインオンを使用すると、ユーザは各リソースに個別にログインすることなく、認証済みのすべてのネットワークリソースにアクセスできます。企業ユーザのデータベースまたはクライアントアプリケーションに対してユーザ名とパスワードを検証でき、Salesforce 管理の個別のユーザパスワードは必要ありません。
使用可能なエディション: Salesforce Classic と Lightning Experience の両方
統合認証を使用可能なエディション: すべてのエディション

代理認証を使用可能なエディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition

認証プロバイダを使用可能なエディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

必要なユーザ権限
設定を参照する 「設定・定義を参照する」
設定を編集する 「アプリケーションのカスタマイズ」

および

「すべてのデータの編集」
Salesforce には、シングルサインオンを使用する方法として、次の方法があります。
  • Security Assertion Markup Language (SAML) を使用する統合認証を使用すると、関連付けられているが関連のない Web サービス間で認証と認証データを送信することができます。これにより、クライアントアプリケーションから Salesforce にサインオンできます。SAML を使用した統合認証は、組織でデフォルトで有効化されています。
  • 代理認証のシングルサインオンを使用すると、Salesforce と選択した認証メソッドを統合することができます。これにより、LDAP (Lightweight Directory Access Protocol) サーバによる認証を統合するか、パスワードの変わりにトークンを使用する認証にシングルサインオンを実行することができます。一部���ユーザは代理認証を使用し、それ以外のユーザは引き続き Salesforce 管理パスワードを使用するように、権限レベルで代理認証を管理します。代理認証は組織単位ではなく、権限ごとに設定されます。
    代理認証を使用する主な理由を次に示します。
    • 安全な ID プロバイダとのインテグレーションなど、より厳密なユーザ認証を使用できる
    • ログインページを非公開にし、企業ファイアウォールの内側からのみアクセスできるようにする
    • フィッシング攻撃を減らすために、Salesforce を使用する他のすべの企業と差別化できる
    この機能を Salesforce で有効化されるよう要求する必要があります。組織の代理認証シングルサインオンの有効化については、Salesforce にお問い合わせください。
  • 認証プロバイダは外部サービスプロバイダのログイン情報を使用して、Salesforce 組織にユーザがログインできるようにします。Salesforce では、OpenID Connect プロトコルがサポートされており、ユーザは任意の OpenID プロバイダ (OpenID Connect をサポートする Google、Paypal、LinkedIn などのサービス) からログインできます。認証プロバイダが有効化されている場合、Salesforce はユーザのパスワードを検証しません。代わりに、Salesforce は外部サービスプロバイダのユーザログイン情報を使用して、認証情報を設定します。

外部 ID プロバイダを使用しており、Salesforce 組織にシングルサインオンを設定する場合、Salesforce はサービスプロバイダとして機能します。また、Salesforce を ID プロバイダとして有効化し、他のサービスプロバイダへの接続にシングルサインオンを使用することもできます。シングルサインオンを設定する必要があるのはサービスプロバイダのみです。

[シングルサインオン設定] ページには、組織でどのバージョンのシングルサインオンが使用可能かが表示されます。シングルサインオン設定についての詳細は、「シングルサインオン用の SAML 設定」を参照してください。SAML および Salesforce セキュリティについての詳細は、『セキュリティ実装ガイド』を参照してください。

シングルサインオンの利点

シングルサインオンを実装すると、組織は次の利点を得られます。
  • 管理コストの削減: シングルサインオンを使用すると、パスワードを 1 つ覚えるだけで、ネットワークリソースや外部アプリケーションと Salesforce の両方にアクセスできます。企業ネットワークの内側から Salesforce にアクセスするとき、ユーザはシームレスにログインでき、ユーザ名やパスワードの入力を求められることはありません。企業ネットワークの外側から Salesforce にアクセスするとき、ユーザの企業ネットワークログインにより、ログインできます。管理するパスワードが少なくなるほど、システム管理者へのパスワードリセット要求も少なくなります。
  • 既存の投資の活用: 多くの企業が中央 LDAP データベースを使用してユーザ ID を管理しています。Salesforce の認証をこのシステムに代行させることで、ユーザが LDAP システムから削除されると、Salesforce にはアクセスできなくなります。このため、退社するユーザは、離職後の会社のデータへのアクセス権を自動的に失うことになります。
  • 時間の節約: 平均すると、1 つのオンラインアプリケーションにログインするのに 5 ~ 20 秒かかります。ユーザ名やパスワードの入力ミスがあり、再入力を求めるメッセージが出た場合には、さらに時間がかかります。シングルサインオンを使用すると、Salesforce に手動でログインする必要はなくなります。この数秒の節約が、生産性の向上につながります。
  • ユーザの採用の増加: ログインしなくてよいという便利さから、日常的に Salesforce を使用するようになります。たとえば、ユーザはメールメッセージにレコードやレポートなどの Salesforce 内の情報へのリンクを記載して送信できます。メールの受信者がリンクをクリックすると、対応する Salesforce ページが自動的に開きます。
  • セキュリティの向上: 企業ネットワーク用に作成したパスワードポリシーは、Salesforce にも有効となります。また、1 回の使用のみ有効な認証情報を送信することで、機密データへのアクセス権を持つユーザに対するセキュリティの向上を図れます。