この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザ認証の要素
パスワード
Cookie
シングルサインオン
私のドメイン
2 要素認証
ネットワークベースのセキュリティ
データエクスポート向け CAPTCHA セキュリティ
セッションセキュリティ
カスタムログインフロー
シングルサインオン
接続アプリケーション
デスクトップクライアントアクセス
ユーザ認証の設定
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield プラットフォームの暗号化で Salesforce データを保護
組織のセキュリティの監視
Apex および Visualforce 開発のセキュリティガイドライン
PDF

シングルサインオン

シングルサインオン (SSO) を使用すると、ユーザが 1 回のログインで複数の承認済みネットワークリソースにアクセスできます。企業ユーザのデータベースまたはクライアントアプリケーションに対してユーザ名とパスワードを検証でき、リソースごとに個別の Salesforce 管理のパスワードは必要ありません。
使用可能なエディション: Salesforce Classic と Lightning Experience の両方
統合認証を使用可能なエディション: すべてのエディション

代理認証を使用可能なエディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition

認証プロバイダを使用可能なエディション: Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

必要なユーザ権限
設定を参照する 「設定・定義を参照する」
設定を編集する 「アプリケーションのカスタマイズ」

および

「すべてのデータの編集」
Salesforce では、次の方法で SSO を使用できます。
  • Security Assertion Markup Language (SAML) を使用する統合認証を使用すると、関連付けられているが関連のない Web サービス間で認証データを送信することができます。クライアントアプリケーションから Salesforce にログインできます。Salesforce では、自動的に組織の統合認証が有効になります。
  • 代理認証の SSO を使用すると、Salesforce と選択した認証メソッドを統合することができます。これにより、LDAP (Lightweight Directory Access Protocol) サーバによる認証を統合するか、認証にパスワードの変わりにトークンを使用することができます。代理認証は組織レベルではなく権限レベルで管理するため、柔軟性がより高くなります。権限を使用すれば、一部のユーザには代理認証を義務付け、そ��他のユーザは Salesforce によって管理されるパスワードを使用するようにできます。
    代理認証には次の利点があります。
    • 安全な ID プロバイダとのインテグレーションなど、より厳密なユーザ認証を使用できる
    • ログインページを非公開にし、企業ファイアウォールの内側からのみアクセスできるようにする
    • フィッシング攻撃を減らすために、Salesforce を使用する他のすべての企業と差別化できる
    代理認証を組織で設定する前に、Salesforce に連絡して代理認証を有効にする必要があります。
  • 認証プロバイダは外部サービスプロバイダのログイン情報を使用して、Salesforce 組織にユーザがログインできるようにします。Salesforce では、OpenID Connect プロトコルがサポートされており、ユーザは任意の OpenID Connect プロバイダ (Google、PayPal、LinkedIn など) からログインできます。認証プロバイダが有効化されている場合、Salesforce はユーザのパスワードを検証しません。代わりに、Salesforce は外部サービスプロバイダのユーザログイン情報を使用して、認証情報を設定します。

外部 ID プロバイダを使用しており、Salesforce 組織に SSO を設定する場合、Salesforce はサービスプロバイダとして機能します。また、Salesforce を ID プロバイダとして有効化し、他のサービスプロバイダへの接続に SSO を使用することもできます。SSO を設定する必要があるのはサービスプロバイダのみです。

[シングルサインオン設定] ページには、組織でどのバージョンの SSO が使用可能かが表示されます。SSO の設定についての詳細は、「シングルサインオン用の SAML 設定」を参照してください。SAML および Salesforce セキュリティについての詳細は、『セキュリティ実装ガイド』を参照してください。

SSO の利点

SSO の実装には、組織にとっていくつかの利点があります。
  • 管理コストの削減 — SSO を使用すると、ユーザはパスワードを 1 つ覚えるだけで、ネットワークリソースや外部アプリケーションと Salesforce にアクセスできます。企業ネットワークの内側から Salesforce にアクセスするとき、ユーザはシームレスにログインでき、ユーザ名やパスワードの入力を求められることはありません。企業ネットワークの外側から Salesforce にアクセスするとき、ユーザの企業ネットワークログインにより、ログインできます。管理するパスワードが少なくなればそれだけ、パスワード忘れのためにシステム管理者にパスワードリセットを要求することも少なくなります。
  • 既存の投資の活用 — 多くの企業が中央 LDAP データベースを使用してユーザ ID を管理しています。Salesforce 認証をこのシステムに委任できます。ユーザが LDAP システムから削除されると、Salesforce にアクセスできなくなります。退社するユーザは、離職後の会社のデータへのアクセス権を自動的に失うことになります。
  • 時間の節約 – ユーザがオンラインアプリケーションにログインするには平均 5 ~ 20 秒かかります。ユーザ名やパスワードの入力ミスがあって再入力を求められた場合には、さらに長い時間がかかります。SSO を使用すると、Salesforce に手動でログインする必要はなくなります。この数秒の節約が、ストレスを軽減し、生産性の向上につながります。
  • ユーザの採用の増加 — ログインしなくてよいという便利さから、ユーザは日常的に Salesforce を使用するようになります。たとえば、ユーザはメールメッセージにレコードやレポートなどの Salesforce 内の情報へのリンクを記載して送信できます。メールの受信者がリンクをクリックすると、対応する Salesforce ページが開きます。
  • セキュリティの向上 — 企業ネットワーク用に作成したすべてのパスワードポリシーは、Salesforce にも有効となります。1 回の使用のみ有効な認証情報を送信することで、機密データへのアクセス権を持つユーザに対するセキュリティの向上も図れます。