Salesforce Identity とは?
Salesforce Identity は、Salesforce 組織のユーザを外部のアプリケーションやサービスと接続するとともに、ユーザアプリケーションおよび認証の監視、管理、およびレポートを行うための管理ツールを提供します。
| 使用可能なエディション: Salesforce Classic |
| 使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition |
Salesforce Identity は、次の機能を備えた Identity and Access Management (IAM) サービスです。
- クラウドベースの��ーザディレクトリ。ユーザのアカウントと情報は 1 か所で保存、管理され、他のサービスやアプリケーションからも使用できます。
- ユーザを確認し、ユーザアクセス権に対する詳細な制御を維持するための認証サービス。各ユーザが使用できるアプリケーションの選択、2 要素認証の要求、個々のユーザがセッションを維持するために必要なログイン頻度の設定ができます。
- UI インテグレーションを含む、サードパーティアプリケーションのアクセス管理と認証。ユーザはアプリケーションとサービスをいつでも使用できます。
- 複数のユーザへのアクセス権の付与と削除を同時に行うプロセスを合理化するアプリケーションユーザプロビジョニング。
- Identity 機能のリリースを表示および管理するための API。
- シングルサインオンと接続アプリケーションの使用状況に関するレポートおよびダッシュボードの作成の ID イベントログ。
- Microsoft Active Directory (AD) と Salesforce を統合するコネクタである Salesforce Identity Connect。AD ユーザと Salesforce ユーザを同時に管理できます。AD ユーザが再ログインせずに Salesforce 組織にアクセスできるように Identity Connect を設定できます。
Salesforce Identity を実装するには、次のいずれかを使用します。
- Security Assertion Markup Language (SAML)
- Security Assertion Markup Language (SAML) は、XML ベースのプロトコルです。これを使用してサービス間 (Salesforce から Microsoft 365 など) でユーザ情報を転送できます。アプリケーションでは、この情報を使用してユーザを認証し、シングルサインオンを有効にします。Salesforce は、企業ポータルまたは ID プロバイダから Salesforce へのシングルサインオンを行うために SAML をサポートします。
- OAuth 2.0
- OAuth 2.0 は、アプリケーション間のセキュアな認証を可能にするオープンプロトコルで、シングルサインオンに使用します。OAuth 認証フローには、Salesforce 組織に OAuth を実装するためのオプションを記述します。具体的なフローについての詳細は、『Force.com REST API 開発者ガイド』を参照してください。
- OpenID Connect
- Open ID Connect は、OAuth 2.0 に基づいた、サービス間で ID 情報を送信する認証プロトコルです。OpenID Connect を使用すると、ユーザは Gmail などの別のサービスにログインしてから、再ログインせずに Salesforce 組織にアクセスできます。
- 私のドメイン
- [私のドメイン] を使用すると、Salesforce ドメイン内に独自のドメイン名を定義できます (https://companyname.my.salesforce.com など)。[私のドメイン] によって、ログインと認証の管理が簡単になり、ログインページをカスタマイズできます。Salesforce で、Lightning コンポーネントを Lightning タブ、Lightning ページ、またはスタンドアロンアプリケーションとして使用する場合は、[私のドメイン] が必要です。
- 接続アプリケーション
- 接続アプリケーションは、API を使用して Salesforce と統合します。接続アプリケーションは、標準の SAML および OAuth プロトコルを使用して認証し、シングルサインオンと Salesforce API で使用するトークンを提供します。接続アプリケーションでは、標準の OAuth 機能に加え、Salesforce システム管理者がさまざまなセキュリティポリシーを設定したり、対応するアプリケーションを使用できるユーザを明示的に制御したりすることができます。
- アプリケーションランチャー
- アプリケーションランチャーを使用すると、ユーザは最も頻繁に使用するアプリケーションに簡単にアクセスできます。ユーザは、アプリケーションランチャーにアクセスして、再ログインせずに (シングルサインオン)、Salesforce やサードパーティのアプリケーションを起動できます。Salesforce のアプリケーションランチャーでは、接続アプリケーションおよび標準アプリケーションにリンクするタイルがすべて 1 か所に表示されます。すべての Lightning Experience ユーザは、アプリケーションランチャーにアクセスできます。Salesforce Classic ユーザには「Identity 機能を使用」権限が必要であり、ユーザプロファイルの [アプリケーションランチャー] オプションが [参照可能] に設定されている必要があります。Salesforce Classic では、アプリケーションランチャーは Force.com アプリケーションメニューのアプリケーションとして表示されます。
- Identity ライセンス
- Identity ライセンスは、ユーザに Identity 機能へのアクセス権を付与します。Salesforce Classic ユーザがアプリケーションランチャーを使用するには「Identity 機能を使用」権限が必要です。すべての Lightning Experience ユーザは、アプリケーションランチャーを使用できます。
Identity ライセンスは、Enterprise Edition、Performance Edition、および Unlimited Edition に含まれています。Developer Edition を使用する新規の各組織には、10 個の無償の Identity ユーザライセンスが含まれます。
- External Identity ライセンス
- External Identity ライセンスは、外部ユーザにアプリケーションランチャーやシングルサインオンなどの Identity 機能の使用を許可します。External Identity を使用すると、顧客やパートナーが外部 ID コミュニティを介して組織にアクセスできるようになります。
このライセンスは、Enterprise Edition、Performance Edition、および Unlimited Edition のすべてのユーザライセンスに含まれます。Developer Edition を使用する新規の各組織には、5 個の無償の External Identity ユーザライセンスが含まれます。
- ID プロバイダおよびサービスプロバイダインテグレーション
- ID プロバイダは、ユーザがシングルサインオンを使用して他の Web サイトにアクセスできるようにする信頼済みプロバイダです。サービスプロバイダは、アプリケーションをホストする Web サイトです。Salesforce を ID プロバイダとして有効にして、1 つ以上のサービスプロバイダを定義できます。ユーザは、シングルサインオンを使用して Salesforce から他のアプリケーションに直接アクセスできます。シングルサインオンを使用すると、いくつものパスワードを覚える必要がなく、1 つだけ覚えておけばよいため、ユーザは非常に助かります。さらに、アプリケーションをタブとして Salesforce 組織に追加できるため、ユーザはプログラムを切り替える必要がなくなります。
- Salesforce Identity Connect
- Identity Connect は、Windows または Linux プラットフォームで実行するサービスを介して Microsoft Active Directory と Salesforce を統合します。AD ユーザに Salesforce へのシングルサインオンアクセスが提供されます。AD ユーザを同期するときに、Salesforce または Identity Connect のいずれかが ID サービスプロバイダとして機能します。
- 2 要素認証
- 2 要素認証を有効化すると、ユーザがログインするとき、ユーザ名とワンタイムパスワード (OTP) など、2 つの情報の入力が要求されます。Salesforce は、ユーザ定義の OTP と、ソフトウェアまたはハードウェアデバイスで生成された OTP をサポートしています。
Salesforce システム管理者の [接続アプリケーション] ページで、ユーザのプロファイルや権限セットに基づいてアプリケーションへのユーザアクセスを管理できます。
ユーザアクセスとシングルサインオンの使用状況の詳細について Identity レポートを作成し、実行できます。レポートについての詳細は、「アプリケーションの監視とレポートの実行」を参照してください。