Salesforce Identity とは?
Salesforce Identity は、Salesforce 組織のユーザを外部のアプリケーションやサービスと接続するとともに、ユーザアプリケーションおよびユーザ認証の監視、管理、およびレポートを行うための管理ツールを提供します。
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition |
Salesforce Identity は、次の機能を備えた Identity and Access Management (IAM) サービスです。
- クラウドベースのユーザディレクトリ。ユーザのアカウントと情報は 1 か所で保存、管理され、他のサービスやアプリケーションからも使用できます。
- ユーザを確認し、ユーザアクセス権に対する詳細な制御を維持するための認証サービス。2 要素認証の要求、ユーザが使用できるアプリケーションの選択、個々のユーザがセッションを維持するために必要なログイン頻度���設定を行うことができます。
- UI インテグレーションを含む、サードパーティアプリケーションのアクセス管理と認証。ユーザはアプリケーションとサービスをいつでも使用できます。
- 複数のユーザへのアクセス権の付与と削除を同時に行うプロセスを合理化するアプリケーションユーザプロビジョニング。
- Identity 機能を表示および管理するための API。
- シングルサインオンと接続アプリケーションの使用状況に関するレポートおよびダッシュボードの作成の ID イベントログ。
- Microsoft Active Directory (AD) と Salesforce を統合するための Salesforce Identity Connect。Identity Connect を使用すると、AD ユーザと Salesforce ユーザを同時に管理できます。AD ユーザが再度ログインしなくても Salesforce 組織にアクセスできるように Identity Connect を設定できます。
Salesforce Identity を実装するには、次のいずれかを使用します。
- Security Assertion Markup Language (SAML)
- Security Assertion Markup Language (SAML) は、XML ベースのプロトコルです。これを使用してサービス間 (Salesforce から Microsoft 365 など) でユーザ情報を転送できます。アプリケーションでは、この情報を使用してユーザを認証し、シングルサインオンを有効にします。Salesforce は、企業ポータルまたは ID プロバイダから Salesforce へのシングルサインオンを行うために SAML をサポートします。
- OAuth 2.0
- OAuth 2.0 は、アプリケーション間のセキュアな認証を可能にするオープンプロトコルで、シングルサインオンに使用します。OAuth 認証フローには、Salesforce 組織に OAuth を実装するためのオプションを記述します。具体的なフローについての詳細は、『REST API 開発者ガイド』を参照してください。
- OpenID Connect
- Open ID Connect は、OAuth 2.0 に基づいた、サービス間で ID 情報を送信する認証プロトコルです。OpenID Connect を使用すると、ユーザは Gmail などの別のサービスにログインしてから、再ログインせずに Salesforce 組織にアクセスできます。
- 私のドメイン
- [私のドメイン] を使用すると、Salesforce ドメイン内に独自のドメイン名を定義できます (https://companyname.my.salesforce.com など)。[私のドメイン] によって、ログインと認証の管理が簡単になり、ログインページをカスタマイズできます。Salesforce で、Lightning コンポーネントを Lightning タブ、Lightning ページ、またはスタンドアロンアプリケーションとして使用する場合は、[私のドメイン] が必要です。
- 接続アプリケーション
- 接続アプリケーションは、API を使用して Salesforce と統合します。接続アプリケーションは、標準の SAML および OAuth プロトコルを使用して認証し、シングルサインオンと Salesforce API で使用するトークンを提供します。接続アプリケーションでは、標準の OAuth 機能に加え、Salesforce システム管理者がさまざまなセキュリティポリシーを設定したり、対応するアプリケーションを使用できるユーザを明示的に制御したりすることができます。
- アプリケーションランチャー
- アプリケーションランチャーを使用すると、最も頻繁に使用するアプリケーションにユーザが簡単にアクセスできます。ユーザはアプリケーションランチャーにアクセスして、再度ログインしなくても (シングルサインオン)、Salesforce、オンプレミス、接続型 (サードパーティ) などのアプリケーションを起動できます。アプリケーションランチャーには、使用可能なアプリケーションにリンクするタイルが表示されます。Salesforce システム管理者は、ユーザが初めて Salesforce を開くときに、アプリケーションランチャーをデフォルトのランディングページにすることができます。
- Identity ライセンス
- Identity ライセンスは、ユーザに Identity 機能へのアクセス権を付与します。アプリケーションランチャーは、すべての Lightning Experience ユーザが使用できます。Salesforce Classic ユーザがアプリケーションランチャーを取得するには「Identity 機能を使用」権限が必要です。
Identity ライセンスは、Enterprise Edition、Performance Edition、および Unlimited Edition のすべての有料ユーザライセンスに付属します。Developer Edition を使用する新規の各組織には、10 個の無償の Identity ユーザライセンスが含まれます。スタンドアローンの Identity 専用ライセンスを購入することも��きます。
- External Identity ライセンス
- External Identity ライセンスは、外部ユーザにアプリケーションランチャーやシングルサインオンなどの Identity 機能の使用を許可します。External Identity を使用すると、顧客やパートナーが外部 ID コミュニティを介して組織にアクセスできるようになります。
このライセンスは、Enterprise Edition、Performance Edition、および Unlimited Edition のすべての有料ユーザライセンスに付属します。Developer Edition を使用する新規の各組織には、10 個の無償の External Identity ユーザライセンスが含まれます。
- ID プロバイダおよびサービスプロバイダインテグレーション
- ID プロバイダは、ユーザがシングルサインオン (SSO) を使用して他の Web サイトにアクセスできるようにする信頼済みプロバイダです。サービスプロバイダは、アプリケーションをホストする Web サイトです。Salesforce を ID プロバイダとして有効にして、1 つ以上のサービスプロバイダを定義できます。これにより、ユーザは SSO を使用して、Salesforce から他のアプリケーションに直接アクセスできるようになります。SSO を使用すると、いくつものパスワードを覚える必要がなく、1 つだけ覚えておけばよいため、ユーザは非常に助かります。
- Salesforce Identity Connect
- Identity Connect は、Microsoft Active Directory (AD) と Salesforce を統合します。AD で入力されたユーザ情報は、すばやくシームレスに Salesforce と共有されます。ユーザ管理に AD を使用している会社は、Identity Connect を使用して Salesforce アカウントを管理できます。
- 2 要素認証
- 2 要素認証を有効化すると、ユーザがログインするとき、ユーザ名とワンタイムパスワード (OTP) など、2 つの情報の入力が要求されます。Salesforce は、ユーザ定義の OTP と、ソフトウェアまたはハードウェアデバイスで生成された OTP をサポートしています。
Salesforce システム管理者の [接続アプリケーション] ページで、ユーザのプロファイルや権限セットに基づいてアプリケーションへのユーザアクセスを管理できます。
ユーザアクセスとシングルサインオンの使用状況の詳細について Identity レポートを作成し、実行できます。レポートについての詳細は、「アプリケーションの監視とレポートの実行」を参照してください。