Salesforce Identity とは?
Salesforce Identity は、Salesforce 組織のユーザを外部のアプリケーションやサービスと接続するとともに、ユーザアプリケーションおよびユーザ認証の監視、管理、およびレポートを行うための管理ツールを提供します。
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition |
Salesforce Identity は、次の機能を備えた Identity and Access Management (IAM) サービスです。
- クラウドベースのユーザディレクトリ。ユーザのア���ウントと情報は 1 か所で保存、管理され、他のサービスやアプリケーションからも使用できます。
- ユーザを確認し、ユーザアクセス権に対する詳細な制御を維持するための認証サービス。2 要素認証の要求、ユーザが使用できるアプリケーションの選択、個々のユーザがセッションを維持するために必要なログイン頻度の設定を行うことができます。
- UI インテグレーションを含む、サードパーティアプリケーションのアクセス管理と認証。ユーザはアプリケーションとサービスをいつでも使用できます。
- 複数のユーザへのアクセス権の付与と削除を同時に行うプロセスを合理化するアプリケーションユーザプロビジョニング。
- Identity 機能を表示および管理するための API。
- シングルサインオン (SSO) と接続アプリケーションの使用状況に関するレポートおよびダッシュボードの作成の ID イベントログ。
- Microsoft Active Directory (AD) と Salesforce を統合するための Salesforce Identity Connect。Identity Connect を使用すると、AD ユーザと Salesforce ユーザを同時に管理できます。AD ユーザが再度ログインしなくても Salesforce 組織にアクセスできるように Identity Connect を設定できます。
Salesforce Identity を実装するには、次のいずれかを使用します。
- Security Assertion Markup Language (SAML)
- Security Assertion Markup Language (SAML) は、XML ベースのプロトコルです。これを使用してサービス間 (Salesforce から Microsoft 365 など) でユーザ情報を転送できます。アプリケーションでは、この情報を使用してユーザを認証し、SSO を有効にします。Salesforce では、企業ポータルまたは ID プロバイダから Salesforce への SSO を行うために SAML がサポートされています。
- OAuth 2.0
- OAuth 2.0 は、アプリケーション間でセキュアな認証を可能にするために使用するオープンプロトコルです。OAuth 認証フローには、Salesforce 組織に OAuth を実装するためのオプションを記述します。具体的なフローについての詳細は、『REST API 開発者ガイド』を参照してください。
- OpenID Connect
- Open ID Connect は、OAuth 2.0 に基づいた、サービス間で ID 情報を送信する認証プロトコルです。OpenID Connect を使用すると、ユーザは Gmail などの別のサービスにログインしてから、再ログインせずに Salesforce 組織にアクセスできます。
- 私のドメイン
- [私のドメイン] を使用すると、Salesforce ドメイン内に独自のドメイン名を定義できます (https://companyname.my.salesforce.com など)。[私のドメイン] によって、ログインと認証の管理が簡単になり、ログインページをカスタマイズできます。Lightning コンポーネントを Lightning タブ、Lightning ページ、またはスタンドアロンアプリケーションとして使用するなど、Salesforce で何らかの機能を使用する必要がある場合は、[私のドメイン] が必要です。
- 接続アプリケーション
- 接続アプリケーションは、API や標準プロトコル (SAML、OAuth、OpenID Connect など) を使用して、外部アプリケーションを Salesforce に統合できるようにするフレームワークです。接続アプリケーションではこうしたプロトコルを使用して、外部アプリケーションの認証、承認、SSO の提供を行います。Salesforce に統合された外部アプリケーションは、カスタマーサクセスプラットフォームをはじめとするプラットフォームやデバイス、SaaS サブスクリプションで実行できます。
- アプリケーションランチャー
- アプリケーションランチャーを使用すると、最も頻繁に使用するアプリケーションにユーザが簡単にアクセスできます。ユーザはアプリケーションランチャーにアクセスして、再度ログインしなくても (シングルサインオン)、Salesforce、オンプレミス、接続型 (サードパーティ) などのアプリケーションを起動できます。アプリケーションランチャーには、使用可能なアプリケーションにリンクするタイルが表示されます。これは、すべての Lightning Experience ユーザが使用できます。Salesforce Classic ユーザがアプリケーションランチャーを取得するには「Identity 機能を使用」権限が必要です。
- Identity ライセンス
- Identity ライセンスは、ユーザに Identity 機能へのアクセス権を付与します。Salesforce Identity は、Salesforce ユーザを外部のアプリケーションやサービスと結び付けると同時に、システム管理者がこれらのユーザの認証や承認を制御できるようにします。
Identity ライセンスは、Enterprise Edition、Performance Edition、および Unlimited Edition のすべての有料ユーザライセンスに付属します。Developer Edition を使用する新規の各組織には、10 個の無償の Identity ユーザライセンスが含まれます。スタンドアローンの Identity 専用ライセンスを購入することもできます。
- External Identity ライセンス
- External Identity ライセンスにより、SSO などの ID サービスを外部ユーザに配信できます。これは、ユーザのブロック用に購入できるスタンドアロンライセンスです。このユーザは通常、顧客、購入者、患者、パートナー、販売店など、各自のビジネスの利用者です。
このライセンスは、Enterprise Edition、Performance Edition、および Unlimited Edition のすべての有料ユーザライセンスに付属します。Developer Edition を使用する新規の各組織には、10 個の無償の External Identity ユーザライセンスが含まれます。
- ID プロバイダおよびサービスプロバイダインテグレーション
- ID プロバイダは、ユーザがシングルサインオン (SSO) を使用して他の Web サイトにアクセスできるようにする信頼済みプロバイダです。サービスプロバイダは、アプリケーションをホストする Web サイトです。Salesforce を ID プロバイダとして有効にして、1 つ以上のサービスプロバイダを定義できます。これにより、ユーザは SSO を使用して、Salesforce から他のアプリケーションに直接アクセスできるようになります。SSO を使用すると、いくつものパスワードを覚える必要がなく、1 つだけ覚えておけばよいため、ユーザは非常に助かります。
- Salesforce Identity Connect
- Identity Connect は、Microsoft Active Directory (AD) と Salesforce を統合します。AD で入力されたユーザ情報は、すばやくシームレスに Salesforce と共有されます。ユーザ管理に AD を使用している会社は、Identity Connect を使用して Salesforce アカウントを管理できます。
- 2 要素認証
- 2 要素認証は、組織のユーザアカウントを保護する最も効果的な方法です。2 要素認証を有効化すると、ユーザがログインするとき、ユーザ名とワンタイムパスワード (OTP) など、2 つの情報の入力が要求されます。システム管理者は、権限またはプロファイル設定を使用して 2 要素認証を有効化します。ユーザは、2 要素認証を各自の個人設定で登録します。Salesforce Authenticator や Google Authenticator などの OTP ジェネレータアプリケーションを使用できます。また、U2F セキュリティキーなどのハードウェアデバイスを使用することもできます。2 要素認証を有効化すると、ユーザがログインするとき、ユーザ名とワンタイムパスワード (OTP) など、2 つの情報の入力が要求されます。Salesforce は、ユーザ定義の OTP と、ソフトウェアまたはハードウェアデバイスで生成された OTP をサポートしています。