JP Salesforce SAML SSO for Beginners

Salesforce SAML SSO for Beginners Salesforce Architects Meetup Tokyo #02
#archjapan Shun Kosaka | Accenture | @shunkosa

Today’s topic 本⽇のトピック本⽇のトピック

Identity Access Management in Salesforce 認証 ID管理 UX強化 ID・パスワードによるログイン⾼保証セッション
シングルサインオン 2FA ユーザIDを作成・編集・凍結する 3rd Partyアプリの IDをプロビジョニングするアプリケーションランチャから 3rd Party アプリを起動するログイン画⾯のカスタマイズ本⽇のトピック

What is Single Sign On (SSO) ? ⼀度のユーザ認証で独⽴した複数のシステムを利⽤可能にする仕組み

• 管理コストの削減 • 「ログインできません」はヘルプデスクあるある • セキュリティの向上 • 守るべき箇所が⼀箇所になる • 時間の節約
• 塵も積もれば Why SSO?

• SAML • 異なるインターネットドメイン間でユーザー認証を⾏うための XML をベースにした標準規格 • 代理認証 (※Salesforce独⾃の認証⽅式) •
権限ベースで有効化 • 外部の認証サービスに認証を丸投げし、結果をSalesforceへ返す • Salesforceと認証サービスが直接SOAPメッセージをやりとり • 認証プロバイダ • OpenID Connectに対応した認証サービスを利⽤してSalesforceにログインする仕組み SSO in Salesforce 本⽇のトピック

基本的な⽤語を抑えましょう︕ • IdP (Idプロバイダ) • 認証情報を提供する側 • SP (サービスプロバイダ) •
認証情報を利⽤してWebサービスを提供する側 • アサーション • IdPからSPへ渡される認証情報のこと ※SalesforceはIdP/SPどちらとしても利⽤できます。 Common SAML Terms

DEMO : Azure AD -> Salesforce IdP Initiated SP Initiated

IdP Initiated Flow IdP SP 1. 事前に信頼関係を構築 (メタデータの読み込みや公開鍵の登録) 2. IdPにログイン
3. IdPはユーザ認証し、認証応答メッセージを返す (アサーションが含まれる) 5. SPは認証応答メッセージを検証 4. SPにリダイレクト (バインディング) SAMLはIdPとSPが直接通信しない(すべてブラウザを介す)

SP Initiated Flow IdP SP ※マイドメインの設定必須 1. 事前に信頼関係を構築 (メタデータの読み込みや公開鍵の登録) 4.
認証要求メッセージを受け取り IdPにリダイレクト 5. IdPはユーザ認証し、認証応答メッセージを返す (アサーションが含まれる) 3. 認証要求メッセージを⽣成 2. SPにアクセス 6. SPは認証応答メッセージを検証

DEMO : 認証要求と応答メッセージを確認認証要求メッセージの例

DEMO : 認証要求と応答メッセージを確認認証応答メッセージの例署名アサーションの対象。シングルサインオン設定の「件名」のNameIDはこれのことリダイレクト先

Just in Time Provisioning for SAML • アサーションの情報からSalesforceのユーザを⾃動作成・更新する仕組み • ユーザの無効化は⾮対応
※Azure ADには⾃動プロビジョニング機能がありますが、 Salesforce標準のJITプロビジョニングを理解するためにあえてこちらでデモしています。シングルサインオン設定の下の⽅にあります

アサーションを検証しよう Troubleshooting …

• SalesforceのID管理の全体像 • SalesforceでSAML SSOを設定する • IdP-Initiated / SP-Initiated のフロー
• Salesforceのシングルサインオン設定 • JITプロビジョニング • トラブルシューティングの⽅法 Takeaways

• Trailhead • 安全なIDとアクセスの管理 (超おすすめ︕) • https://trailhead.salesforce.com/ja/content/learn/trails/identity Resources

• 認証プロバイダの仕組みでAzure ADと連携する • Developer Editionを2つ取得してSSOを設定しよう • IdP/SPがCommunityだった場合は︖ • Active
Directory(オンプレミス) とSalesforceのSSOオプションを⽐較検討しよう • ADFS • Identity Connect • 3rd party Federation Service (Okta, Ping, etc…) Exercises

JP Salesforce SAML SSO for Beginners

JP Salesforce SAML SSO for Beginners

Shun Kosaka

More Decks by Shun Kosaka

Other Decks in Technology

Featured

Transcript

Salesforce SAML SSO for Beginners Salesforce Architects Meetup Tokyo #02

Today’s topic 本⽇のトピック本⽇のトピック

Identity Access Management in Salesforce 認証 ID管理 UX強化 ID・パスワードによるログイン⾼保証セッション

What is Single Sign On (SSO) ? ⼀度のユーザ認証で独⽴した複数のシステムを利⽤可能にする仕組み

• 管理コストの削減 • 「ログインできません」はヘルプデスクあるある • セキュリティの向上 • 守るべき箇所が⼀箇所になる • 時間の節約

• SAML • 異なるインターネットドメイン間でユーザー認証を⾏うための XML をベースにした標準規格 • 代理認証 (※Salesforce独⾃の認証⽅式) •

基本的な⽤語を抑えましょう︕ • IdP (Idプロバイダ) • 認証情報を提供する側 • SP (サービスプロバイダ) •

DEMO : Azure AD -> Salesforce IdP Initiated SP Initiated

IdP Initiated Flow IdP SP 1. 事前に信頼関係を構築 (メタデータの読み込みや公開鍵の登録) 2. IdPにログイン

SP Initiated Flow IdP SP ※マイドメインの設定必須 1. 事前に信頼関係を構築 (メタデータの読み込みや公開鍵の登録) 4.

DEMO : 認証要求と応答メッセージを確認認証要求メッセージの例

DEMO : 認証要求と応答メッセージを確認認証応答メッセージの例署名アサーションの対象。シングルサインオン設定の「件名」のNameIDはこれのことリダイレクト先

Just in Time Provisioning for SAML • アサーションの情報からSalesforceのユーザを⾃動作成・更新する仕組み • ユーザの無効化は⾮対応

アサーションを検証しよう Troubleshooting …

• SalesforceのID管理の全体像 • SalesforceでSAML SSOを設定する • IdP-Initiated / SP-Initiated のフロー

• Trailhead • 安全なIDとアクセスの管理 (超おすすめ︕) • https://trailhead.salesforce.com/ja/content/learn/trails/identity Resources

• 認証プロバイダの仕組みでAzure ADと連携する • Developer Editionを2つ取得してSSOを設定しよう • IdP/SPがCommunityだった場合は︖ • Active