SSOとは?
SSOとは、Single Sigh-On(シングルサインオン)の略で、ユーザが1回のIDとパスワードによる認証を行うことで、複数のアプリケーションやWebサービスなどにアクセスできるようにする認証方法のことです。
SalesforceでのSSOの具体的な例を出すと、ユーザが組織にログインするだけで、他のアプリケーションにランチャーから自動的にアクセスできるようになります。
パソコンやスマホ、そしてインターネットが普及している現在では、一人のユーザが複数のアプリケーションやWebサービスを利用しています。
SSOが登場する以前は、複数のアプリやWebサービス一つ一つにログインのための認証が必要でしたが、SSOの登場により、一度の認証で複数のサービスへのログインが可能となり、利便性が向上しました。
SSOのメリット
SSOを導入することのメリットは、何と言っても利便性の向上です。
複数のサービスにログインするたびに認証が必要であれば、非常に手間がかかり、効率の低下にもつながってしまいます。しかし、SSOを導入することで一度の認証で済むため、利便性が格段に向上します。
さらに、パスワードを忘れるリスクや漏洩するリスクの低下にもつながります。複数の認証のために、複数のIDやパスワードを用意すると、覚えておくのにも一苦労で、忘れてしまうことも多く、忘れるたびにサービスの管理者に対して負担をかけてしまいます。
また、忘れないようにするために簡単なID・パスワードや全て同じID・パスワードを利用したり、付箋やメモなどに書いて管理される方も多くいますが、これでは結果的に漏洩のリスクが高くなってしまいます。
SSOを導入することで、パスワードを忘れるリスクは激減し、管理が簡単になるため漏洩のリスクも低下すると考えられます。
SSOのデメリット
SSOを導入するメリットは様々ですが、デメリットがないわけではありません。
まず大きなデメリットとして挙がるのは、一度のパスワードの漏洩で、重大な問題が発生する可能性が高まるということです。
当然ですが、SSOで利用しているIDやパスワードが漏洩してしまうと、そのID・パスワードで管理している全てのアプリやWebサービスが不正利用されるリスクがあります。
そして、もう一つのデメリットは、SSOを管理するシステムが停止してしまうと、SSOによってログインできるよう設定しておいたアプリやWebサービスなどが、全て利用できなくなる可能性があるということです。
SSOはその特性上、ある特定のシステムによって認証情報の管理が行われます。そのため、そのシステムが停止してしまうと、認証が不可能となり、同時にログインも不可能となってしまうリスクがあるのです。
SalesforceでのSSOの設定方法
非常に便利なSSOですが、様々なアプリケーションなどと連動させることができるSalesforceでも利用が可能となっています。
今回は、サードパーティIDプロバイダを使用したインバウンドSSOの設定方法をご紹介します。
大まかな流れとしては、ユーザの統合IDを作成し、Salesforce側でSSOの設定を行います。
そして、SSOプロバイダ側でSalesforceの設定を行い、最後にしっかりと機能しているか確認しましょう。
設定に入る前に注意しておかなければいけない前提条件があります。それは、カスタムドメインを設定しておかなければSSOを利用することができないということです。
これを踏まえたうえで、もう少し詳しい設定方法について解説していきます。
1.ユーザの統合IDの作成
SSOの設定の際、必要となるのが各ユーザを識別する属性ですが、これは、外部IDプロバイダにSalesforceユーザを関連付けるリンクになります。これは、ユーザ名、ID、そして統合IDのいずれかの使用ができますが、今回は統合IDを使用する方法をご紹介します。
まず、ユーザメニューを開き、ユーザ名の横にある「編集」をクリックします。シングルサインオン情報で、統合IDに一意のIDを入力し、保存をクリックすれば完了です。
2.Salesforce側でのSSOの設定
SalesforceでSSOを設定するためには、サービスプロバイダにIDプロバイダを認識させる必要があり、逆方向へも同じように認識させる必要があります。今回は例としてAxiomのIDプロバイダを利用するものとして、設定方法の例をご紹介します。
まず、Axiomのホームページへ行き、「SAML Identity Provider&Tester」をクリックします。クリック後にでてきたページの「Download the Identity Provider Certificate」をクリックし、IDプロバイダの証明書をダウンロードします。
この証明書は後にSalesforce組織にアップロードするため、保存先を忘れないようにしておきましょう。
次に、Salesforce組織に戻り、シングルサインオン設定を開き、「編集」ボタンをクリックします。SAMLを有効化し、「SAMLシングルサインオン設定」で「新規」をクリックし、必要な値を入力して保存をクリックすれば完了です。
次のステップで利用するため、ブラウザは閉じないように注意しましょう。
3.SSOプロバイダ側での設定
「2.Salesforce側でのSSOの設定」ではサービスプロバイダにIDプロバイダを認識させましたが、上の項目で説明した通りサービスプロバイダとIDプロバイダは双方向で認識させなければなりません。
そのため、このステップではIDプロバイダにサービスプロバイダを認識させます。
再び、Axiomのホームページを開き、「SAML Identity Provider&Tester」をクリックし、次のページにある「generate a SAML Response」をクリックしてSAMLレスポンスを生成します。その後、必要な値を入力して保存すれば完了です。
4.機能しているかの確認
設定が正常に完了したかチェックするために、ログインを試みます。ここまでの設定が正常に完了していれば、ログインができるようになっています。
まず、Axiomの設定でSAMLのレスポンスを要求します。すると、XMLのSAMLアサーションが生成されるため、その中から必要な情報を見つけ、ログインをクリックします。
これでログインができれば、正常に設定できています。
SSOを利用してセキュリティと効率の向上をしよう
今回はSSOについて、そしてSalesforceでの設定方法について解説しました。
セキュリティと効率の両方の向上が図れるSSOの利用を検討してみてはいかがでしょうか。]]>
