GoogleからシングルサインオンでSalesforceにログインするには(SAML)
前からやりたいなと思っていたのですが、やり方が良く分からなかったのを解決したので共有。
ここで書いてあるのはGoogleにログインしていれば、Salesforceにログインしてる状態になりますよという設定だ。逆にSalesforceを認証プロバイダとして使うことも出来るのだが、将来的に考えても全社員がGoogleアカウントを持つことは恐らく確実だろうと思うし、Googleをベースにしてログイン出来たほうがコスト的にも安いだろうと思いそちらを選択した。
Salesforce側でSAML シングルサインオン設定を行う
[設定]>[管理]>[セキュリティのコントロール]>[シングルサインオン設定]
まずは編集ボタンを押してSAMLを有効化する
次に、新規ボタンを押して、GoogleApps用の設定を追加する
ここでハマりました!
- 名前:何でもOKです
- API参照名:GoogleAppsとかでいいと思います
- 発行者:GoogleApps側で設定されるエンティティIDを入れます
- エンティティID:https://saml.salesforce.com/
- IDプロバイダの証明書:後ほどGoogle側でゲット出来るファイルです
- IDプロバイダのログインURL:こちらもGoogle側で
Google側で設定する時にエンティティIDってのが出てくるんですけどね!!!関係ないんかーい!てことで1時間ばかりハマりました。
Google側にSAMLアプリを設定する
管理者コンソールからアプリ>SAMLアプリ>新規追加>Salesforceを選びます
結果的にこんな感じになります。
一番最初に出てくる画面にエンティティIDみたいなのが出てきますが、それをSalesforceの発行者の欄に入れます。(なんでだよ!!)
https://accounts.google.com/o/saml2?idpid=***********
こんな感じのやつですね。
開始URLはシングルサインオン(SSO)した後に表示される画面のURLです。どこでもOKですよ。
エンティティURLは先ほどと同様にhttps://saml.salesforce.com/ を入れてください。
と、こんな感じでしょうか。
Googleからシングルサインオンしてみよう
Googleの右上のアプリランチャからSalesforceアイコンをクリックすれば、
ID・パスワード認証及び、もし設定しているなら二要素認証が不要で、開始URLが開きます。
2つともログイン認証しなきゃいけないの、なにげに面倒だなと思っていたんですよね。これで不便さが解決するような気がする。