salesforceをIdPにしてSAMLでSSOする方法

LookerはSAMLに対応しており、SP-initiatedでSSOすることが可能です。
今回は、SalesforceをIdPとして接続し、Lookerにログインするための設定手順を以下に示します。

まず、salesforceをIdPとして利用できるようにするために、salesforceにて以下の設定がまず必要です。salesforceのヘルプを参照して、設定してください。
A. 私のドメインを登録
B. IDプロバイダの有効化
こちらが完了していることを前提に、今回の目的のための設定手順を説明します。

手順

  1. Salesforceの接続アプリケーションを登録
    1.1 設定画面に移動し、ID -> IDプロバイダ へ移動する
    1.2 画面上部にある”証明書のダウンロード”ボタンをクリックし、証明書をダウンロードする
    ※ Lookerでの設定に利用
    1.3 画面下部にあるサービスプロバイダのセクションにあるリンクをクリック


    1.4 表示された画面の項目に、以下のLookerのインスタンスに関する情報を入力し、保存する

    接続アプリケーション名: 任意の名前 (例 Looker)
    API参照名: 任意の名前 (例 Looker)
    取引先責任者メール: システム管理者のメールアドレス
    開始URL: LookerインスタンスのURL (例 https://xyz.jp.looker.com/)
    SAMLの有効化:チェック入れる
    エンティティID:任意のFQDN形式の文字列 ※Lookerでも同じ文字列をセットする必要あり
    ACS URL:LookerインスタンスのURL + /samlcallback (例 https://xyz.jp.looker.com/samlcallback)
    件名識別:統合ID
    名前ID形式:urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    発行者:任意のFQDN形式の文字列 ※Lookerでも同じ文字列をセットする必要あり
    Idp証明書:デフォルトのIdP証明書

    他の項目は空白のまま

    1.5 保存後、以下の画面にて"Manageボタン"をクリック


    1.6 画面が切り替わった後、画面下部にあるプロファイルにて、"プロファイルを管理する"ボタンをクリックする

    1.7 LookerとのSSOを可能にするユーザーのプロファイルを選択し、元の画面に戻る
    1.8 画面最下部にあるカスタム属性の"新規"ボタンで、以下のカスタム属性を追加する

    属性キー 属性値
    FirstName $User.FirstName
    LastName $User.LastName
    Email $User.Email

    Lookerは、SAMLでIdPから得られた上記の情報を対となるLookerアカウントに上書きします。

    Salesforceでのセットアップは以上となります。

  2. LookerのSAML設定
    2.1 Lookerにログインし、メニューバーからAdmin->SAMLに移動
    2.2 画面上部のオプションボタンにて、"Enabled"を選択する
    2.3 以下の画面イメージのように入力画面が表示されるので、各値を以下のように設定する

    IdP URL:SalesforceのURL + /idp/endpoint/HttpRedirect
    (例 https://私のドメイン名.my.salesforce.com/idp/endpoint/HttpRedirect)
    IdP Issuer:1.3にある発行者と同じ値
    IdP Certificate:1.2でダウンロードした証明書ファイルの内容
    SP Entity / IdP Audience(Optional) :1.4でセットしたエンティティIDと同じ値

    2.4 必要な設定を入力した後、画面下部にある"Test SAML Authentication"ボタンをクリックしてSSOのテストする

    成功すると上記のような画面を表示されます。もしエラーが出る場合には、設定内容を再度ご確認ください。
    2.5 元のSAML設定画面に戻り、画面最下部にある I have confirmed the configuration above and want to enable applying it globally. の隣にあるチェックボックスにチェックを入れる
    2.6 "Update Settings"ボタンをクリックして、設定を保存する

    Lookerでのセットアップは以上となります。

  3. SSOでLookerにログイン
    3.1 Lookerインスタンスにアクセスする
    3.2 以下のような画面が表示されるので、"AUTHENTICATE"ボタンをクリックする


    3.3 salesforceのログイン画面に遷移するので、IDとパスワードを入力しログインする
    3.4 salesforceにログイン後、Lookerのログイン後の画面に移動する

以上となります。

0 0 2,356