Question

salesforceをIdPにしてSAMLでSSOする方法

  • 22 November 2019
  • 0 replies
  • 1264 views

Userlevel 1

LookerはSAMLに対応しており、SP-initiatedでSSOすることが可能です。

今回は、SalesforceをIdPとして接続し、Lookerにログインするための設定手順を以下に示します。


まず、salesforceをIdPとして利用できるようにするために、salesforceにて以下の設定がまず必要です。salesforceのヘルプを参照して、設定してください。

A. 私のドメインを登録

B. IDプロバイダの有効化

こちらが完了していることを前提に、今回の目的のための設定手順を説明します。


手順




  1. Salesforceの接続アプリケーションを登録

    1.1 設定画面に移動し、ID -> IDプロバイダ へ移動する

    1.2 画面上部にある”証明書のダウンロード”ボタンをクリックし、証明書をダウンロードする

    ※ Lookerでの設定に利用

    1.3 画面下部にあるサービスプロバイダのセクションにあるリンクをクリック



    1.4 表示された画面の項目に、以下のLookerのインスタンスに関する情報を入力し、保存する



    接続アプリケーション名: 任意の名前 (例 Looker)

    API参照名: 任意の名前 (例 Looker)

    取引先責任者メール: システム管理者のメールアドレス

    開始URL: LookerインスタンスのURL (例 https://xyz.jp.looker.com/)

    SAMLの有効化:チェック入れる

    エンティティID:任意のFQDN形式の文字列 ※Lookerでも同じ文字列をセットする必要あり

    ACS URL:LookerインスタンスのURL + /samlcallback (例 https://xyz.jp.looker.com/samlcallback)

    件名識別:統合ID

    名前ID形式:urn:oasis:names🇹🇨SAML:2.0:nameid-format:transient

    発行者:任意のFQDN形式の文字列 ※Lookerでも同じ文字列をセットする必要あり

    Idp証明書:デフォルトのIdP証明書



    他の項目は空白のまま


    1.5 保存後、以下の画面にて"Manageボタン"をクリック



    1.6 画面が切り替わった後、画面下部にあるプロファイルにて、"プロファイルを管理する"ボタンをクリックする



    1.7 LookerとのSSOを可能にするユーザーのプロファイルを選択し、元の画面に戻る

    1.8 画面最下部にあるカスタム属性の"新規"ボタンで、以下のカスタム属性を追加する



    属性キー 属性値

    FirstName $User.FirstName

    LastName $User.LastName

    Email $User.Email



    Lookerは、SAMLでIdPから得られた上記の情報を対となるLookerアカウントに上書きします。


    Salesforceでのセットアップは以上となります。




  2. LookerのSAML設定

    2.1 Lookerにログインし、メニューバーからAdmin->SAMLに移動

    2.2 画面上部のオプションボタンにて、"Enabled"を選択する

    2.3 以下の画面イメージのように入力画面が表示されるので、各値を以下のように設定する



    IdP URL:SalesforceのURL + /idp/endpoint/HttpRedirect

    (例 https://私のドメイン名.my.salesforce.com/idp/endpoint/HttpRedirect)

    IdP Issuer:1.3にある発行者と同じ値

    IdP Certificate:1.2でダウンロードした証明書ファイルの内容

    SP Entity / IdP Audience(Optional) :1.4でセットしたエンティティIDと同じ値



    2.4 必要な設定を入力した後、画面下部にある"Test SAML Authentication"ボタンをクリックしてSSOのテストする


    成功すると上記のような画面を表示されます。もしエラーが出る場合には、設定内容を再度ご確認ください。

    2.5 元のSAML設定画面に戻り、画面最下部にある I have confirmed the configuration above and want to enable applying it globally. の隣にあるチェックボックスにチェックを入れる

    2.6 "Update Settings"ボタンをクリックして、設定を保存する


    Lookerでのセットアップは以上となります。




  3. SSOでLookerにログイン

    3.1 Lookerインスタンスにアクセスする

    3.2 以下のような画面が表示されるので、"AUTHENTICATE"ボタンをクリックする



    3.3 salesforceのログイン画面に遷移するので、IDとパスワードを入力しログインする

    3.4 salesforceにログイン後、Lookerのログイン後の画面に移動する




以上となります。


0 replies

Be the first to reply!

Reply