LookerはSAMLに対応しており、SP-initiatedでSSOすることが可能です。
今回は、SalesforceをIdPとして接続し、Lookerにログインするための設定手順を以下に示します。
まず、salesforceをIdPとして利用できるようにするために、salesforceにて以下の設定がまず必要です。salesforceのヘルプを参照して、設定してください。
A. 私のドメインを登録
B. IDプロバイダの有効化
こちらが完了していることを前提に、今回の目的のための設定手順を説明します。
手順
Salesforceの接続アプリケーションを登録
1.1 設定画面に移動し、ID -> IDプロバイダ へ移動する
1.2 画面上部にある”証明書のダウンロード”ボタンをクリックし、証明書をダウンロードする
※ Lookerでの設定に利用
1.3 画面下部にあるサービスプロバイダのセクションにあるリンクをクリック
接続アプリケーション名: 任意の名前 (例 Looker)
API参照名: 任意の名前 (例 Looker)
取引先責任者メール: システム管理者のメールアドレス
開始URL: LookerインスタンスのURL (例 https://xyz.jp.looker.com/)
SAMLの有効化:チェック入れる
エンティティID:任意のFQDN形式の文字列 ※Lookerでも同じ文字列をセットする必要あり
ACS URL:LookerインスタンスのURL + /samlcallback (例 https://xyz.jp.looker.com/samlcallback)
件名識別:統合ID
名前ID形式:urn:oasis:names:tc:SAML:2.0:nameid-format:transient
発行者:任意のFQDN形式の文字列 ※Lookerでも同じ文字列をセットする必要あり
Idp証明書:デフォルトのIdP証明書
他の項目は空白のまま
1.5 保存後、以下の画面にて"Manageボタン"をクリック
属性キー 属性値
FirstName $User.FirstName
LastName $User.LastName
Email $User.Email
Lookerは、SAMLでIdPから得られた上記の情報を対となるLookerアカウントに上書きします。
Salesforceでのセットアップは以上となります。
LookerのSAML設定
2.1 Lookerにログインし、メニューバーからAdmin->SAMLに移動
2.2 画面上部のオプションボタンにて、"Enabled"を選択する
2.3 以下の画面イメージのように入力画面が表示されるので、各値を以下のように設定する
IdP URL:SalesforceのURL + /idp/endpoint/HttpRedirect
(例 https://私のドメイン名.my.salesforce.com/idp/endpoint/HttpRedirect)
IdP Issuer:1.3にある発行者と同じ値
IdP Certificate:1.2でダウンロードした証明書ファイルの内容
SP Entity / IdP Audience(Optional) :1.4でセットしたエンティティIDと同じ値
2.4 必要な設定を入力した後、画面下部にある"Test SAML Authentication"ボタンをクリックしてSSOのテストする
成功すると上記のような画面を表示されます。もしエラーが出る場合には、設定内容を再度ご確認ください。
2.5 元のSAML設定画面に戻り、画面最下部にある I have confirmed the configuration above and want to enable applying it globally. の隣にあるチェックボックスにチェックを入れる
2.6 "Update Settings"ボタンをクリックして、設定を保存する
Lookerでのセットアップは以上となります。
SSOでLookerにログイン
3.1 Lookerインスタンスにアクセスする
3.2 以下のような画面が表示されるので、"AUTHENTICATE"ボタンをクリックする
以上となります。