背景と適用シーン
Salesforce 統合エンジニアの視点から、現代のエンタープライズIT環境におけるID管理の重要性はいくら強調してもしすぎることはありません。従業員は日々、Salesforce、ERP、人事システム、カスタムアプリケーションなど、多数の業務システムを利用しています。それぞれのシステムに個別のIDとパスワードが存在する場合、以下のような課題が顕在化します。
- パスワード疲労 (Password Fatigue): ユーザーは多数のパスワードを記憶・管理する必要があり、結果として推測されやすい単純なパスワードを使い回す傾向が強まります。
- 生産性の低下: ログインごとに認証情報を入力する手間や、パスワード忘れによるリセット作業は、ユーザーの貴重な時間を奪います。
- セキュリティリスクの増大: 退職者のアカウント削除漏れや、フィッシング攻撃による認証情報漏洩のリスクが高まります。管理者にとっても、システムごとにアクセス権を管理する運用負荷は膨大です。
ここで中心的な役割を果たすのが Single Sign-On (SSO) (シングルサインオン) です。SSOは、一度の認証で複数のアプリケーションやサービスへのアクセスを許可する仕組みです。統合エンジニアにとってSSOは、単なる利便性向上ツールではなく、システム間のシームレスな連携を実現し、企業全体のセキュリティガバナンスを強化するための基盤技術です。
具体的な適用シーンとしては、以下のようなケースが挙げられます。
- 社内ポータルからのSalesforceアクセス: ユーザーが社内ポータル(Microsoft Azure ADやOktaなど)にログインすれば、追加の認証なしでSalesforceにアクセスできます。
- SalesforceをIDプロバイダーとして利用: Salesforceの認証情報を利用して、Herokuで稼働するカスタムアプリケーションや、Experience Cloudサイト、さらには外部のパートナーシステムにログインさせることができます。
- モバイルアプリケーション連携: モバイルアプリケーションからSalesforceのAPIにアクセスする際、SSOを利用してセキュアでスムーズな認証フローを構築します。
原理の説明
SSOを実現するためには、認証情報の検証を行う「IDプロバイダー」と、その検証結果を信頼してサービスへのアクセスを許可する「サービスプロバイダー」の間の信頼関係を確立する必要があります。Salesforceは、この両方の役割を担うことができます。
主要な登場人物
- Identity Provider (IdP) (IDプロバイダー): ユーザーの認証情報を一元的に管理し、認証を行う主体。例えば、Okta, Azure Active Directory, Google Workspace などがこれにあたります。
- Service Provider (SP) (サービスプロバイダー): IdPによる認証結果を信頼し、ユーザーにサービスを提供する主体。この文脈ではSalesforceがSPとなります。
- ユーザー (User): SPであるSalesforceにアクセスしようとする本人。
Salesforce環境でSSOを統合する際、主に以下の2つの標準プロトコルが利用されます。
1. SAML (Security Assertion Markup Language)
SAMLは、XMLベースのエンタープライズ向けSSO標準プロトコルです。主にWebブラウザベースのSSOで広く利用されています。SAMLの認証フロー(SP-Initiated Flowの場合)は以下のようになります。
- ユーザーがSalesforce (SP) のログインURLにアクセスします。
- Salesforceはユーザーがまだ認証されていないことを確認し、ユーザーのブラウザをIdPのログインページにリダイレクトします。
- ユーザーはIdPに対して認証情報(ID/パスワード、多要素認証など)を入力し、認証を受けます。
- 認証が成功すると、IdPはユーザー情報(ユーザー名、メールアドレス、プロファイルなど)を含むデジタル署名付きの SAML Assertion (SAMLアサーション) を生成します。
- IdPは、このSAML Assertionをユーザーのブラウザ経由でSalesforce (SP) に送り返します。
- Salesforceは、事前に交換しておいた証明書を使ってSAML Assertionのデジタル署名を検証し、内容が改ざんされていないこと、信頼できるIdPから送られてきたことを確認します。
- 検証が成功すれば、Salesforceはユーザーのセッションを確立し、ログインを許可します。
このフローの鍵は、SPとIdPが直接通信するのではなく、ユーザーのブラウザを介してSAML Assertionを安全に受け渡す点です。これにより、SPはユーザーのパスワードを一切知る必要がありません。
2. OpenID Connect (OIDC)
OpenID Connect (OIDC) は、OAuth 2.0プロトコルを拡張した、よりモダンな認証プロトコルです。REST/JSONをベースにしているため、特にモバイルアプリケーションやWeb APIとの親和性が高いのが特徴です。
OIDCの認証フローは以下のようになります。
- ユーザーがSalesforce (SP) にアクセスします。
- SalesforceはユーザーをIdP(Google, Microsoftなど)にリダイレクトします。この際、どのような情報(プロファイル、メールなど)が必要かを示す `scope` パラメータを渡します。
- ユーザーはIdPで認証し、SPが要求している情報へのアクセスを許可(同意)します。
- IdPは、ID Token (IDトークン) と Access Token (アクセストークン) をSalesforceに返します。ID TokenはJWT (JSON Web Token) 形式で、ユーザーの認証情報を含んでいます。
- SalesforceはID Tokenの署名を検証し、ユーザー情報を抽出します。
- 検証が成功すれば、Salesforceはユーザーをログインさせます。Access Tokenは、その後ユーザーに代わってIdPが保護するリソース(例:Google Driveのファイル)にアクセスするために使用できます。
統合エンジニアとしては、既存のシステム環境や将来的な拡張性(特にAPI連携)を考慮し、SAMLとOIDCのどちらが最適かを見極めることが重要です。
サンプルコード
SSOの実装は主に設定ベースですが、ユーザープロビジョニングを自動化する Just-In-Time (JIT) Provisioning を利用する場合、Apexコードが必要になります。JITプロビジョニングは、ユーザーが初めてSSOでログインした際に、SAML Assertion内の情報に基づいてSalesforce上にユーザーアカウントを自動的に作成・更新する機能です。
以下は、SAML JITプロビジョニング用のApexハンドラクラスの公式ドキュメントに基づくサンプルです。このハンドラは、ユーザーが存在しない場合は新規作成し、既に存在する場合はユーザー情報を更新します。
Apex JIT ハンドラの例
global class SamlJitHandler implements Auth.SamlJitHandler {
// SAML SSO 認証後に呼び出される内部クラス
private class JitHandlerException extends Exception {}
// ユーザーが存在しない場合にユーザーを作成するメソッド
global User createUser(Idp samlIdp, Id federationIdentifier, Map<String, String> attributes, String assertion) {
// SAMLアサーションから必須属性を取得
String username = attributes.get('username');
if (username == null) {
// ユーザー名がない場合は例外をスロー
throw new JitHandlerException('Username is missing in the SAML assertion.');
}
// 必須の属性が揃っているか確認
if (attributes.get('email') == null || attributes.get('lastname') == null || attributes.get('firstname') == null) {
throw new JitHandlerException('Required attributes (email, lastname, firstname) are missing for new user creation.');
}
// 新しいユーザーオブジェクトを作成
User u = new User();
// FederationIdentifierは、SSOユーザーを一意に識別するためのID
u.FederationIdentifier = federationIdentifier;
u.Username = username;
u.Email = attributes.get('email');
u.LastName = attributes.get('lastname');
u.FirstName = attributes.get('firstname');
u.Alias = (attributes.get('alias') != null) ? attributes.get('alias') : generateAlias(username);
// プロファイルIDを固定で設定 (本番環境では動的に決定することが望ましい)
Profile p = [SELECT Id FROM Profile WHERE Name='Standard User'];
u.ProfileId = p.Id;
u.LocaleSidKey = 'ja_JP';
u.LanguageLocaleKey = 'ja';
u.EmailEncodingKey = 'ISO-2022-JP';
u.TimeZoneSidKey = 'Asia/Tokyo';
// その他の属性をマッピング
if(attributes.containsKey('phone')) {
u.Phone = attributes.get('phone');
}
// ユーザーを挿入
insert u;
return u;
}
// ユーザーが既に存在する場合にユーザー情報を更新するメソッド
global void updateUser(Idp samlIdp, Id userId, Id federationIdentifier, Map<String, String> attributes, String assertion) {
User u = [SELECT Id, FederationIdentifier, Username, Email, LastName, FirstName FROM User WHERE Id=:userId];
// FederationIdentifierが一致しない場合は更新しない
if (u.FederationIdentifier != federationIdentifier) {
return;
}
// 必要に応じて属性を更新
if (attributes.containsKey('email') && u.Email != attributes.get('email')) {
u.Email = attributes.get('email');
}
if (attributes.containsKey('lastname') && u.LastName != attributes.get('lastname')) {
u.LastName = attributes.get('lastname');
}
// ... その他の属性の更新ロジック ...
update u;
}
// エイリアスを生成するヘルパーメソッド
private String generateAlias(String username) {
String alias = username.substring(0, Math.min(8, username.length()));
// 重複チェックなどのロジックを追加することが望ましい
return alias;
}
}
注: このコードはあくまでサンプルです。実際のプロジェクトでは、プロファイルやロールの動的な割り当て、必須項目の厳密なエラーハンドリング、ライセンス管理などを考慮した、より堅牢なロジックを実装する必要があります。
注意事項
SSOの統合プロジェクトを成功させるためには、以下の点に注意が必要です。
- 権限: SSO設定を行うには、「アプリケーションのカスタマイズ」および「シングルサインオン設定の管理」権限が必要です。JITハンドラのApexクラスを作成・編集するには「Apexの作成」権限が求められます。
- 証明書の管理: SAMLで使用するデジタル証明書には有効期限があります。IdP側とSalesforce側の両方で証明書の有効期限を監視し、期限切れによる認証停止を防ぐための更新プロセスを確立しておくことが不可欠です。
- JITプロビジョニングの考慮点: JITは便利ですが、IdPから送られてくる属性が不完全な場合、ユーザー作成に失敗します。どの属性を必須とするか、欠落していた場合にどのようなエラーをユーザーに表示するかを設計する必要があります。また、ユーザーの無効化(ディアクティベーション)はJITの範囲外であり、別途API連携や手動でのプロセスが必要です。
- エラーハンドリング: SAML Assertionの検証に失敗した場合、ユーザーには汎用的なエラーページが表示されます。管理者はSalesforceの「ログイン履歴」を確認し、エラーの原因(例:`Invalid Signature`, `Recipient Mismatch`)を特定する必要があります。開発・テスト段階では「SAML アサーション検証」ツールが非常に役立ちます。
- IdP起点 vs SP起点: IdPのダッシュボードからSalesforceにアクセスするフロー(IdP-Initiated)と、SalesforceのログインURLからリダイレクトするフロー(SP-Initiated)の両方をテストすることが重要です。特定のフローしかサポートしていないIdPも存在します。
まとめとベストプラクティス
SSOは、ユーザーエクスペリエンスの向上、セキュリティの強化、そして運用コストの削減を同時に実現する、強力な統合ソリューションです。Salesforce統合エンジニアとして、SSOを単なる認証機能としてではなく、企業全体のID戦略を支える重要なコンポーネントとして捉えるべきです。
ベストプラクティス
- 綿密な計画: プロジェクト開始前に、どのシステムがIdPとなり、どのシステムがSPとなるかを明確に定義します。IdPとSalesforce間でマッピングするユーザー属性(Username, Email, Profile IDなど)を詳細に洗い出し、ドキュメント化します。
- サンドボックスでの徹底的なテスト: 本番環境に展開する前に、必ずFull Sandboxなどのテスト環境で全シナリオを検証します。新規ユーザーのJIT作成、既存ユーザーの更新、属性変更、IdP起点/SP起点の両フロー、エラーケースのテストを含みます。
- 堅牢なJITハンドラの実装: JITハンドラを実装する際は、例外処理を丁寧に行い、必須項目が不足している場合や予期せぬデータが渡された場合でもシステムが停止しないように設計します。プロファイルやロールの割り当てロジックは、ハードコーディングを避け、カスタムメタデータなどを使用して柔軟に変更できるようにします。
- 証明書のライフサイクル管理: 証明書の更新手順を文書化し、担当者を明確にします。更新タイミングを事前にカレンダーに登録し、余裕を持ったスケジュールで作業を行うことで、サービス停止のリスクを最小限に抑えます。
- 明確なユーザーコミュニケーション: ログイン方法が変更になることを事前にユーザーに周知します。新しいログインURLや手順、トラブルシューティングの連絡先を記載したガイドを提供することが、スムーズな移行の鍵となります。
これらのプラクティスに従うことで、安定的でセキュアなSSO統合を実現し、Salesforceをハブとしたエンタープライズアーキテクチャの価値を最大限に高めることができるでしょう。
コメント
コメントを投稿