Contents
Salesforce側でのSAML 2.0設定手順
SalesforceでSAML認証を有効化するには、IdP(IDプロバイダー)としてOktaを登録する必要があります。以下に具体的な設定手順と注意点を解説します。
設定準備のポイント
- 証明書の有効期限: SalesforceおよびOkta双方で6か月以内に更新を実施することが推奨されます。ただし、両プラットフォームが異なるルールを採用している可能性があるため、公式ドキュメントを確認してください(注意: 事実確認が必要)。
- URLの整合性: 登録するACS URLや応答URLは、Okta側で取得した設定値と一致させる必要があります。
IDプロバイダー登録手順 (番号付きリスト)
- Salesforce管理画面から「セキュリティ」→「SAML Settings」にアクセスします。
- IDプロバイダーの作成を選択し、Oktaが発行する証明書や認証URLを入力します。
- 発行者名(Issuer)には
https://your-okta-domain.comなど、Oktaアカウント名またはドメインを設定します。
Okta管理者ダッシュボードでのIDプロバイダー構成
Okta側ではSalesforceをIdPとして登録し、SAMLの設定情報を反映する必要があります。以下の手順と設定項目を確認してください。
新しいIDプロバイダーの作成 (番号付きリスト)
- Okta管理画面から「アプリケーション」→「IDプロバイダー」→「Add IdP」を選択します。
- Typeに「SAML 2.0」を指定し、アプリケーション名(例:Salesforce)を入力します。
設定項目と注意点 (箇条書きリスト)
- ACS URL: Salesforce側で登録したAssertion Consumer Service URLを正確に貼り付ける。
- 証明書: Salesforceから取得した公開鍵をアップロードし、形式はPEMが推奨される。
- ログアウトURL: カスタム処理が必要な場合は、SSL証明書の有効性を確認する必要がある。
ユーザー属性マッピングの一覧 (比較表)
SalesforceとOkta間でユーザー情報を対応付ける際には、以下の属性マッピングが重要です。
| Salesforce属性 | Okta属性 | 補足 |
|---|---|---|
email |
必須項目 | |
| First Name | firstName |
ユーザー名と一致させる |
| Last Name | lastName |
カスタムフィールドに保存可能 |
OData APIの利用方法と注意点
OData APIは、Salesforceデータをノーコードで同期または操作するための重要な手段です。ただし、バージョン指定や認証フローには注意が必要です。
サンプルリクエスト (コードブロック)
|
1 2 3 |
GET https://your-salesforce-instance.salesforce.com/services/data/vXX.X/sobjects/Account/ Authorization: Bearer <アクセストークン> |
注意:
vXX.XはSalesforceのバージョンを示しますが、具体的なバージョン番号はインスタンスに応じて異なるため、公式ドキュメントで確認してください(例: v53.0)。
SP-initiated SAML認証の技術的詳細
SP-initiated SAMLでは、ユーザーがSalesforceアプリケーションからログインを開始し、IdP(Okta)にリダイレクトされます。以下にプロトコル仕様に基づく流れを解説します。
プロトコルフロー (番号付きリスト)
- ユーザーがSalesforceアプリケーションにアクセスし、認証が必要なページを開きます。
- SalesforceはIdP(Okta)へSAML要求を送信し、リダイレクトURLにユーザー情報を含めます。
- Oktaではユーザー認証を行い、SAMLレスポンスをSalesforceに返却します。
技術的正確性: SP-initiatedフローでは、IdPが自動的にリダイレクトを実施するため、カスタムログアウトURLの設定も重要です。
対応するトラブルシューティングとベストプラクティス
導入時における代表的な課題とその対処法を整理します。
証明書有効期限の確認方法 (比較表)
| プラットフォーム | 検証手順 | 有効期限の推奨範囲 |
|---|---|---|
| Salesforce | 管理画面「証明書」セクションから確認 | 最低6か月以内 |
| Okta | 設定画面で証明書を再アップロード | 同上 |
事実確認リスク: SalesforceとOktaが異なる有効期限ルールを採用している可能性があるため、両方のドキュメントを参照してください。
まとめと今後の検討点
本記事では、OktaとSalesforce間のAPI連携方法に関する以下のポイントを解説しました。
- SAML認証の設定手順とユーザー属性マッピング
- OData APIによるデータ操作の実装例
- SP-initiated SAMLフローの技術的正確性への配慮
導入時の課題やベストプラクティスは、企業の運用体制に合わせて柔軟に対応することが重要です。実際の設定試行を行う際には、証明書有効期限やバージョン指定などの細かい点を再確認してください。