Azure AD と Salesforce の SSO を検証した時のメモ

Salesforce を SP、Azure AD を IdP とする、SP Initiated SSO

無料のアカウントのみで検証します

Azure AD の設定

1. Azure の無料アカウントを取得します（クレジットカード登録が必要ですが、基本は無料です）

2. ホーム > Azure Active Directory　をクリック

https://gyazo.com/238303c9112d7107c7e0cb7115dd98de

3. エンタープライズアプリケーション　をクリック

https://gyazo.com/8e5a57c7025ae455a593b67ff7c2cdbe

4. 新しいアプリケーション　をクリック

https://gyazo.com/a07f1e5dff06698273b7056099cc9e5a

5. Salesforce を検索してクリック

https://gyazo.com/85a0a45bb4c9219b0902ce4a9b7c9857

5. 作成　をクリック

6. シングル サインオン　をクリック

https://gyazo.com/69efca5d2ba17765207e1756acfc7b31

7. SAML　をクリック

8. 基本的な SAML 構成の編集　をクリック

https://gyazo.com/1558a7d3cbe58bdaac77b1654fbf79fe

9. 以下情報を入力

識別子：Salesforce のカスタムドメイン

わからないときは、Salesforce 設定の ID プロバイダのページの「発行者」を参照

(↑は Developer Edition の場合)

応答 URL：識別子と同じ

サインオン URL：識別子と同じ

リレー状態：(空欄)

ログアウト URL：(空欄)

10. 保存　をクリック

11. 証明書 (Base64) をダウンロード

表示されてなかったら、「証明書を追加」をクリックしたら表示されるはず

https://gyazo.com/663432092fb5ea3a4e5c4e57f0e9402f

12. 左メニューから「ユーザとグループ」をクリック

13. ユーザの追加　をクリック

14. ユーザとロールを追加

15. 割り当てをクリック

Salesforce の設定

※Salesforce の設定は見慣れてるので、記録が雑です。笑

1. 設定 > シングルサインオン > 編集 > SAML を有効化にチェックを入れる > 保存

2. SAML シングルサインオン構成 > 新規

3. 以下を入力

名前：( 任意)

API 参照名：(自動入力)

発行者：Azure の画面の「Azure AD 識別子」をコピペ

エンティティ ID：Salesforce のカスタムドメイン

ID プロバイダの証明書：↑で取得した証明書をアップロード

SAML ID 種別：アサーションには、ユーザの Salesforce ユーザ名が含まれます (デフォルト)

SAML ID の場所：ID は、Subject ステートメントの NameIdentifier 要素にあります (デフォルト)

サービスプロバイダの起動要求バインド：HTTP ポスト

ID プロバイダのログイン URL：Azure の画面の「ログイン URL」をコピペ

カスタムログアウト URL：Azure の画面の「ログアウト URL」をコピペ

※1

https://gyazo.com/0b8cf931f4489a69522a010a544097ed

4. 保存

5. 設定 > 私のドメイン > 認証設定の編集 > ↑で設定した SAML シングルサインオン構成の名前にチェック

6. 保存

試してみる

2. SAML シングルサインオン構成 のボタンが表示されてるはずなので、クリック

3. Azure の画面にリダイレクトされるので Azure の ID、Pass を入力してログイン

4. Salesforce にログインができれば成功！

エラーになったら？

1. Salesforce の 設定 > シングルサインオン設定 > SAML アサーション検証　ボタンをクリック

直近でエラーになったリクエストが見れるゾ！