freeeサイン for Salesforceを利用するにあたり、Salesforce上のfreeeサインパッケージからfreeeサインへ接続する際のシングルサインオン(SSO)設定をします。
※本作業を行うSalesforceユーザーは、下記条件を満たす必要があります。
- システム管理者権限を持つSalesforceアカウントであること
- freeeサインにユーザー登録しているメールアドレスを、ユーザー名として登録しているSalesforceアカウントであること
次のプランでは、オプション機能を追加することで本機能を利用することができます。
- 法人向けプラン:Advanceプラン、Enterpriseプラン(旧Light Plusプラン、旧Proプラン、旧Pro Plusプラン)
- 個人事業主向けプラン:なし
①SalesforceのIDプロバイダー設定
- シングルサインオンを行うために、Salesforceの「IDプロバイダー」機能を有効にします。
Salesforceの「設定」画面で、画面左部[クイック検索]欄に「IDプロバイダー」と入力し、検索します。
[IDプロバイダー]より、[IDプロバイダーを有効化]をクリックします。 - 「IDプロバイダーの設定」画面へ遷移したら、freeeサインとの通信に使用する証明書の選択を要求されるため、任意の証明書を選択し、[保存]をクリックします。
※本画面が表示されず、次手順③の画面が表示される場合は、そのまま手順③へ進んでください。 - 有効化が完了し「IDプロバイダーの設定」画面へ遷移したら、[メタデータのダウンロード]をクリックします。
- ダウンロードしたメタデータを編集します。
ファイルをメモ帳などのテキストエディタで開き、「<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location」から始まる1行をすべて削除し、上書き保存します。
次に、本ファイルを使用して、freeeサインのシングルサインオン設定を行います。
②freeeサインのシングルサインオン設定
- freeeサインにシングルサインオン設定する。
freeeサインの[設定]→[シングルサインオン(SAML認証)]を開きます。 - シングルサインオンにおけるSAML認証を有効化します。
「シングルサインオン(SAML認証)設定」画面へ遷移したら、[SAML SSO 有効化]チェックボックスにチェックを入れ、[更新する]をクリックします。
※既に「有効化」されている場合は、手順③へ進んでください。 - 外部idPを登録します。
[外部ID(idP)を追加]をクリックします。 - 「外部ID(idP)登録」画面へ遷移したら、[外部ID(idP)名]と[メタデータファイル]を入力します。
- 外部ID(idP)名:任意の値
- メタデータファイル:「①SalesforceのIDプロバイダー設定」の手順④で取得し編集したファイル
- 必要事項を入力したら[登録する]をクリックします。
- 外部ID(idP)が登録完了すると、「ACS URL」「エンティティID」「ログアウトURL」が発行されるため、これを使用してSalesforce側の設定を行います。
③Salesforceの接続アプリケーション設定
- Salesforceにシングルサインオン用接続アプリケーションを作成します。
Salesforceの「設定」画面で、画面左部[クイック検索]欄に「アプリケーションマネージャー」と入力し、検索します。
[アプリケーションマネージャー]より、[新規接続アプリケーション]をクリックします。 - 「新規接続アプリケーション」登録画面へ遷移したら、必要事項を入力します。
【基本情報】
番号 項目名 入力内容 ① 接続アプリケーション名 任意の値 ② API参照名 任意の値 ③
取引先責任者メールアドレス 設定作業者のSalesforceアカウントのメールアドレス
【Webアプリケーション設定】
※⑤以降の項目は、④にチェックを入れることで展開します。
番号 項目名 入力内容 ④ SAMLの有効化 チェックを入れます。 ⑤ エンティティID 「②freeeサインのシングルサインオン設定」の手順⑥参照 ⑥ ACS URL 「②freeeサインのシングルサインオン設定」の手順⑥参照 ⑦ シングルログアウトを有効化 チェックを入れます。 ⑧ シングルログアウトURL 「②freeeサインのシングルサインオン設定」の手順⑥参照 ⑨ シングルログアウトバインド 「HTTPポスト」を選択します。 ⑩ SAMLメッセージの署名アルゴリズム 「SHA256」を選択します。 - 必要事項を入力したら[保存]をクリックします。
- 登録した接続アプリケーションにプロファイル設定します。
作成した接続アプリケーションに関する「接続アプリケーションを管理する」画面へ遷移したら、画面下へスクロールしプロファイル欄の[プロファイルを管理する]をクリックする。
※本画面に[プロファイル]メニューがない場合は、画面上部[Manage]をクリックし、遷移先の画面で[プロファイル]メニューを確認してください。 - 「アプリケーションプロファイルの割り当て」画面へ遷移したら、[システム管理者]へチェックを入れて[保存]をクリックします。
- 接続アプリケーション登録にて発行されたSAML認証用ログインURLを、カスタム設定に登録します。
作成した接続アプリケーションに関する「接続アプリケーションを管理する」画面へ遷移したら、[Manage]をクリックします。
※本画面が表示されず、次手順③の画面が表示される場合は、そのまま手順③へ進んでください。 - 「接続アプリケーションの詳細」画面へ遷移したら、[Idp-initのログインURL]をコピーし、これを使用して「カスタム設定」の更新を行います。
※URLをコピーする際、右クリックメニューの「リンクのアドレスをコピー」でコピーせず、URL部分をカーソルで選択してコピーしてください。
④カスタム設定の更新
- カスタム設定にSAML認証用ログインURLを登録します。
Salesforceの「設定」画面で、画面左部[クイック検索]欄に「カスタム設定」と入力し、検索します。
[カスタム設定]より、「freeeサイン」の[Manage]をクリックします。 - freeeサインの「カスタム設定」画面へ遷移したら、[編集]をクリックします。
- 「freeeサインの編集」画面へ遷移したら、[SSO URL]を入力します。
- SSO URL:「③Salesforceの接続アプリケーション設定」の手順⑦で取得したIdp-initのログインURL
- SSO URL:「③Salesforceの接続アプリケーション設定」の手順⑦で取得したIdp-initのログインURL
- 必要事項を入力し、[保存]をクリックします。
⑤シングルサインオン認証テスト
- ここまでの設定に問題がないか認証テストを行います。
freeeサインの[設定]→[シングルサインオン(SAML認証)]をクリックします。
※この確認を行う場合は下記条件を満たすことを確認してください。- ログインしているSalesforceのユーザー設定における「ユーザー名」の値が、freeeサインのログインIDと同一であること
- ログインしているSalesforceのユーザー設定における「ユーザー名」の値が、freeeサインのログインIDと同一であること
- 「シングルサインオン(SAML認証)設定」画面へ遷移したら、手順②で追加した外部ID(idP)の[認証テスト]をクリックします。
- 「文書一覧」画面へ遷移し、「ログインしました」というメッセージが表示されたらシングルサインオンの設定は完了です。