freeeサイン for Salesforce 初期設定-4.シングルサインオン(SSO)設定を行う

更新日:

freeeサイン for Salesforceを利用するにあたり、Salesforce上のfreeeサインパッケージからfreeeサインへ接続する際のシングルサインオン(SSO)設定をします。
※本作業を行うSalesforceユーザーは、下記条件を満たす必要があります。

  • システム管理者権限を持つSalesforceアカウントであること
  • freeeサインにユーザー登録しているメールアドレスを、ユーザー名として登録しているSalesforceアカウントであること

次のプランでは、オプション機能を追加することで本機能を利用することができます。

  • 法人向けプラン:Advanceプラン、Enterpriseプラン(旧Light Plusプラン、旧Proプラン、旧Pro Plusプラン)
  • 個人事業主向けプラン:なし
詳しくは電話・メール・チャットにてサポートにご連絡いただくか「freeeサイン for Salesforceお問い合わせフォーム」よりお問い合わせください。

①SalesforceのIDプロバイダー設定

  1. シングルサインオンを行うために、Salesforceの「IDプロバイダー」機能を有効にします。
    Salesforceの「設定」画面で、画面左部[クイック検索]欄に「IDプロバイダー」と入力し、検索します。
    [IDプロバイダー]より、[IDプロバイダーを有効化]をクリックします。
    「IDプロバイダー」画面で[IDプロバイダーを有効化]を指し示すスクリーンショット
  2. 「IDプロバイダーの設定」画面へ遷移したら、freeeサインとの通信に使用する証明書の選択を要求されるため、任意の証明書を選択し、[保存]をクリックします。
    ※本画面が表示されず、次手順③の画面が表示される場合は、そのまま手順③へ進んでください。
    「IDプロバイダーの設定」画面で[保存]を指し示すスクリーンショット
  3. 有効化が完了し「IDプロバイダーの設定」画面へ遷移したら、[メタデータのダウンロード]をクリックします。
    「IDプロバイダーの設定」画面で[メタデータのダウンロード]を指し示すスクリーンショット
  4. ダウンロードしたメタデータを編集します。
    ファイルをメモ帳などのテキストエディタで開き、「<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location」から始まる1行をすべて削除し、上書き保存します。
    次に、本ファイルを使用して、freeeサインのシングルサインオン設定を行います。
    ダウンロードしたメタデータの編集画面のスクリーンショット

②freeeサインのシングルサインオン設定

  1. freeeサインにシングルサインオン設定する。
    freeeサインの[設定]→[シングルサインオン(SAML認証)]を開きます。
    設定画面で[シングルサインオン(SAML認証)]を指し示すスクリーンショット
  2. シングルサインオンにおけるSAML認証を有効化します。
    「シングルサインオン(SAML認証)設定」画面へ遷移したら、[SAML SSO 有効化]チェックボックスにチェックを入れ、[更新する]をクリックします。
    ※既に「有効化」されている場合は、手順③へ進んでください。
    「シングルサインオン(SAML認証)設定」画面で[SAML SSO 有効化]と[更新する]を指し示すスクリーンショット
  3. 外部idPを登録します。
    [外部ID(idP)を追加]をクリックします。
    「シングルサインオン(SAML認証)設定」画面で[外部ID(idP)を追加]を指し示すスクリーンショット
  4. 「外部ID(idP)登録」画面へ遷移したら、[外部ID(idP)名]と[メタデータファイル]を入力します。
  5. 必要事項を入力したら[登録する]をクリックします。
    「外部ID(idP)登録」画面で[登録する]を指し示すスクリーンショット
  6. 外部ID(idP)が登録完了すると、「ACS URL」「エンティティID」「ログアウトURL」が発行されるため、これを使用してSalesforce側の設定を行います。
    「外部ID(idP)の詳細」画面で「ACS URL」と「エンティティID」と「ログアウトURL」を指し示すスクリーンショット

③Salesforceの外部クライアントアプリケーション設定

  1. Salesforceにシングルサインオン用外部クライアントアプリケーションを作成します。
    Salesforceの「設定」画面で、画面左部[クイック検索]欄に「アプリケーションマネージャー」と入力し、検索します。
    [外部クライアントアプリケーションマネージャー]より、[新規外部クライアントアプリケーション]をクリックします。
    「アプリケーションマネージャー」画面で[新規接続アプリケーション]を指し示すスクリーンショット
  2. 「外部クライアントアプリケーションマネージャー」登録画面へ遷移したら、必要事項を入力します。
    「新規接続アプリケーション」登録画面のスクリーンショット
    【基本情報】
    番号 項目名 入力内容
    接続外部クライアントアプリケーション名 任意の値
    取引先責任者メールアドレス 設定作業者のSalesforceアカウントのメールアドレス

    		API参照名 任意の値
    配信状態 [ローカル]を選択
    「新規接続アプリケーション」登録画面の「基本情報」部分のスクリーンショット
    【Webアプリケーション(SAML設定の有効化)】
    [Webアプリケーション(SAML設定の有効化)をクリックして展開します。
    ※⑥以降の項目は、⑤にチェックを入れることで展開します。
    ※⑪以降の項目は、⑩にチェックを入れることで展開します。
    番号 項目名 入力内容
    SAMLの有効化 チェックを入れます。
    エンティティID ②freeeサインのシングルサインオン設定」の手順⑥参照
    ACS URL ②freeeサインのシングルサインオン設定」の手順⑥参照
    件名種別 「ユーザー名」を選択します。
    SAMLメッセージの署名アルゴリズム 「SHA256」を選択します。
    シングルログアウトを有効化 チェックを入れます。
    シングルログアウト URL ②freeeサインのシングルサインオン設定」の手順⑥参照
    シングルログアウトバインド 「HTTPポスト」を選択します。
    「新規接続アプリケーション」登録画面の「Webアプリケーション設定」部分のスクリーンショット
  3. 必要事項を入力したら[作成]をクリックします。
    「新規接続アプリケーション」登録画面で[保存]を指し示すスクリーンショット
  4. 登録した外部クライアントアプリケーションにSAML認証を利用するユーザーのプロファイルを設定します。
    作成したアプリケーションに関する「外部クライアントアプリケーションを管理」画面へ遷移したら、[編集]をクリックします。
    「接続アプリケーションを管理する」画面上部のスクリーンショット
  5. 「選択可能なプロファイル」より[システム管理者]を選択し追加ボタン(右向き三角)をクリックして、選択済みプロファイルに移動します。続いて同じ手順でfreeeサイン for Salesforceを利用するユーザーのプロファイルを追加し、[保存]をクリックします。
    「アプリケーションプロファイルの割り当て」画面のスクリーンショット
    「アプリケーションプロファイルの割り当て」画面で[システム管理者]と[保存]を指し示すスクリーンショット
  6. 外部クライアントアプリケーション登録にて発行されたSAML認証用ログインURLを、カスタム設定に登録します。
    [SAMLポリシー]をクリックして展開し、「SAMLログイン情報」が表示されるまでスクロールします。
    「接続アプリケーションを管理する」画面で[Manage]を指し示すスクリーンショット
  7. 「SAMLログイン情報]をクリックして展開したら、[Idp-initのログインURL]をコピーし、これを使用して「カスタム設定」の更新を行います。
    「接続アプリケーションの詳細」画面で[Idp-initのログインURL]を指し示すスクリーンショット

④カスタム設定の更新

  1. カスタム設定にSAML認証用ログインURLを登録します。
  2. Salesforceの「設定」画面で、画面左部[クイック検索]欄に「カスタム設定」と入力し、検索します。
  3. [カスタム設定]より、「freeeサイン」の[Manage]をクリックします。
    「カスタム設定」画面で[Manage]を指し示すスクリーンショット
  4. freeeサインの「カスタム設定」画面へ遷移したら、[編集]をクリックします。
    「カスタム設定」画面で[編集]を指し示すスクリーンショット
  5. 「freeeサインの編集」画面へ遷移したら、[SSO URL]を入力します。
  6. 必要事項の入力が完了したら、[保存]をクリックします。
    「freeeサインの編集」画面で[保存]を指し示すスクリーンショット

⑤権限セットの作成

  1. シングルサインオン用の外部クライアントアプリケーションを使用するための権限セットを新規作成します。
    Salesforceの「設定」画面で、画面左部[クイック検索]欄に「権限セット」と入力して検索し、表示された結果より[権限セット]をクリックします。
    [権限セット]を指し示すスクリーンショット
  2. [新規]をクリックします。
    [新規]を指し示すスクリーンショット
  3. 権限セットの作成画面へ遷移したら、必要事項を入力し[保存]をクリックします。
    番号 項目名 入力内容
    表示ラベル freeeサイン_User_SAML
    API参照名 FS_User_SAML
  4. 権限セット」の設定画面に遷移したら最下部までスクロールして下げ「システム」欄の[システム権限]をクリックします。
    [システム権限]を指し示しているスクリーンショット
  5. [編集]をクリックします。
    [編集]を指し示しているスクリーンショット
  6. 「システム」の一覧より以下の項目の「有効」にチェックを付けます。
    権限の名前 説明
    すべての外部クライアントアプリケーションの表示 すべての外部クライアントアプリケーションを表示します。
    「システム」の一覧より項目の「有効」にチェックを付けているスクリーンショット
  7. 画面を上部までスクロールし、[保存]をクリックします。
    [保存]を指し示しているスクリーンショット
  8. 「権限変更確認」ウインドウが表示されたら、[保存]をクリックし作成は完了です。
    [保存]を指し示しているスクリーンショット

⑥作成した権限セットの設定

  1. Salesforceで作成したfreeeサイン_SAMLを使用する権限セットを設定します。
  2. Salesforceの「設定」画面で、画面左部[クイック検索]欄に「ユーザー」と入力し、検索します。
  3. [ユーザー]より、権限を付与するユーザーをクリックします。
    [ユーザー]より、権限を付与するユーザーを指し示しているスクリーンショット
  4. 「ユーザー」画面へ遷移したら、[権限セットの割り当て]リンクをクリックします。
    [権限セットの割り当て]リンクを指し示しているスクリーンショット
  5. 「権限セットの割り当て」メニューより、[割り当ての編集]をクリックします。
    [割り当ての編集]を指し示しているスクリーンショット
  6. 「権限セットの割り当て」画面へ遷移したら、「利用可能な権限セット」一覧から作成した「freeeサイン_SAML」選択し、[追加]をクリックします。
    「利用可能な権限セット」一覧から作成した「freeeサイン_SAML」の選択しと[追加]を指し示しているスクリーンショット
  7. 権限セットが追加されたら、[保存]をクリックします。
    [保存]を指し示しいてるスクリーンショット
  8. 保存後、「権限セットの割り当て」に手順④~⑤で追加した権限セットが登録されていたら完了です。
    「権限セットの割り当て」を指し示しているスクリーンショット

⑦シングルサインオン認証テスト

ここまでの設定に問題がないか認証テストを行います。

  1. freeeサインの[設定]→[シングルサインオン(SAML認証)]をクリックします。
    ※この確認を行う場合は下記条件を満たすことを確認してください。
    • ログインしているSalesforceのユーザー設定における「ユーザー名」の値が、freeeサインのログインIDと同一であること
      設定画面で[シングルサインオン(SAML認証)]を指し示すスクリーンショット
  2. 「シングルサインオン(SAML認証)設定」画面へ遷移したら、手順②で追加した外部ID(idP)の[認証テスト]をクリックします。
    [認証テスト]を指し示しているスクリーンショット
  3. 「文書一覧」画面へ遷移し、「ログインしました」というメッセージが表示されたらシングルサインオンの設定は完了です。
    「ログインしました」というメッセージが表示されている画面のスクリーンショット

関連記事