Create: 2014/04/19
LastUpdate: 2014/04/20
≪ メニューに戻るLastUpdate: 2014/04/20
「 [CentOS6][OpenAM10] SAML連携 - Salesforce (統合ID) (NameID)」では、統合ID + NameID で SalesforceにSSOしました。
ここでは、同じ環境を使用して、統合ID + Attribute でSSOするように設定を変えてみます。
メールアドレスをNameIDではなく Attribute属性で渡すようにするだけなので、OpenAMユーザとSalesforceユーザは統合IDのメールアドレスで紐つきます。
まず、Salesforce の設定を変更します。
[SAML ID の場所] を "ID は Attribute 属性にあります" にして、[属性] に "IDPEmail" を入力して保存します。
保存後、メタデータをダウンロードしてファイルに保存します。
次に OpenAM に登録していた Salesforce のSPを削除して、新しいメタデータを登録します。
OpenAM管理画面 > [連携] をクリックして下図の画面を表示し、削除したい Salesforceの SP をチェックして、[削除]ボタンをクリックします。
OpenAM管理画面 > [共通タスク]をクリックして、下図の画面を表示します。
[リモートサービスプロバイダを登録]ボタンをクリックして、Salesforce の新しいメタデータを登録します。
最後に、IdPの設定を変更します。
OpenAM管理画面 > [連携] > [エンティティプロバイダ(IDP)] をクリックして下図の画面を表示します。
今回、NameID は使用しないので、"urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" に設定していた "mail" を削除します。
[表明処理]タブをクリックして下図の画面を表示します。
[属性マップ]に、"IDPEmail=mail" を追加します。
これで、OpenAMにログインしたユーザのメールアドレスを、Attribute属性の "IDPEmail" に設定してSSOするようになります。
以上で設定変更は終了です。
「 [CentOS6][OpenAM10] SAML連携 - Salesforce (統合ID) (NameID)」 と同じように動作確認すれば、Salesforce にSSOできます。
