Heroku での Salesforce ID SSO の設定

最終更新日 2021年08月31日(火)

SSO は Heroku Enterprise​ でのみ利用可能です。他の SSO プロバイダー向けの具体的な手順については、「Heroku でのシングルサインオンサービスの使用 (管理者向け)​」の記事を参照してください。

Salesforce Identity​ は、SAML による Heroku へのシングルサインオン (SSO) ユーザーログインを提供するための ID プロバイダー (IdP) として使用できます。

Salesforce を Heroku 用の ID プロバイダーとして設定するには、Salesforce と Heroku の Web インターフェースから簡単な手順をいくつか実行するだけです。

ID プロバイダーのメタデータを Salesforce からダウンロードする

Salesforce を ID プロバイダーとして設定済みの場合、管理者として Salesforce 組織にログインし、Settings (設定) > Identity (ID) > Identity Provider (ID プロバイダー)​ に移動して ID プロバイダーのメタデータファイルをダウンロードできます。

これから Salesforce を ID プロバイダーとして設定する、または ID プロバイダーの設定を変更する必要がある場合は、前提条件を含む詳しい手順​を参照してください。

サービスプロバイダー側 (Heroku) を設定する

  1. Heroku の Web インターフェースで、SSO を設定する対象の Heroku Enterprise Team または Enterprise Account を選択します。
  2. 設定タブに移動し、Setup SSO​ (SSO の設定) をクリックして、Salesforce からダウンロードした IdP メタデータファイルをアップロードします。
  3. フェデレーションを有効にするには、Enable SSO​ (SSO の有効化) スイッチを切り替えます。

Heroku Dashboard で、クイックコピーフィールドに 3 つの値が表示されます。Heroku Dashboard の SSO 設定 これらの値は、次の手順を使用して Salesforce で Connected App を作成および設定するために必要です。

  1. ブラウザの新しいタブで Salesforce Admin ホームページを開いて Settings > Identity > Identity Provider​ (設定 > ID > ID プロバイダー) に移動します。
  2. 「Service Providers」 (サービスプロバイダー) セクションの下にあるリンクをクリックして、新しい Connected App を作成します。
  3. 必須の 「Connected App Name」 (Connected App 名)、「API Name」 (API 名)、「Contact E-mail」 (連絡先メール) の各フィールドに入力します。アプリ名は次の手順で必要なので、メモしておきます。
  4. 「Web App Settings」 (Web アプリ設定) 領域で、Enable SAML​ (SAML の有効化) をクリックし、Heroku Dashboard から 3 つの値をペーストします。
  5. Salesforce インターフェースの 「Name ID Format」 (名前 ID 形式) 選択リストが、Heroku SSO 設定リストで記述されている形式に設定されていることを確認します。
  6. 「Subject type」 (件名タイプ) を “username” に設定します。 (このユーザー名が各ユーザーの実際のメールアドレスを表していることを確認してください。 Salesforce のインストールによっては、メールアドレスのように見えても、実際に使われているメールアドレスには対応しないユーザー名を許可している場合があります。)
  7. ページ下部の Save​ (保存) をクリックします。

Salesforce SSO 設定

最後に、SSO を有効にするには、この “Connected App” へのアクセスをユーザーに付与する必要があります。

  1. Salesforce Admin ホームページに移動します。
  2. Administer > Manage Users > Profiles​ (管理 > ユーザーの管理 > プロファイル) をクリックします。
  3. 新たに Heroku ログインの範囲に含めるユーザープロファイルの Profile Name​ (プロファイル名) をクリックします。
  4. Edit​ (編集) ボタンをクリックし、「Connected App Access」 (Connected App アクセス) まで下にスクロールして、前のページで作成した Connected App を選択します。 (Heroku の SSO ログインを付与する必要がある他のユーザープロファイルについても、この手順を繰り返します。)
  5. ページの一番下までスクロールして Save​ (保存) をクリックします。

以上で、設定は完了です。Heroku ユーザーは、設定された “Heroku ログイン URL” から Salesforce の資格情報を使用してログインできるようになります。