一般的には、クラウドサービスを使用する場合には、事前にクラウドサービスのユーザーIDを登録し、認証連携を行う社内のユーザーIDに紐付けを行っておく必要があります。
Salesforceは、この運用を軽減するために「ジャストインタイムプロビジョニング」というツールを提供しています。
ジャストインタイムプロビジョニングを使用すると、認証連携したシステムのユーザーIDで初めてSalesforceにアクセスした際、SalesforceのユーザーIDの自動登録を行うことができます。
以下に、HP IceWall Federationでジャストインタイムプロビジョニングを使用する場合の動作を説明します。
SalesforceがHP IceWall Federationと認証連携を行う際、HP IceWall Federationはユーザーの認証後、ユーザーのアカウントに対応したSalesforceのユーザーIDをSalesforceに返します。前章で解説したシナリオでは、そのSalesforceのユーザーIDやプロフィール情報(以下、アカウント情報)があらかじめSalesforce側にアカウント登録され、また、HP IceWall SSO側のユーザーのアカウント情報にSalesforceのユーザーIDを紐づけておく必要がありました。
ジャストインタイムプロビジョニングを利用すると、HP IceWall SSO側だけにアカウント情報を登録すれば、Salesforceが認証連携と同時にアカウント登録します。
まずHP IceWall SSOの認証データベースに事前に、認証連携を行うユーザーのSalesforceアカウント情報を登録しておきます(図6-1@)。 以降の流れはSalesforceにはアカウント登録を行っていないuser2 を想定します。

図6-1 ジャストインタイムプロビジョニング:HP IceWall SSOの認証データベース設定
user2がSalesforceの所定のURLにアクセスしようとすると(図6-2A)、Salesforceは、HP IceWall Federationに認証を求めるため、user2のブラウザーにリダイレクトレスポンスを返します(図6-2B)。

図6-2 ジャストインタイムプロビジョニング:ログイン前のアクセス時
リダイレクト先のHP IceWall Federationはuser2がHP IceWall SSOに認証されているかどうかを確認します(図6-2C)。未認証の場合、user2はHP IceWall SSOのユーザーIDとパスワードを入力してログインします(図6-3D)。

図6-3 ジャストインタイムプロビジョニング:HP IceWall SSOへのログインと認証連携
ここで、HP IceWall FederationはSAML※1レスポンス内に図6-1で設定したuser2のアカウント情報を埋め込み、ブラウザーにリダイレクトさせます(図6-3E)。
※1 Security Assertion Markup Language

図6-4 ジャストインタイムプロビジョニング:ユーザ登録とログインの完了
Salesforceは、user2のアカウント情報を元に新たにuser2を登録し、ログイン後のページへアクセスさせます(図6-4F)。
初回アクセス時のメッセージが出るのでuser2が登録されたことが分かります。user2はHP IceWall SSOにログイン済みなので、アクセス権限が与えられているSalesforceのサービスにアクセスできます。
ここで説明したジャストインタイムプロビジョニングは、2.で挙げたどのシナリオでも活用できます。
|