代理認証は、それぞれ別々にログインしなくても複数のアプリケーションにユーザがアクセスできるシングル サインオン (SSO) に似た機能です。認証が委任された Vault では、参加アプリケーションにすでにログインしているユーザが再びログインせずに Vault にアクセスできるようにすることにより、SSO 機能を確立します。
代理認証は、SAML の軽量版 SSO 代替機能です。二つのシステムの媒介としてのアイデンティティプロバイダの間接費が不要だからです。ただし、まず参加アプリケーション上でアクティブなセッションがユーザにあり、そのセッションを使用しているという条件でのみ Vault セッションが確立されるので、SAML ほどの柔軟性はありません。
ユーザが主に一つの参加アプリケーションで作業し、補足的なドキュメント レポジトリとして Vault を使用する場合、代理認証が便利です。例えば、Salesforce サービスクラウドをフロントエンドとして使用し、バックエンド ドキュメント レポジトリとして Vault と統合するコールセンター ユーザなどが該当します。Vault API と代理認証を使用して、Vault ドキュメントを Salesforce UI で直接表示することができます。Vault の代理認証は、現在 Salesforce.com/Veeva CRM に対応しています。
重要コンセプト
- 代理認証は、セキュリティポリシーごとに有効化されます。ユーザの Vault パスワードは置換しませんが、Vault セッションを確立するための代替メカニズムを提供します。
- 有効なパスワードがあるアクティブな Vault ユーザのみが、代理認証を使用できます。無効化されたユーザ、ロックされたユーザ(パスワード入力失敗により)およびパスワードの有効期限が切れたユーザは、代理認証で Vault にアクセスすることはできません。
- 厳密に言うと、代理認証では、アクティブな salesforce.com セッションを Vault が使用して、対応する Vault セッションの確立を許可します。希望する Vault ページまたはドキュメントに URL を送信し、必要なセッションコンテクストを提供する複数の URL クエリストリング パラメータを盛り込むことで、この機能が実行されます。
Salesforce.com による認証の構成
注: Salesforce は、2018 年春のリリースで、Visualforce の URL からインスタンス名を削除する重要なアップデートを発表しました。Vault はこの重要なアップデートで詳述されている変更を完全にサポートしています。
Salesforce 経由の代理認証は、Vault と Salesforce.com / Veeva CRM org. との間に 1 対 1 の関係を確立します。複数の Salesforce.com orgs および Veeva Vault インスタンスがある顧客の場合、導入に際しての検討課題となるでしょう。さらに、参加アプリケーションのユーザと Vault ユーザとの間にも 1 対 1 の関係が必要になります。例えば、複数の Salesforce.com のユーザを一つの Vault ユーザと関連付けることはできないという意味です。また、複数の Vault ユーザを参加アプリケーションの単一ユーザに関連付けることもできません。例えば、代理認証を持つ Salesforce.com ユーザを、本番環境 Vault、試験用 Vault、またはプレリリース版 Vault に有することはできません。
salesforce.com による代理認証を構成するには:
- 一つまたは複数のセキュリティポリシーで salesforce.com 経由でのログインを許可するチェックボックスをオンにします。18 桁の Salesforce Organization ID を Salesforce.com Org に入力します。15 桁の Salesforce ID は変換する必要があります。この作業を行うため、多数のオンラインツールがあります。
- Vault ユーザ名と salesforce.com ユーザ名が同じ場合、さらに構成する必要はありません。ユーザ名が異なる場合、代理認証を使用する各 Vault ユーザに Salesforce ユーザ名を指定します。
- 代理認証経由で Vault ページとドキュメントにアクセスするために URL を構成する方法について詳しくは、Vault API ドキュメントを参照してください。