Entra SSO設定のおけるエンタープライズアプリのロール設定は、何の意味があるのか
開催していた勉強会で、SalesforceとEntraをSSOさせる内容がありました。
以下の画面でSalesforceにアクセス可能なユーザを設定するのですが、合わせてロールの設定を求められました。
ロールの中身を見ていみると、Salesforceで定義されているロールのようで、ここで設定したロールがEntraにおいて、どのように使われているのか質問を受けましたので、確認しました。
自動プロビジョニング機能によって使われる
Entraには、Entraのユーザ情報を、Salesforceにプロビジョニング(同期的な)する機能(自動プロビジョニング機能)があるのですが、その際に使われるようです。
自動プロビジョニングでSalesforce 側の認可処理に利用される情報であるため、適切に設定する必要があります。
自動プロビジョニングによって Microsoft Entra のユーザーを Salesforce 側に同期するときに、ロールの設定が必要となります(★逆に言うと、Salesforceの場合は、自動プロビジョニングを実施しない場合、ここで設定したロールの情報はEntraでは利用されません)
—– 抜粋 —–
Salesforce へのユーザーの割り当て
注意
このアプリにより、プロビジョニング プロセスの一環として Salesforce からプロファイルがインポートされます。顧客は Microsoft Entra ID でユーザーを割り当てるとき、ロールを選択します。 Salesforce からインポートされたプロファイルは、Microsoft Entra ID ではロールとして表示されることに注意してください。
SAMLトークンの中にロール情報として追加されて、Salesforceに渡されるんじゃないの?
このページ上部の画面でロールを設定しても、SAMLトークンにロール情報は追加されません。
SAML トークンの中にロールを含めるためには、[属性とクレーム] の設定から user.assignedroles を追加する必要があります。
ただし、Salesforce の SAML 構成の手順ではそのような設定は行いません。
(参考)
タイトル:チュートリアル: Microsoft Entra シングル サインオン (SSO) と Salesforce の統合
URL: https://learn.microsoft.com/ja-jp/entra/identity/saas-apps/salesforce-tutorial
補足
このページの上部の画面でロールを設定した際に、Entra上の挙動で何がかわるか説明してきましたが、このページで説明したのはあくまで、Salesforceの例です。MSサポートに確認したところ、対象とするエンタープライズアプリによって、Entra上の挙動が変わるとのことです(Salesforceの場合は、ここまで説明したきた通りSAMLトークンにロール情報は追加されないとのことですが、アプリによっては、SAMLトークンにロール情報が追加されるような、Entraの挙動になるようです)
以下MSサポート回答
——————————————–
ロールはアプリ側の動作を制御するためにアプリ側で定義するものであり、主に自動プロビジョニングで同期する値もしくは認証時のトークンに含める値として利用されます。
——————————————–