【Salesforce】SSO移行後に既存ユーザーとフェデレーションIDが合わない時の修正

Salesforceでシングルサインオン(SSO)を導入した後、既存ユーザーがログインできなくなる問題はよく発生します。その原因の多くは、ユーザーのユーザ名(Username)とフェデレーションID(Federation Identifier)が一致していないことです。SSO移行後、IdP(Identity Provider)側から送られてくる識別子とSalesforce側のユーザ情報にずれが生じると、認証に失敗します。本記事では、この問題の原因を突き止め、具体的な修正手順や注意点を解説します。

なぜフェデレーションIDが合わなくなるのか

SalesforceのSSOでは、IdPから送信されるアサーション内の識別子(通常はメールアドレス)と、Salesforce側のユーザのフェデレーションIDが一致する必要があります。初期状態では、フェデレーションIDはNULLですが、SSO有効化後にIdP側で属性マッピングを設定し、その値がユーザ名と異なる場合に問題が起こります。例えば、ユーザ名が「taro.sato@example.com」なのに、IdPから「taro.sato@company.com」が送られてくると、一致しません。また、ユーザの作成後にIdP側の識別子が変更された場合も同様です。

フェデレーションIDとユーザ名の関係

フェデレーションIDは、SSO認証時にIdPから渡される値と照合される項目です。デフォルトでは、フェデレーションIDはユーザ名と同じ値が設定されるわけではなく、手動または自動で設定する必要があります。SSO設定の「SAMLアイデンティティプロバイダの設定」で「ユーザプロビジョニングを有効化」すると、自動的にフェデレーションIDが設定されますが、既存ユーザーには影響しません。そのため、移行前のユーザーは手動でフェデレーションIDをユーザ名に合わせる必要があります。

問題を特定するための確認手順

まず、どのユーザーがログインできないのかを特定します。以下の手順で原因を切り分けてください。

1. Salesforceに管理者としてログインし、[設定] > [ユーザ管理] > [ユーザ] を開きます。
2. 「ユーザ名」と「フェデレーションID」の列が表示されているか確認します。表示されていない場合は、歯車アイコンから表示列を追加してください。
3. 問題のユーザーを検索し、ユーザ名とフェデレーションIDが完全一致しているか確認します。大文字小文字も区別されるため注意してください。
4. もしフェデレーションIDが空白の場合、SSOログイン時に「ユーザ名またはパスワードが違います」エラーが発生する可能性があります。
5. IdP側のアサーションで送信される属性値を確認します。例えばAzure ADの場合、ユーザプリンシパル名(UPN)が使われることが多いです。

ログインエラーメッセージからの判断

実際にユーザーがログインを試みたときのエラーメッセージも重要な手がかりです。Salesforceのログイン画面で「ユーザ名またはパスワードが違います」と表示された場合は、ユーザ名自体が正しくないか、フェデレーションIDが一致していない可能性が高いです。一方、「SSO設定に問題があります」などのメッセージは、IdP側の設定や証明書の問題を示します。

フェデレーションIDの修正方法

修正にはいくつかの方法があります。状況に応じて適切な方法を選んでください。

方法	概要	適したケース	注意点
1. 個別修正	ユーザ編集画面でフェデレーションIDをユーザ名と同じ値に設定	少数のユーザーのみ	手作業のため大量ユーザーには不向き
2. Data Loader一括更新	CSVでユーザ名とフェデレーションIDをエクスポートし、FederationIdentifier項目を更新してインポート	数十～数百のユーザー	更新時はFederationIdentifier項目のみを対象とし、他の項目を変更しないように注意
3. ユーザ名の変更	ユーザ名をIdP側の識別子に合わせる	IdP側の識別子が正規のメールアドレスである場合	レコード所有者、共有、レポートへの影響を事前に確認
4. プロビジョニング有効化	SSO設定で「ユーザプロビジョニングを有効化」し、既存ユーザーをIdP側属性に自動マッピング	新規ユーザーの作成も含め一貫性を持たせたい場合	既存ユーザーには手動でフェデレーションIDを設定する必要あり(自動では更新されない)

方法1: 個別にフェデレーションIDを更新する手順

1. [設定] > [ユーザ管理] > [ユーザ] から該当ユーザーの名前をクリックします。
2. 「フェデレーションID」フィールドに、ユーザ名と完全に同じ値(大文字小文字含む)を入力します。
3. 「保存」をクリックします。
4. 変更後、該当ユーザーでSSOログインができるかテストします。
5. 必要に応じて、他のユーザーにも同様の修正を実施します。

方法2: Data Loaderを使った一括更新

大量ユーザーを扱う場合、Data Loaderを使用します。まず、ユーザオブジェクトをエクスポートし、FederationIdentifierがNULLまたは異なる行を特定します。次に、CSVファイルでFederationIdentifier列をユーザ名の値に更新し、Update操作でインポートします。このとき、Id項目(ユーザID)を必ず含め、他の項目を変更しないよう注意してください。

失敗パターンと注意点

修正作業でよくある失敗と、その回避方法を紹介します。

• ユーザ名を変更したらデータ影響が出た: ユーザ名はレコードの所有者や共有設定に関わるため、変更するとアクセス権限に影響があります。変更前に、該当ユーザーが所有するレコードを一覧し、必要なら事前に所有権移行を行ってください。
• フェデレーションIDを間違った値で設定: 特に大文字小文字の違いに注意。例えばユーザ名が「User.Name@example.com」であれば、フェデレーションIDも同じ「User.Name@example.com」でなければなりません。
• 複数のIdPを使っている場合の混同: 組織が複数のSSOプロバイダを使用している場合、どのIdPの識別子と一致させるべきか確認が必要です。SSO設定ごとに個別のフェデレーションIDが必要になることはありません。

管理者が確認すべき設定と再発防止

問題を根本的に防ぐために、SSO導入時には以下の点を確認してください。

• IdP側の属性マッピングで、送信する識別子(通常はNameID形式)をユーザ名の値と一致させる。
• SSO設定の「ユーザプロビジョニングを有効化」にチェックを入れ、新規ユーザーが自動的に正しいフェデレーションIDを持つようにする。
• 既存ユーザーに対しては、移行計画の中でフェデレーションIDの一括更新を実施する。
• 定期的にユーザ一覧をエクスポートし、ユーザ名とフェデレーションIDが一致しているか監査する。

よくある質問

Q: フェデレーションIDはユーザ名と必ず同じでなければなりませんか?

必ずしも同じである必要はありませんが、SSOログインのためにはIdPから送られる識別子と一致している必要があります。多くの場合、IdPはユーザのメールアドレスを送信するため、ユーザ名とメールアドレスが一致するように運用するのが一般的です。

Q: ユーザ名を変更せずにフェデレーションIDだけ合わせればログインできるようになりますか?

はい、できます。フェデレーションIDはSSO認証時にのみ使用されるため、ユーザ名を変更しなくても、フェデレーションIDをIdP側の識別子に合わせればログイン可能です。ただし、ユーザ名がIdP側の識別子と異なると、ユーザ管理上で混乱が生じる可能性があります。

Q: Data Loaderで更新する際の注意点は?

Update操作では、必ずIdフィールドを含めてください。また、FederationIdentifierフィールド以外の項目を変更しないように、CSVでは必要な列のみ(Id, FederationIdentifier, Username)に絞ると安全です。Usernameは更新しないので、エクスポート時は確認用として残し、インポート時には含めないか、既存値と同じ値を入れます。

まとめ

SalesforceのSSO移行後に既存ユーザーがログインできない問題は、フェデレーションIDとユーザ名の不一致が原因であることが多いです。まずは各ユーザーのフェデレーションIDを確認し、IdP側の識別子と一致するように修正してください。修正方法はユーザー数に応じて個別更新かData Loaderを使った一括更新を選びます。ユーザー名の変更は影響範囲が大きいため、事前評価を徹底してください。また、再発防止のためにSSO設定でのプロビジョニング有効化や定期的な監査を実施するとよいでしょう。適切な対応でスムーズなSSO移行を実現してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。