ハマりどころがあるので備忘録。

手順的には、マイクロソフトの公式サイトの通りで設定可能なはず。

チュートリアル:Azure Active Directory シングル サインオン (SSO) と Salesforce の統合 | Microsoft Docs

なのだけど、Developer Edition(DE)特有?!の問題なのかわからないけれど、DEをプロビジョニングするとなぜか、Authenticated Websiteプロファイルが2つできているという不思議な状態で、Azure AD上のユーザー情報から、Salesforceにユーザーをプロビジョニングできない。

Authenticated Websiteが2つある

Azure AD側からすれば、どっちのプロファイルと使っていいの?って話。本来、プロファイルはユニークであるべきだと思う。ハマりどころとして、なんとこのプロファイルが簡単には削除できなさそう(サポートに連絡する必要があるという噂)

プロビジョニングに失敗した場合のエラーは、以下の様な感じ。

All application roles must have unique Id, Name and Claim in Azure AD. Attempt to update application roles resulted in a number of duplicated entries and will be aborted. This is most commonly caused by having non-unique role names in the directory of import. Application roles with non-unique values: [Id: 26a98b7c-b9a0-4b04-b756-______, Name: Authenticated Website, Claim: ] [Id: ffe87123-7bcb-4a12-a420-125d_____, Name: Authenticated Website, Claim: ] . This operation was retried 0 times. It will be retried again after this date: 2022-03-16T23:01:50.0985595Z UTC

緩和的対策になってしまうが、プロファイルをプロビジョニングしないように設定すれば、DEでもAzure ADを使ったSSOが可能になる。

画像な通り、標準では、ProfileNameをプロビジョニングしようとするのでこれを削除する。そのまま[DELETE]ボタンを押せないので、Salesforce Attributeを一旦 IDなどに変更する。するとDELETEボタンがアクティブになるので、ProfileNameをプロビジョニングしないように設定できる。