Поделиться через

Настройка Salesforce для единого входа

  • Статья

Из этой статьи вы узнаете, как интегрировать Salesforce с идентификатором Microsoft Entra. Интеграция Salesforce с идентификатором Microsoft Entra id позволяет:

  • Контролируйте, кто имеет доступ к Salesforce в Microsoft Entra ID.
  • Включите автоматический вход пользователей в Salesforce с помощью учетных записей Microsoft Entra.
  • Управляйте учетными записями в одном месте.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка Salesforce с включённой функцией единого входа.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Salesforce поддерживает единый вход, инициированный поставщиком службы.

  • Salesforce поддерживает автоматическое предоставление и удаление доступа пользователям (рекомендуется).

  • Salesforce поддерживает JIT-подготовку пользователей.

  • Теперь приложение Salesforce Mobile можно настроить с помощью Microsoft Entra ID для обеспечения единого входа. В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

Чтобы настроить интеграцию Salesforce с идентификатором Microsoft Entra ID, необходимо добавить Salesforce из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к Entra ID>Корпоративные приложения>Новое приложение.
  3. В разделе "Добавление из коллекции " введите Salesforce в поле поиска.
  4. Выберите Salesforce на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в вашего арендатора.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Salesforce

Настройте и проверьте единый вход Microsoft Entra в Salesforce с помощью тестового пользователя B.Simon. Для работы системы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Salesforce.

Чтобы настроить и проверить единый вход Microsoft Entra в Salesforce, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.
    • Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    • Назначьте тестового пользователя Microsoft Entra , чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа Salesforce — настройка параметров единого входа на стороне приложения.
  3. Тестирование SSO - чтобы проверить, работает ли конфигурация.

Настройка единого входа в Microsoft Entra

Выполните следующие действия, чтобы включить SSO (единую систему входа) Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к Entra ID>Корпоративные приложения>Salesforce>Единый вход.

  3. На странице "Выбор метода единого входа" выберите SAML.

  4. На странице "Настройка единого входа" на странице SAML выберите значок редактирования и пера для базовой конфигурации SAML , чтобы изменить параметры.

    Изменение базовой конфигурации SAML

  5. В разделе "Базовая конфигурация SAML" введите значения для следующих полей:

    a. В текстовом поле "Идентификатор" введите значение, используя следующий шаблон:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    б. В текстовом поле URL-адреса ответа введите значение, используя следующий шаблон:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    с. В текстовом поле URL-адреса входа введите значение, используя следующий шаблон:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    Примечание.

    Эти значения не являются реальными. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Salesforce .

  6. На странице "Настройка единого входа с помощью SAML " в разделе "Сертификат подписи SAML " найдите XML метаданных федерации и выберите "Скачать ", чтобы скачать сертификат и сохранить его на компьютере.

    Ссылка на скачивание сертификата

  7. В разделе "Настройка Salesforce " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Копирование URL-адресов конфигурации

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по быстрому старту создания и назначения учетной записи для тестового пользователя B.Simon.

Настройка Salesforce SSO

  1. В другом окне веб-браузера войдите на свой корпоративный сайт Salesforce в качестве администратора.

  2. Щелкните значок "Настройка" в правом верхнем углу страницы .

    Значок настройки отдельных Sign-On параметров

  3. Прокрутите вниз до ПАРАМЕТРЫ в области навигации, выберите Идентификация, чтобы развернуть связанный раздел. Затем выберите Одиночные параметры Sign-On.

    Настройка параметров единого Sign-On

  4. На странице "Параметры Sign-On" нажмите кнопку "Изменить".

    Настройка одиночного редактирования Sign-On

    Примечание.

    Если вы не можете включить параметры единого входа для учетной записи Salesforce, вам может потребоваться обратиться в службу поддержки клиентов Salesforce .

  5. Выберите SAML Enabled и нажмите кнопку "Сохранить".

    Настройте однократное Sign-On SAML включение

  6. Чтобы настроить параметры единого входа SAML, выберите "Создать" из файла метаданных.

    Настройка одиночного Sign-On New из файла метаданных

  7. Выберите "Выбрать файл ", чтобы отправить XML-файл метаданных, который вы скачали, и нажмите кнопку "Создать".

    Настройка одного Sign-On выбора файла

  8. На странице "Параметры единого Sign-On SAML" поля заполняются автоматически. Если вы хотите использовать SAML JIT, выберите опцию "Подготовка пользователей включена" и выберите тип удостоверения SAML как утверждение, содержащее идентификатор федерации из объекта "Пользователь". В противном случае снимите выбор с "Подготовка пользователей включена" и выберите тип удостоверения SAML как утверждение, содержащее имя пользователя Salesforce. Нажмите кнопку "Сохранить".

    Настройка единого Sign-On предоставления пользователей включена

    Примечание.

    Если вы настроили SAML JIT, необходимо выполнить дополнительный шаг в разделе "Настройка единого входа Microsoft Entra ". Приложение Salesforce ожидает конкретные утверждения SAML, и для этого вам нужны конкретные атрибуты в конфигурации атрибутов токена SAML. На следующем снимке экрана показан список требуемых атрибутов для Salesforce.

    Снимок экрана: область обязательных атрибутов JIT.

    Если у вас по-прежнему проблемы с предоставлением пользователей с помощью SAML JIT, см. требования для мгновенного предоставления и поля утверждения SAML. Как правило, при сбое JIT может появиться примерно следующее сообщение об ошибке: We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help..

  9. В области навигации слева в Salesforce выберите "Параметры компании", чтобы развернуть связанный раздел, а затем выберите "Мой домен".

    Настройка одного Sign-On

  10. Прокрутите вниз до раздела "Конфигурация проверки подлинности" и нажмите кнопку "Изменить ".

    Настройка единой Sign-On аутентификации

  11. В разделе "Конфигурация проверки подлинности" проверьте страницу входа и AzureSSO в качестве службы проверки подлинности конфигурации единого входа SAML, а затем нажмите кнопку "Сохранить".

    Примечание.

    Если выбрано несколько служб проверки подлинности, то при попытке инициировать единый вход в среду Salesforce пользователям будет предложено уточнить, с помощью какой службы проверки подлинности нужно выполнить вход. Если вы не хотите, чтобы это произошло, следует оставить все остальные службы проверки подлинности без флажка.

Создание тестового пользователя Salesforce

В этом разделе в Salesforce создается пользователь с именем B.Simon. Программа Salesforce поддерживает подготовку по мере необходимости (just-in-time provisioning), которая включена по умолчанию. В этом разделе нет задач для вас. Если пользователь в Salesforce еще не существует, он создается при попытке доступа к приложению Salesforce. Salesforce также поддерживает автоматическую подготовку пользователей, см. дополнительные сведения о настройке автоматической подготовки пользователей.

Тест единого входа (SSO)

В этом разделе вы проверяете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

  • Выберите Проверить это приложение, эта опция перенаправляет на URL-адрес Salesforce для входа, где можно инициировать процесс входа.

  • Перейдите непосредственно по URL-адресу страницы входа в Salesforce и начните процесс входа.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. При выборе плитки Salesforce на портале "Мои приложения" вы автоматически войдете в приложение Salesforce, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. на портале "Мои приложения".

Проверка SSO для Salesforce (мобильное приложение)

  1. Откройте мобильное приложение Salesforce. На странице входа выберите "Использовать личный домен".

    Мобильное приложение Salesforce использует личный домен

  2. В текстовом поле " Личный домен" введите зарегистрированное имя личного домена и нажмите кнопку "Продолжить".

    Личный домен мобильного приложения Salesforce

  3. Введите учетные данные Microsoft Entra для входа в приложение Salesforce и нажмите кнопку "Далее".

    Учетные данные Microsoft Entra для мобильных приложений Salesforce

  4. На странице "Разрешить доступ ", как показано ниже, выберите "Разрешить предоставить доступ к приложению Salesforce".

    Разрешение доступа к мобильному приложению Salesforce

  5. Наконец, после успешного входа отобразится домашняя страница приложения.

    Главная страница мобильного приложения Salesforce Мобильное приложение Salesforce

Запрет доступа к приложению с помощью локальных учетных записей

После проверки работы единого входа и его развертывания в организации отключите доступ к приложению с помощью локальных учетных данных. Это гарантирует, что политики условного доступа, MFA и т. д. используются для защиты входов в Salesforce.

Связанное содержимое

Если у вас есть Enterprise Mobility + Security E5 или другая лицензия для приложений Microsoft Defender для облака, вы можете собрать путь аудита действий приложений в этом продукте, который можно использовать при изучении оповещений. В приложениях Defender для облака оповещения можно активировать, если действия пользователя, администратора или входа не соответствуют вашим политикам. При подключении Microsoft Defender для облачных приложений к Salesforce, события входа в систему Salesforce собираются Microsoft Defender для облачных приложений.

Кроме того, вы можете применить управление сеансами, которое защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.