Поделиться через

Руководство по интеграции единого входа Microsoft Entra с Salesforce

  • Статья

В этом руководстве вы узнаете, как интегрировать Salesforce с идентификатором Microsoft Entra. Интеграция Salesforce с идентификатором Microsoft Entra id позволяет:

  • Контроль доступа к Salesforce с помощью идентификатора Microsoft Entra.
  • Включите автоматический вход пользователей в Salesforce с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка Salesforce с поддержкой единого входа.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Salesforce поддерживает единый вход, инициированный поставщиком услуг.

  • Salesforce поддерживает автоматическую подготовку пользователей и ее отмену (рекомендуется).

  • Salesforce поддерживает JIT-подготовку пользователей.

  • Теперь приложение Salesforce Mobile можно настроить с помощью идентификатора Microsoft Entra для включения единого входа. В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

Чтобы настроить интеграцию Salesforce с идентификатором Microsoft Entra ID, необходимо добавить Salesforce из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите Salesforce.
  4. Выберите Salesforce в области результатов, а затем добавьте приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Salesforce

Настройте и проверьте единый вход Microsoft Entra в Salesforce с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Salesforce.

Чтобы настроить и проверить единый вход Microsoft Entra в Salesforce, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
  2. Настройка единого входа в Salesforce необходима для настройки параметров единого входа на стороне приложения.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Applications>Enterprise Salesforce>с единым входом.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок "Изменить" (значок пера), чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить параметры.

    Изменение базовой конфигурации SAML

  5. На странице Базовая конфигурация SAML введите значения следующих полей.

    a. В текстовое поле Идентификатор введите значение в следующем формате:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    b. В текстовое поле URL-адрес ответа введите значение в следующем формате:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    c. В текстовом поле URL-адрес для входа введите значение в следующем формате:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    Примечание.

    Эти значения приведены для примера. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить их, обратитесь в службу поддержки клиентов Salesforce.

  6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

    Ссылка для скачивания сертификата

  7. Скопируйте требуемый URL-адрес из раздела Настройка Salesforce.

    Копирование URL-адресов настройки

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите [email protected]имя пользователя. Например, [email protected].
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Salesforce.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise Salesforce.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа Salesforce

  1. В другом окне веб-браузера войдите на свой корпоративный сайт Salesforce в качестве администратора.

  2. Щелкните Setup (Настройка) под значком параметров в правом верхнем углу страницы.

    Значок настройки параметров единого входа

  3. В области навигации прокрутите вниз до элемента Settings (Параметры) и щелкните Identity (Удостоверение), чтобы развернуть соответствующий раздел. Затем щелкните Параметры единого входа.

    Настройка параметров единого входа

  4. На странице Single Sign-On Settings (Параметры единого входа) нажмите кнопку Edit (Изменить).

    Изменение настройки единого входа

    Примечание.

    Если не удается включить параметры единого входа для своей учетной записи Salesforce, возможно, вам придется обратиться за помощью в службу поддержки Salesforce.

  5. Выберите SAML Enabled (SAML включен), а затем щелкните Save (Сохранить).

    Настройка единого входа, параметр SAML Enabled (SAML включен)

  6. Чтобы настроить параметры единого входа SAML, щелкните New from Metadata File (Создать из файла метаданных).

    Настройка единого входа, параметр New from Metadata File (Создать из файла метаданных)

  7. Нажмите кнопку " Выбрать файл ", чтобы отправить XML-файл метаданных, который вы скачали, и нажмите кнопку "Создать".

    Настройка единого входа, параметр Choose File (Выбрать файл)

  8. На странице SAML Single Sign-On Settings (Параметры единого входа SAML) поля заполняются автоматически. Если вы хотите использовать JIT SAML, выберите User Provisioning Enabled (Подготовка пользователей включена) и задайте для параметра SAML Identity Type (Тип удостоверения SAML) значение Assertion contains the Federation ID from the User object (Утверждение, содержащее идентификатор федерации из объекта пользователя). В противном случае отмените включение подготовки пользователей и выберите для параметра SAML Identity Type (Тип удостоверения SAML) значение Assertion contains the User's Salesforce username (Утверждение содержит имя пользователя Salesforce). Нажмите кнопку Сохранить.

    Настройка единого входа, параметр User Provisioning Enabled (Подготовка пользователей включена)

    Примечание.

    Если вы настроили SAML JIT, необходимо выполнить дополнительный шаг в разделе "Настройка единого входа Microsoft Entra". Приложение Salesforce ожидает конкретные утверждения SAML, и для этого вам нужны конкретные атрибуты в конфигурации атрибутов токена SAML. На следующем снимке экрана показан список требуемых атрибутов для Salesforce.

    Снимок экрана: область требуемых атрибутов JIT.

    Если у вас по-прежнему возникают проблемы с подготовкой пользователей с помощью SAML JIT, ознакомьтесь с требованиями JIT-подготовки и полями утверждения SAML. Как правило, при сбое JIT может появиться примерно следующее сообщение об ошибке: We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help..

  9. В области навигации слева в Salesforce щелкните Company Settings (Параметры компании), чтобы развернуть соответствующий раздел, и выберите пункт My Domain (Мой домен).

    Настройка единого входа, параметр My Domain (Мой домен)

  10. Прокрутите страницу вниз до раздела Authentication Configuration (Конфигурация аутентификации) и нажмите кнопку Edit (Изменить).

    Настройка единого входа, параметр Authentication Configuration (Конфигурация аутентификации)

  11. В разделе Authentication Configuration (Конфигурация аутентификации), установите на странице входа флажок AzureSSO (Единый вход Azure) для параметра Authentication Service (Служба аутентификации) конфигурации единого входа SAML и нажмите кнопку Save (Сохранить).

    Примечание.

    Если выбрано несколько служб проверки подлинности, то при попытке инициировать единый вход в среду Salesforce пользователям будет предложено уточнить, с помощью какой службы проверки подлинности нужно выполнить вход. Чтобы этого избежать, снимите флажки для всех других служб проверки подлинности.

Создание тестового пользователя Salesforce

В этом разделе в Salesforce создается пользователь с именем B.Simon. Приложение Salesforce поддерживает JIT-подготовку. Эта функция включена по умолчанию. В этом разделе никакие действия с вашей стороны не требуются. Если пользователь в Salesforce еще не существует, он создается при попытке доступа к приложению Salesforce. Salesforce также поддерживает автоматическую подготовку пользователей. Дополнительные сведения о настройке автоматической подготовки пользователей можно найти здесь.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа Salesforce, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в Salesforce и инициируйте поток входа.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку Salesforce на портале "Мои приложения", вы автоматически войдете в приложение Salesforce, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в статье Вход и запуск приложений с портала "Мои приложения".

Проверка единого входа для Salesforce (мобильный)

  1. Откройте мобильное приложение Salesforce. На странице входа щелкните Использовать Custom Domain.

    Мобильное приложение Salesforce, параметр

  2. В текстовом поле Пользовательский домен введите зарегистрированное пользовательское доменное имя и нажмите Продолжить.

    Мобильное приложение Salesforce, параметр

  3. Введите учетные данные Microsoft Entra для входа в приложение Salesforce и нажмите кнопку "Далее".

    Учетные данные Microsoft Entra для мобильных приложений Salesforce

  4. На странице Разрешить доступ, как показано ниже, нажмите Разрешить, чтобы предоставить доступ к приложению "Salesforce".

    Мобильное приложение Salesforce, страница

  5. Наконец, после успешного входа на сайт отобразится домашняя страница приложения.

    Домашняя страница мобильного приложения SalesforceМобильное приложение

Запрет доступа к приложению с помощью локальных учетных записей

После проверки работы единого входа и его развертывания в организации отключите доступ к приложению с помощью локальных учетных данных. Это гарантирует, что политики условного доступа, MFA и т. д. будут использоваться для защиты входов в Salesforce.

Следующие шаги

Если у вас есть Enterprise Mobility + Security E5 или другая лицензия для приложений Microsoft Defender для облака, вы можете собрать путь аудита действий приложений в этом продукте, который можно использовать при изучении оповещений. В приложениях Defender для облака оповещения можно активировать, если действия пользователя, администратора или входа не соответствуют вашим политикам. При подключении Microsoft Defender для облака Apps к Salesforce события входа Salesforce собираются Defender для облака Apps.

Кроме того, вы можете применить управление сеансами, которое защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.