Настройка Salesforce для единого входа в Microsoft Entra ID

Из этой статьи вы узнаете, как интегрировать Salesforce с Microsoft Entra ID. Интеграция Salesforce с Microsoft Entra ID позволяет:

  • Контролируйте в Microsoft Entra ID, кто имеет доступ к Salesforce.
  • Включите автоматический вход пользователей в Salesforce с помощью учетных записей Microsoft Entra.
  • Управляйте учетными записями в одном месте.

Примечание.

Мы знаем, что Salesforce внедрила изменения активации устройств для единого входа (SSO) с 3 февраля 2026 г. Мы тесно работали с командой Salesforce, и начиная с 3 февраля Salesforce начнет принимать authnmethodreferences утверждение, включенное по умолчанию в токен SAML, выданный Entra ID. Если утверждение authnmethodreferences содержит значение multipleauthn, Salesforce будет рассматривать устройство как доверенное. Убедитесь, что политика условного доступа, которая будет применять MFA, настроена для удовлетворения этого требования. Дополнительные сведения об этом утверждении см. здесь.

Для клиентов, использующих аутентификацию OpenID Connect с Salesforce, или если вы настроили Salesforce с пользовательским поставщиком OpenID Connect, убедитесь, что вы используете только конечную точку Entra ID V1, так как именно эта версия конечной точки обеспечивает предоставление утверждения AMR в токене для Salesforce. Поддержка конечных точек версии 2 будет доступна в ближайшее время, но до этого времени используйте только конечную точку версии 1.

Для клиентов, использующих AD FS в качестве поставщика федерации с Entra ID, следуйте инструкциям, опубликованным здесь, чтобы у Entra ID было это утверждение в токене SAML.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка Salesforce с включённой функцией единого входа.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Salesforce поддерживает единый вход, инициированный поставщиком службы.

  • Salesforce поддерживает автоматическое предоставление и удаление доступа пользователям (рекомендуется).

  • Salesforce поддерживает JIT-подготовку пользователей.

  • Теперь приложение Salesforce Mobile можно настроить с помощью Microsoft Entra ID для активации SSO. В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

Чтобы настроить интеграцию Salesforce с Microsoft Entra ID, необходимо добавить Salesforce из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
  2. Перейдите к Entra ID>корпоративные приложения>новое приложение.
  3. В разделе "Добавление из коллекции " введите Salesforce в поле поиска.
  4. Выберите Salesforce на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в вашего арендатора.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Узнайте больше о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Salesforce

Настройте и проверьте единый вход Microsoft Entra в Salesforce с помощью тестового пользователя B.Simon. Чтобы единый вход работал, необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Salesforce.

Чтобы настроить и проверить единый вход Microsoft Entra в Salesforce, выполните следующие действия.

  1. Настройте Microsoft Entra единый вход (SSO) — чтобы пользователи могли использовать эту функцию.
    • Создайте тестового пользователя Microsoft Entra — для тестирования единого входа Microsoft Entra с помощью B.Simon.
    • Назначить тестового пользователя Microsoft Entra — для активации функции единого входа Microsoft Entra для B.Simon.
  2. Настройка единого входа Salesforce — настройка параметров единого входа на стороне приложения.
  3. Тестирование SSO - чтобы проверить, работает ли конфигурация.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.

  2. Перейдите к разделу Entra ID>Корпоративные приложения>Salesforce>Единый вход.

  3. На странице "Выбор метода единого входа" выберите SAML.

  4. На странице "Настройка единого входа" на странице SAML выберите значок редактирования и пера для базовой конфигурации SAML , чтобы изменить параметры.

    Изменение базовой конфигурации SAML

  5. В разделе "Базовая конфигурация SAML" введите значения для следующих полей:

    a. В текстовом поле "Идентификатор" введите значение, используя следующий шаблон:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    б. В текстовом поле URL-адреса ответа введите значение, используя следующий шаблон:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    с. В текстовом поле URL-адреса входа введите значение, используя следующий шаблон:

    Учетная запись предприятия: https://<subdomain>.my.salesforce.com

    Учетная запись разработчика: https://<subdomain>-dev-ed.my.salesforce.com

    Примечание.

    Эти значения не являются реальными. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Salesforce .

  6. На странице "Настройка единого входа с помощью SAML " в разделе "Сертификат подписи SAML " найдите XML метаданных федерации и выберите "Скачать ", чтобы скачать сертификат и сохранить его на компьютере.

    Ссылка на скачивание сертификата

  7. В разделе "Настройка Salesforce " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Копирование URL-адресов конфигурации

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по быстрому старту создания и назначения учетной записи для тестового пользователя B.Simon.

Настройка Salesforce SSO

  1. В другом окне веб-браузера войдите на свой корпоративный сайт Salesforce в качестве администратора.

  2. Щелкните значок "Настройка" в правом верхнем углу страницы .

    Значок настройки отдельных Sign-On параметров

  3. Прокрутите вниз до ПАРАМЕТРЫ в области навигации, выберите Идентификация, чтобы развернуть связанный раздел. Затем выберите Одиночные параметры Sign-On.

    Настройка параметров единого Sign-On

  4. На странице "Параметры Sign-On" нажмите кнопку "Изменить".

    Настройка одиночного редактирования Sign-On

    Примечание.

    Если вы не можете включить параметры единого входа для учетной записи Salesforce, вам может потребоваться обратиться в службу поддержки клиентов Salesforce .

  5. Выберите SAML Enabled и нажмите кнопку "Сохранить".

    Настройте однократное Sign-On SAML включение

  6. Чтобы настроить параметры единого входа SAML, выберите "Создать" из файла метаданных.

    Настройка одиночного Sign-On New из файла метаданных

  7. Выберите "Выбрать файл ", чтобы отправить XML-файл метаданных, который вы скачали, и нажмите кнопку "Создать".

    Настройка одного Sign-On выбора файла

  8. На странице "Параметры единого Sign-On SAML" поля заполняются автоматически. Если вы хотите использовать SAML JIT, выберите опцию "Подготовка пользователей включена" и выберите тип удостоверения SAML как утверждение, содержащее идентификатор федерации из объекта "Пользователь". В противном случае снимите выбор с "Подготовка пользователей включена" и выберите тип удостоверения SAML как утверждение, содержащее имя пользователя Salesforce. Нажмите кнопку "Сохранить".

    Настройка единого Sign-On предоставления пользователей включена

    Примечание.

    Если вы настроили SAML JIT, вам потребуется выполнить дополнительный шаг в разделе Configure Microsoft Entra SSO. Приложение Salesforce ожидает конкретные утверждения SAML, и для этого вам нужны конкретные атрибуты в конфигурации атрибутов токена SAML. На следующем снимке экрана показан список требуемых атрибутов для Salesforce.

    Снимок экрана: область обязательных атрибутов JIT.

    Если у вас по-прежнему проблемы с предоставлением пользователей с помощью SAML JIT, см. требования для мгновенного предоставления и поля утверждения SAML. Как правило, при сбое JIT может появиться примерно следующее сообщение об ошибке: We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help..

  9. В области навигации слева в Salesforce выберите "Параметры компании", чтобы развернуть связанный раздел, а затем выберите "Мой домен".

    Настройка одного Sign-On

  10. Прокрутите вниз до раздела "Конфигурация проверки подлинности" и нажмите кнопку "Изменить ".

    Настройка единой Sign-On аутентификации

  11. В разделе "Конфигурация проверки подлинности" проверьте страницу входа и AzureSSO в качестве службы проверки подлинности конфигурации единого входа SAML, а затем нажмите кнопку "Сохранить".

    Примечание.

    Если выбрано несколько служб проверки подлинности, то при попытке инициировать единый вход в среду Salesforce пользователям будет предложено уточнить, с помощью какой службы проверки подлинности нужно выполнить вход. Если вы не хотите, чтобы это произошло, следует оставить все остальные службы проверки подлинности без флажка.

Создание тестового пользователя Salesforce

В этом разделе в Salesforce создается пользователь с именем B.Simon. Программа Salesforce поддерживает подготовку по мере необходимости (just-in-time provisioning), которая включена по умолчанию. В этом разделе нет задач для вас. Если пользователь в Salesforce еще не существует, он создается при попытке доступа к приложению Salesforce. Salesforce также поддерживает автоматическую подготовку пользователей, см. дополнительные сведения о настройке автоматической подготовки пользователей.

Тест единого входа (SSO)

В этом разделе описана проверка конфигурации единого входа Microsoft Entra с помощью следующих параметров.

  • Выберите Проверить это приложение, эта опция перенаправляет на URL-адрес Salesforce для входа, где можно инициировать процесс входа.

  • Перейдите непосредственно по URL-адресу страницы входа в Salesforce и начните процесс входа.

  • Вы можете использовать Майкрософт Мои приложения. При выборе плитки Salesforce на портале Мои приложения вы автоматически войдете в ту версию Salesforce, для которой настроили единый вход (SSO). Дополнительные сведения о портале Мои приложения см. в разделе Введение в портал Мои приложения.

Проверка SSO для Salesforce (мобильное приложение)

  1. Откройте мобильное приложение Salesforce. На странице входа выберите "Использовать личный домен".

    Мобильное приложение Salesforce использует личный домен

  2. В текстовом поле " Личный домен" введите зарегистрированное имя личного домена и нажмите кнопку "Продолжить".

    Личный домен мобильного приложения Salesforce

  3. Введите учетные данные Microsoft Entra для входа в приложение Salesforce и выберите Next.

    мобильное приложение Salesforce с учетными данными Microsoft Entra

  4. На странице "Разрешить доступ ", как показано ниже, выберите "Разрешить предоставить доступ к приложению Salesforce".

    Разрешение доступа к мобильному приложению Salesforce

  5. Наконец, после успешного входа отобразится домашняя страница приложения.

    Главная страница мобильного приложения Salesforce Мобильное приложение Salesforce

Обнаружение существующих пользователей в Salesforce

До интеграции с Microsoft Entra ваша учетная запись Salesforce может иметь одного или нескольких пользователей. Используя функцию обнаружения учетных записей, вы можете создать отчет всех пользователей в Salesforce, определить, какие пользователи имеют соответствующие учетные записи в Entra и какие пользователи являются локальными для Salesforce одним щелчком мыши. Дополнительные сведения о функции обнаружения учетных записей см. здесь. Это позволяет упростить подключение к Entra, а также выполнять мониторинг несанкционированного доступа.

Запрет доступа к приложению с помощью локальных учетных записей

После проверки работы единого входа и его развертывания в организации отключите доступ к приложению с помощью локальных учетных данных. Это гарантирует, что политики условного доступа, MFA и т. д. используются для защиты входов в Salesforce.

Связанное содержимое

Если у вас есть Enterprise Mobility + Security E5 или другая лицензия для Microsoft Defender for Cloud Apps, вы можете получить путь аудита действий приложений в этом продукте, который можно использовать при изучении оповещений. В Defender for Cloud Apps оповещения можно активировать, если действия пользователя, администратора или входа не соответствуют вашим политикам. При подключении Microsoft Defender for Cloud Apps к Salesforce события входа в Salesforce собираются с помощью Defender for Cloud Apps.

Кроме того, вы можете применить управление сеансами, которое защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Defender for Cloud Apps.

  • Last updated on