Configurar el inicio de sesión único para usuarios internos

Objetivos de aprendizaje

Después de completar este módulo, podrá:

Crear un Id. de federación.
Configurar el inicio de sesión único con un proveedor de identidad externo.
Familiarizarse con las herramientas para solucionar problemas de solicitudes SAML.

Nota

El reto práctico para esta insignia está localizado al japonés, español (LATAM) y portugués (Brasil). Para cambiar el idioma de su Trailhead Playground, siga estas instrucciones. Puede que la localización esté desactualizada. Si no aprueba el reto con las instrucciones localizadas, cambie el idioma a inglés y la configuración local a Estados Unidos, y vuelva a intentarlo.

Consulte la insignia Trailhead en su idioma para obtener más información sobre cómo aprovechar la experiencia de Trailhead en otros idiomas.

Inicio de sesión único

Con la URL de inicio de sesión de Mi dominio, los empleados pueden iniciar sesión de forma sencilla en la organización de Salesforce mediante una dirección URL segura fácil de recordar.

¿Desea facilitar aún más el proceso para que no sea necesario iniciar sesión? En ese caso, configure el inicio de sesión único (SSO).

SSO ofrece numerosas ventajas.

La gestión de contraseñas requiere menos tiempo.
Los empleados pueden ahorrar tiempo si no tienen que iniciar sesión manualmente en Salesforce. ¿Sabía que los usuarios tardan de 5 a 20 segundos en iniciar sesión en una aplicación online? Estos segundos suman tiempo.
Más usuarios usan Salesforce. Los usuarios pueden enviar vínculos a registros y reportes de Salesforce y los destinatarios pueden abrirlos con un solo clic.
Puede gestionar el acceso a información confidencial desde una sola ubicación.

En esta unidad, le mostramos cómo configurar SSO entrante. Los usuarios inician sesión en otra ubicación, como una aplicación local, y acceden a Salesforce sin necesidad de iniciar sesión. Además, puede configurar SSO saliente para que los usuarios inicien sesión en Salesforce y accedan a otros servicios sin tener que volver a iniciar sesión. Reservaremos este tema para otro módulo.

Tener en cuenta la MFA

¿Recuerda el requisito de MFA que mencionamos en la primera unidad? Correcto, también se aplica a los usuarios de SSO. Incluso si sus empleados acceden a Salesforce mediante una aplicación local o mediante un proveedor de identidad de SSO, primero deben completar la MFA.

Aunque no explicaremos aquí cómo aplicar la MFA a usuarios de SSO, tenga la seguridad de que existe una manera sencilla de hacerlo. Si desea utilizar el servicio de MFA incluido en Salesforce en la configuración de SSO, consulte Utilizar Salesforce MFA para SSO en la Ayuda de Salesforce. Si su proveedor de SSO ofrece un servicio de MFA, puede solicitar la MFA cuando los usuarios inician sesión en dicho proveedor en lugar de hacerlo cuando acceden a Salesforce.

Configurar SSO entrante con un proveedor de identidad de terceros

Empecemos por configurar SSO entrante con un proveedor de identidad de terceros.

El responsable del departamento de TI, Sean Sollo, le comenta que configure los usuarios de Salesforce con SSO para que puedan iniciar sesión en la organización de Salesforce con sus credenciales de red de Jedeye. Aquí, vamos a seguir los pasos para configurar SSO para Sia Thripio, la nueva empleada de Jedeye Tech. Va a configurar SSO entrante con la aplicación web Axiom Heroku como el proveedor de identidad.

¿Le parece este comienzo difícil? En realidad no lo es. Vamos a describir el proceso mediante una serie de pasos sencillos.

Cree un Id. de federación para cada usuario.
Establezca la configuración de SSO en Salesforce.
Establezca la configuración de Salesforce en el proveedor de SSO.
Asegúrese de que todo funciona.

Paso 1: Crear un Id. de federación

Cuando configura SSO, usa un atributo único para identificar a cada usuario. Este atributo es el vínculo que asocia al usuario de Salesforce con el proveedor de identidad externo. Puede usar un nombre de usuario, un Id. de usuario o un Id. de federación. Vamos a usar un Id. de federación.

No, un Id. de federación no es propiedad de una organización de envío interestelar con diseños incomprensibles. Es básicamente un término que la industria de la identidad usa para hacer referencia a un Id. de usuario único.

Normalmente, asigna un Id. de federación a una cuenta de usuario. Cuando configura SSO en su entorno de producción, puede asignar el Id. de federación para varios usuarios a la vez con herramientas como el Cargador de datos de Salesforce. De momento, vamos a configurar una cuenta para Sia Thripio, una nueva empleada de Jedeye Tech.

En Configuración, ingrese Users (Usuarios) en el cuadro Búsqueda rápida y, a continuación, seleccione Usuarios.
Haga clic en Modificar junto al nombre de Sia.
En Información de inicio de sesión único, ingrese el Id. de federación: sia@jedeye-tech.com. Sugerencia: Un Id. de federación debe ser único para cada usuario en una organización. Este el motivo por el que el nombre de usuario es tan útil. Pero si el usuario pertenece a múltiples organizaciones, utilice el mismo Id. de federación para el usuario en cada organización.
Haga clic en Guardar.

Paso 2: Configurar su proveedor de SSO en Salesforce

El proveedor de servicios debe tener información sobre el proveedor de identidad y viceversa. En este paso, se encuentra en la parte de Salesforce para proporcionar información sobre el proveedor de identidad, que este caso es Axiom. En el paso siguiente, proporciona a Axiom información sobre Salesforce.

En la parte de Salesforce, establecemos la configuración de SAML. SAML es el protocolo que Salesforce Identity usa para implementar SSO.

Sugerencia: Va a trabajar tanto en la organización de Salesforce Developer como en la aplicación Axiom. Manténgalas abiertas en ventanas del navegador independientes para poder copia y pegar entre ambas.

En una nueva ventana del navegador, vaya a https://axiomsso.herokuapp.com.
Haga clic en Comprobador y proveedor de identidad de SAML.
Haga clic en Descargar el certificado del proveedor de identidad. Dado que debe cargar este certificado más adelante en la organización de Salesforce, recuerde dónde lo ha guardado.
En su organización de Salesforce, en Configuración, ingrese Single (Único) en el cuadro Búsqueda rápida y, a continuación, seleccione Configuración de inicio de sesión único.
Haga clic en Modificar.
Seleccione SAML Activado.
Haga clic en Guardar.
En Configuración de inicio de sesión único de SAML:
1. Haga clic en Nuevo.
2. Ingrese los siguientes valores.
  - Nombre: Axiom Test App (Aplicación de prueba Axiom)
  - Emisor: https://axiomsso.herokuapp.com
  - Certificado de proveedor de identidad: seleccione el archivo que ha descargado en el paso 3.
  - Solicitar método de firma: Seleccione RSA-SHA1.
  - Tipo de identidad de SAML: seleccione La afirmación contiene el Id. de federación del objeto de usuario.
  - Ubicación de entidad de SAML: seleccione La identidad se encuentra en el elemento de identificador de nombre de la declaración de asunto.
  - El proveedor de servicio ha iniciado el enlace de solicitud: seleccione Redirigir HTTP.
  - Id. de la entidad: Ingrese su URL de Mi dominio, que se muestra en la página de configuración de Mi dominio de su organización. Asegúrese de que el Id. de entidad incluye "https" y hace referencia al dominio de Salesforce. Debe ser algo parecido a esto: https://mydomain-dev-ed.develop.my.salesforce.com.
Haga clic en Guardar y deje la página del navegador abierta.

Paso 3: Vincular el proveedor de identidad para Salesforce

Ahora que ha configurado Salesforce para obtener información sobre el proveedor de identidad (Axiom), debe proporcionar al proveedor de identidad información sobre el proveedor de servicios (Salesforce).

Debe completar varios campos del siguiente formulario de Axiom. No puede ser más fácil. Dado que va a proporcionar la configuración de SSO de Salesforce, mantenga dos ventanas del navegador abiertas (una para Salesforce y otra para Axiom).

Vuelva a la aplicación web Axiom. Si no tiene la aplicación abierta en una ventana del navegador, vaya a https://axiomsso.herokuapp.com.
Haga clic en Comprobador y proveedor de identidad de SAML.
Haga clic en el vínculo genere una respuesta de SAML.
Ingrese los siguientes valores. Deje el resto de los campos como sean.
- Versión de SAML: 2.0
- Nombre de usuario o Id. de federación: El Id. de federación desde la página Usuario de Salesforce de Sia
- Emisor: https://axiomsso.herokuapp.com
- URL de destinatario: La dirección URL de la página Configuración de inicio de sesión único de SAML de Salesforce. ¿No la encuentra? Está en la parte inferior de la página (en la sección Extremos con la etiqueta URL de inicio de sesión.
- Id. de entidad: El Id. de entidad de la página Configuración de inicio de sesión único de SAML de Salesforce.

Cuando haya terminado, la página de configuración de Axiom será similar a la siguiente:

Página de configuración de Axiom

Paso 4: Confirmar que todo funciona

Estupendo, ahora que se ha completado la configuración, vamos a asegurarnos de que funciona. ¿Cómo se puede demostrar? Como es obvio, al iniciar sesión correctamente.

En la ventana del navegador para la configuración de Axiom, haga clic en Solicitar respuesta de SAML. (Esta opción se encuentra al final).
Axiom genera la afirmación SAML en XML. ¿No le recuerda esto al lenguaje usado por un robot para comunicarse con un puesto de condensadores de humedad en el desierto? Examínelo de nuevo. Si lo piensa, no es tan complicado. Para acceder a la información de interés, desplácese por el XML.
Haga clic en Iniciar sesión.

Si todo es correcto, inicia sesión como Sia en su página de inicio de Salesforce. La aplicación Axiom le permite iniciar sesión en su organización de Salesforce como el usuario con el Id. de federación asignado.

¡Felicitaciones! Acaba de configurar SSO para Salesforce para los usuarios que acceden a Salesforce desde otra aplicación. Ocupe su lugar en el escenario para recibir su insignia.