Configurar el inicio de sesión único para usuarios internos

Objetivos de aprendizaje

Después de completar este módulo, podrá:

Crear un Id. de federación.
Configurar el inicio de sesión único con un proveedor de identidad externo.
Familiarizarse con las herramientas para solucionar problemas de solicitudes SAML.

Nota

¿Su idioma de aprendizaje es español? En esta insignia, las validaciones de los retos prácticos de Trailhead funcionan en inglés. Las traducciones se incluyen entre paréntesis a modo de referencia. En su Trailhead Playground, asegúrese de (1) cambiar la configuración regional a Estados Unidos, (2) cambiar el idioma a inglés y (3) copiar y pegar únicamente los valores en inglés. Siga las instrucciones descritas aquí.

Consulte la insignia Trailhead en su idioma para obtener más información sobre cómo aprovechar la experiencia de Trailhead en otros idiomas.

Inicio de sesión único

Con la URL de inicio de sesión de Mi dominio, los empleados pueden iniciar sesión de forma sencilla en la organización de Salesforce mediante una dirección URL segura fácil de recordar.

¿Desea facilitar aún más el proceso para que no sea necesario iniciar sesión? En ese caso, configure el inicio de sesión único (SSO).

SSO ofrece numerosas ventajas.

La gestión de contraseñas requiere menos tiempo.
Los empleados pueden ahorrar tiempo si no tienen que iniciar sesión manualmente en Salesforce. ¿Sabía que los usuarios tardan de 5 a 20 segundos en iniciar sesión en una aplicación en línea? Estos segundos suman tiempo.
Más usuarios usan Salesforce. Los usuarios pueden enviar vínculos a registros e informes de Salesforce y los destinatarios pueden abrirlos con un solo clic.
Puede gestionar el acceso a información confidencial desde una sola ubicación.

En esta unidad, le mostramos cómo configurar SSO entrante. Los usuarios inician sesión en otra ubicación, como una aplicación local, y acceden a Salesforce sin necesidad de iniciar sesión. Además, puede configurar SSO saliente para que los usuarios inicien sesión en Salesforce y accedan a otros servicios sin tener que volver a iniciar sesión. Reservaremos este tema para otro módulo.

No olvide la MFA

¿Recuerda el requisito de MFA que mencionamos en la primera unidad? Así es, también se aplica a los usuarios de SSO. Aunque los empleados puedan acceder a Salesforce mediante una aplicación local o un proveedor de identidad de SSO, deben completar la MFA primero.

Aunque aquí no hablamos de cómo aplicar la MFA a los usuarios de SSO, no se preocupe, hay una manera sencilla de hacerlo. Para utilizar el servicio de la MFA incluido en Salesforce para su configuración de SSO, consulte Utilizar Salesforce MFA para SSO en la Ayuda de Salesforce. O bien, si su proveedor de SSO ofrece un servicio de MFA, puede requerir la MFA cuando los usuarios inicien sesión en su proveedor en lugar de cuando accedan a Salesforce.

Configurar SSO entrante con un proveedor de identidad de terceros

Empecemos por configurar SSO entrante con un proveedor de identidad de terceros.

El responsable del departamento de TI, Sean Sollo, le comenta que configure los usuarios de Salesforce con SSO para que puedan iniciar sesión en la organización de Salesforce con sus credenciales de red de Jedeye. Aquí, vamos a seguir los pasos para configurar SSO para Sia Thripio, la nueva empleada de Jedeye Tech. Va a configurar SSO entrante con la aplicación web Axiom Heroku como el proveedor de identidad.

¿Le parece difícil este comienzo? En realidad no lo es. Vamos a describir el proceso mediante una serie de pasos sencillos.

Cree un Id. de federación para cada usuario.
Establezca la configuración de SSO en Salesforce.
Establezca la configuración de Salesforce en el proveedor de SSO.
Asegúrese de que todo funciona.

Paso 1: Crear un Id. de federación

Cuando configura SSO, usa un atributo único para identificar a cada usuario. Este atributo es el vínculo que asocia al usuario de Salesforce con el proveedor de identidad externo. Puede usar un nombre de usuario, un Id. de usuario o un Id. de federación. Vamos a usar un Id. de federación.

No, un Id. de federación no es propiedad de una organización de envío interestelar con diseños incomprensibles. Es básicamente un término que la industria de la identidad usa para hacer referencia a un Id. de usuario único.

Normalmente, asigna un Id. de federación a una cuenta de usuario. Cuando configura SSO en su entorno de producción, puede asignar el Id. de federación para varios usuarios a la vez con herramientas como el Cargador de datos de Salesforce. De momento, vamos a configurar una cuenta para Sia Thripio, una nueva empleada de Jedeye Tech.

En Configuración, escriba Users (Usuarios) en el cuadro Búsqueda rápida y, a continuación, seleccione Usuarios.
Haga clic en Modificar junto al nombre de Sia.
En Información de inicio de sesión único, introduzca el Id. de federación: sia@jedeye-tech.com. Sugerencia: Un Id. de federación debe ser único para cada usuario en una organización. Es por eso que el nombre de usuario es tan útil. Pero si el usuario pertenece a varias organizaciones, utilice el mismo Id. de federación para la usuario en cada organización.
Haga clic en Guardar.

Paso 2: Configurar su proveedor de SSO en Salesforce

El proveedor de servicios debe tener información sobre el proveedor de identidad y viceversa. En este paso, se encuentra en la parte de Salesforce para proporcionar información sobre el proveedor de identidad, que este caso es Axiom. En el paso siguiente, proporcionará a Axiom información sobre Salesforce.

En la parte de Salesforce, establecemos la configuración de SAML. SAML es el protocolo que Salesforce Identity usa para implementar SSO.

Sugerencia: Va a trabajar tanto en la organización de Salesforce Developer como en la aplicación Axiom. Manténgalas abiertas en ventanas del explorador independientes para poder copiar y pegar entre ambas.

En una nueva ventana del explorador , vaya a https://axiomsso.herokuapp.com.
Haga clic en Comprobador y proveedor de identidad de SAML.
Haga clic en Descargar el certificado del proveedor de identidad. Dado que debe cargar este certificado más adelante en la organización de Salesforce, recuerde dónde lo ha guardado.
En su organización de Salesforce, en Configuración, introduzca Single (Único) en el cuadro Búsqueda rápida y, a continuación, seleccione Configuración de inicio de sesión único.
Haga clic en Modificar.
Seleccione SAML Activado.
Haga clic en Guardar.
En Configuración de inicio de sesión único de SAML:
1. Haga clic en Nuevo.
2. Introduzca los siguientes valores.
  - Nombre: Axiom Test App (Aplicación de prueba Axiom)
  - Emisor: https://axiomsso.herokuapp.com
  - Certificado de proveedor de identidad: seleccione el archivo que ha descargado en el paso 3.
  - Solicitar método de firma: Seleccione RSA-SHA1.
  - Tipo de identidad de SAML: seleccione La afirmación contiene el Id. de federación del objeto de usuario.
  - Ubicación de entidad de SAML: seleccione La identidad se encuentra en el elemento de identificador de nombre de la declaración de asunto.
  - El proveedor de servicio ha iniciado el enlace de solicitud: seleccione Redirigir HTTP.
  - Id. de la entidad: Introduzca su URL de Mi dominio, que se muestra en la página de configuración de Mi dominio de su organización. Asegúrese de que el Id. de entidad incluye "https" y hace referencia al dominio de Salesforce. Debe ser algo parecido a esto: https://mydomain-dev-ed.develop.my.salesforce.com.
Haga clic en Guardar y deje la página del explorador abierta.

Paso 3: Vincular el proveedor de identidad con Salesforce

Ahora que ha configurado Salesforce para obtener información sobre el proveedor de identidad (Axiom), debe proporcionar al proveedor de identidad información sobre el proveedor de servicios (Salesforce).

Debe completar varios campos del siguiente formulario de Axiom. No puede ser más fácil. Dado que va a proporcionar la configuración de SSO de Salesforce, mantenga dos ventanas del explorador abiertas (una para Salesforce y otra para Axiom).

Vuelva a la aplicación web Axiom. Si no tiene la aplicación abierta en una ventana del explorador, vaya a https://axiomsso.herokuapp.com.
Haga clic en Comprobador y proveedor de identidad de SAML.
Haga clic en el vínculo genere una respuesta de SAML.
Introduzca los siguientes valores. Deje el resto de los campos como están.
- Versión de SAML: 2.0
- Nombre de usuario o Id. de federación: El Id. de federación desde la página Usuario de Salesforce de Sia
- Emisor: https://axiomsso.herokuapp.com
- URL de destinatario: La dirección URL de la página Configuración de inicio de sesión único de SAML de Salesforce. ¿No la encuentra? Está en la parte inferior de la página (en la sección Extremos con la etiqueta URL de inicio de sesión.
- Id. de entidad: El Id. de entidad de la página Configuración de inicio de sesión único de SAML de Salesforce.

Cuando haya terminado, la página de configuración de Axiom será similar a la siguiente:

Página de configuración de Axiom

Paso 4: Confirmar que todo funciona

Estupendo. Ahora que se ha completado la configuración, vamos a asegurarnos de que funciona. ¿Cómo se puede demostrar? Como es obvio, al iniciar sesión correctamente.

En la ventana del explorador para la configuración de Axiom, haga clic en Solicitar respuesta de SAML. (Esta opción se encuentra al final).
Axiom genera la afirmación SAML en XML. ¿No le recuerda esto al lenguaje usado por un robot para comunicarse con un puesto de condensadores de humedad en el desierto? Examínelo de nuevo. Si lo piensa, no es tan complicado. Para acceder a la información de interés, desplácese por el XML.
Haga clic en Iniciar sesión.

Si todo es correcto, inicia sesión como Sia en su página de inicio de Salesforce. La aplicación Axiom le permite iniciar sesión en su organización de Salesforce como el usuario con el Id. de federación asignado.

Enhorabuena. Acaba de configurar SSO para Salesforce para los usuarios que acceden a Salesforce desde otra aplicación. Ocupe su lugar en el escenario para recibir su insignia.