Intégration de fournisseurs de services à Salesforce

L’authentification unique (SSO) permet aux utilisateurs d’accéder à d’autres applications sans se connecter à chacune d’entre elles et sans avoir à créer (et à se souvenir de) différents identifiants utilisateur pour chaque application. Grâce à l’authentification unique, vous pouvez connecter vos utilisateurs à des applications externes. Ainsi, un agent d’un centre d’appels peut cliquer sur la vignette Support client figurant sur le portail de son organisation Salesforce et accéder à l’organisation de support client sans avoir à saisir à nouveau ses identifiants.

Identity Providers and Service Providers

Pour comprendre les flux d’authentification unique, il est important de connaître les rôles que jouent les fournisseurs d’identité et les fournisseurs de services.

Type de fournisseur	Rôle
Fournisseur d’identité	Le fournisseur d’identité est un service de confiance qui permet aux utilisateurs d’accéder à d’autres applications externes sans avoir à se reconnecter.
Fournisseur de services	Il s’agit d’un service qui accepte l’identité pour le compte de l’application externe, à partir d’un fournisseur d’identité.

Lorsque vous utilisez Salesforce comme fournisseur d’identité, vous pouvez utiliser une application connectée pour intégrer votre fournisseur de services à votre organisation. Dans ce type de flux d’authentification unique, l’application connectée met en œuvre SAML 2.0 ou OpenID Connect afin d’authentifier l’utilisateur.

Pour intégrer un fournisseur de services à votre organisation Salesforce, vous pouvez utiliser une application connectée qui met en œuvre SAML 2.0 pour authentifier l’utilisateur. Utilisez cette option si votre organisation utilise déjà le protocole SAML.

Par exemple, imaginons que vous ayez créé une application Web personnalisée nommée « Vos avantages », qui met en œuvre SAML 2.0 pour authentifier l’utilisateur. Vous souhaitez que vos utilisateurs puissent se connecter à cette application avec leurs identifiants Salesforce. Pour configurer ce flux d’authentification unique, vous devez configurer l’application Web « Vos avantages » en tant qu’application connectée. Étant donné que votre organisation met en œuvre le protocole SAML, votre organisation Salesforce est déjà configurée en tant que fournisseur d’identité. Lorsque les utilisateurs se connectent à leur organisation Salesforce, ils peuvent accéder à l’application Web « Vos avantages » sans avoir à s’y connecter séparément.

1. Un commercial se connecte à son organisation Salesforce et ouvre l’application Web « Vos avantages ».
2. Salesforce envoie une réponse SAML au fournisseur de services que vous avez défini lors de la configuration de l’application connectée.
3. Le fournisseur de services identifie l’utilisateur et valide la signature numérique envoyée par Salesforce dans la réponse SAML.
4. L’utilisateur est connecté à l’application Web « Vos avantages ».

À l’instar de SAML, OpenID Connect est un protocole permettant d’activer l’authentification unique entre deux services. Contrairement à SAML, OpenID Connect est conçu pour l’économie actuelle des API. Il ajoute une couche d’authentification au-dessus de OAuth 2.0 pour permettre l’échange sécurisé de jetons d’ID contenant des informations sur les utilisateurs en complément des jetons d’accès OAuth.

Pour intégrer un fournisseur de services à votre organisation Salesforce, vous pouvez utiliser une application connectée qui met en œuvre OpenID Connect dans le but d’authentifier l’utilisateur. Pour utiliser cette option, le fournisseur de services doit accepter les jetons OpenID Connect. Pour ce faire, configurez une application connectée pour votre fournisseur de services dotée du périmètre OpenID Connect. Le périmètre OpenID Connect transmet les informations sur les utilisateurs dans un jeton d’ID. Les utilisateurs pourront ensuite se connecter à l’application externe avec leurs identifiants Salesforce ou Experience Cloud.

Par exemple, imaginons que vous souhaitiez que vos utilisateurs puissent s’authentifier directement depuis votre organisation Salesforce auprès d’une application externe intitulée Suivi du bien-être prenant en charge OpenID Connect. Vous créez donc une application connectée pour l’application Suivi du bien-être. Pour ce faire, vous activez les paramètres OAuth, sélectionnez le périmètre « Autoriser l’accès à votre identifiant unique (openid) » et configurez un jeton d’ID pour l’application connectée. Cette configuration active le flux d’authentification unique pour votre application Suivi du bien-être en intégrant le fournisseur de services à votre organisation Salesforce.

1. Un utilisateur ouvre l’application Suivi du bien-être.
2. Salesforce envoie l’ID client et le secret de l’application connectée au service Suivi du bien-être, accompagnés de données d’authentification supplémentaires.
3. Le service Suivi du bien-être valide la demande d’accès à l’application. Il renvoie ensuite les informations au serveur Salesforce en échange de jetons permettant d’accéder aux données de l’utilisateur.
4. Salesforce envoie les jetons au service Suivi du bien-être.
5. Le service Suivi du bien-être autorise l’accès au compte Suivi du bien-être de l’utilisateur.
6. L’utilisateur est connecté à l’application Suivi du bien-être.

Bien joué ! Vous avez découvert les applications connectées et la manière de les utiliser pour intégrer des applications externes à l’API Salesforce et des fournisseurs de services à Salesforce. Nous allons maintenant nous intéresser à l’utilisation des applications connectées pour fournir des autorisations aux passerelles d’API externes.