Configuration de l'authentification unique pour vos utilisateurs internes
Objectifs de formation
Après avoir terminé ce module, vous pourrez :
- Créer un ID de fédération
- Configurer l’authentification unique (SSO) à partir d’un fournisseur d’identité tiers
- Vous familiariser avec les outils pour résoudre les requêtes SAML
Authentification unique
Votre URL de connexion Mon domaine permet à vos employés de se connecter facilement à votre organisation Salesforce grâce à une URL sécurisée et simple à mémoriser.
Vous voulez faciliter encore plus les choses pour qu'ils n'aient plus à se connecter du tout ? Dans ce cas, configurez une authentification unique (SSO).
Le SSO présente de nombreux avantages.
- Vous passez moins de temps à gérer les mots de passe.
- Vos employés gagnent du temps parce qu’ils n’ont pas à se connecter manuellement à Salesforce. Saviez-vous que les utilisateurs passent en moyenne 5 à 20 secondes pour se connecter à une application en ligne ? Ces secondes s'additionnent.
- De plus en plus de gens utilisent Salesforce. Les utilisateurs peuvent envoyer des liens vers des enregistrements et des rapports Salesforce et leurs destinataires peuvent les ouvrir en un seul clic.
- Vous pouvez gérer l'accès aux informations sensibles depuis un seul endroit.
Dans cette unité, nous allons vous montrer comment configurer une authentification SSO entrante ; les utilisateurs se connectent ailleurs, par exemple sur une application sur site, puis accèdent à Salesforce sans se connecter. Vous pouvez également configurer une authentification SSO sortante dans laquelle les utilisateurs se connectent à Salesforce, puis accèdent à d’autres services sans se reconnecter.
Utilisation de l’authentification multifacteur (MFA)
Vous vous souvenez de l’exigence relative à l’authentification multifacteur que nous avons mentionnée dans la première unité ? Eh bien, elle s’applique également aux utilisateurs SSO. Même si vos employés accèdent à Salesforce via une application sur site ou un fournisseur d’identité SSO, ils doivent d’abord procéder à l’authentification multifacteur.
Bien que nous n’expliquions pas comment appliquer l’authentification multifacteur aux utilisateurs SSO ici, il existe un moyen simple de le faire. Afin d’utiliser le service d’authentification multifacteur inclus avec Salesforce pour votre configuration de l’authentification unique, reportez-vous à l’article Utilisation de l’authentification multifacteur Salesforce pour l’authentification unique dans l’aide Salesforce. Si votre fournisseur SSO propose un service d’authentification multifacteur, vous pouvez exiger l’authentification multifacteur lorsque vos utilisateurs se connectent à votre fournisseur plutôt que lorsqu’ils accèdent à Salesforce.
Configurer une authentification SSO entrante avec un fournisseur d'identité tiers
Commençons la configuration d'une authentification SSO entrante avec un fournisseur d'identité tiers.
Le responsable de votre service informatique, Sean Sollo, vous demande de configurer l’authentification SSO des utilisateurs de Salesforce pour qu’ils puissent se connecter à votre organisation Salesforce grâce à leurs identifiants réseau Jedeye. Nous allons vous guider ici à travers les étapes de configuration du SSO pour la nouvelle employée de Jedeye Tech, Sia Thripio. Vous allez configurer une authentification SSO entrante en utilisant l'application web Axiom Heroku comme fournisseur d'identité.
Est-ce que ça commence à vous sembler difficile ? Ça ne l'est pas. Décomposons les choses en étapes simples.
- Créez un ID Fédération pour chaque utilisateur.
- Configurez les paramètres SSO dans Salesforce.
- Configurez les paramètres Salesforce dans le fournisseur SSO.
- Assurez-vous que tout fonctionne.
Étape 1 : Créer un ID Fédération
En configurant une authentification SSO, vous utilisez un attribut pour identifier chaque utilisateur. Cet attribut est le lien qui associe l’utilisateur Salesforce au fournisseur d’identité tiers. Vous pouvez utiliser un nom d'utilisateur, un identifiant utilisateur ou un ID Fédération. Nous allons utiliser un ID Fédération.
Non, un ID Fédération n'est pas la propriété d'une compagnie de transport interstellaire au design effroyable. C'est un terme que l'industrie de l'identité utilise pour se référer à un identifiant utilisateur unique.
Vous attribuez généralement un ID Fédération lorsque vous configurez un compte utilisateur. Lorsque vous configurez une authentification SSO sur votre environnement de production, vous pouvez attribuer l'ID Fédération pour de nombreux utilisateurs en une seule fois grâce à des outils comme le Salesforce Data Loader. Pour le moment, configurons un compte pour la nouvelle employée de Jedeye Tech, Sia Thripio.
- Dans Setup (Configuration), saisissez
Users
(Utilisateurs) dans la zone Quick Find (Recherche rapide), puis sélectionnez Utilisateurs.
- Cliquez sur Modifier en regard du nom de Sia.
- Sous Single Sign On Information (Informations sur l’authentification unique), saisissez l’ID de fédération suivant :
sia@jedeye-tech.com
. Conseil : Un ID de fédération doit être unique pour chaque utilisateur de l'organisation. Pour cette raison, le nom d’utilisateur est pratique. Toutefois, si l’utilisateur appartient à plusieurs organisations, utilisez le même ID de fédération dans chaque organisation.
- Cliquez sur Enregistrer.
Étape 2 : Configurer votre fournisseur d’authentification unique dans Salesforce
Votre fournisseur de service a besoin de connaître votre fournisseur d'identité et vice versa. À cette étape, vous êtes du côté de Salesforce et vous apportez des informations sur le fournisseur d'identité, dans ce cas, Axiom. À la prochaine étape, vous donnerez à Axiom des informations sur Salesforce.
Du côté de Salesforce, nous allons configurer les paramètres SAML. SAML est le protocole que Salesforce Identity utilise pour mettre en œuvre l’authentification unique.
Conseil : Vous allez travailler à la fois dans votre organisation de développement Salesforce et dans l'application Axiom. Laissez-les ouvertes dans des fenêtres de navigateur séparées pour pouvoir copier-coller entre les deux.
- Dans une nouvelle fenêtre de navigateur, accédez à https://axiomsso.herokuapp.com.
- Cliquez sur Fournisseur et testeur d'identité SAML.
- Cliquez sur Télécharger le certificat du fournisseur d'identité. Vous allez charger ce certificat plus tard dans votre organisation Salesforce. Par conséquent, mémorisez l'endroit où vous l'enregistrez.
- Dans votre organisation Salesforce, depuis Setup (Configuration), saisissez
Single
(Unique) dans la zone Quick Find (Recherche rapide), puis sélectionnez Single Sign-On Settings (Paramètres d’authentification unique).
- Cliquez sur Modifier.
- Sélectionnez l'option SAML activé.
- Cliquez sur Enregistrer.
- Dans les paramètres d'authentification unique SAML :
- Cliquez sur Nouveau.
- Saisissez les valeurs suivantes.
- Nom :
Axiom Test App
- Issuer (Émetteur) :
https://axiomsso.herokuapp.com
- Certificat du fournisseur d'identité : Choisissez le fichier que vous avez téléchargé à l'étape 3.
- Méthode de signature de requête : Choisissez RSA-SHA1.
- Type d'identité SAML : Sélectionnez L'assertion contient l'ID Fédération de l'objet Utilisateur.
- Emplacement de l'identité SAML : Sélectionnez L'identité est dans l'élément NameIdentifier de l’instruction Subject.
- Liaison de demande initiée par le fournisseur de service : Sélectionnez Redirection HTTP.
- ID d'entité : Saisissez l’URL de Mon domaine affichée sur la page de configuration du Mon domaine de votre organisation. Assurez-vous que l’ID d’entité contient « https » et fait référence au domaine Salesforce. Il doit ressembler à ce qui suit : https://mydomain-dev-ed.develop.my.salesforce.com.
- Cliquez sur Enregistrer et laissez la page du navigateur ouverte.
Étape 3 : Reliez votre fournisseur d'identité à Salesforce
À présent que vous avez configuré Salesforce pour connaître le fournisseur d'identité (Axiom), vous indiquez à votre fournisseur d'identité qui est votre fournisseur de service (Salesforce).
Vous remplissez quelques champs dans le formulaire Axiom qui suit. Rien de sorcier ! Étant donné que vous fournissez les paramètres SSO Salesforce, gardez deux fenêtres ouvertes dans le navigateur, une pour Salesforce et une pour Axiom.
- Retournez à l'application Web Axiom. Si vous ne parvenez pas à ouvrir l’application dans la fenêtre du navigateur, accédez à https://axiomsso.herokuapp.com.
- Cliquez sur Fournisseur et testeur d'identité SAML.
- Cliquez sur générer une réponse SAML.
- Saisissez les valeurs ci-dessous. Laissez les autres champs inchangés.
- Version SAML : 2,0
- Nom d'utilisateur ou ID fédéré : l’ID de fédération de la page Utilisateur Salesforce de Sia.
- Issuer (Émetteur) :
https://axiomsso.herokuapp.com
- URL destinataire : l’URL d’entité de la page Paramètres de l’authentification unique SAML Salesforce. Vous ne la voyez pas ? Elle est située en bas de la page (dans la section Points de terminaison) étiquetée URL de connexion.
- ID d'entité : L'ID d'entité de la page Paramètres de l'authentification unique SAML Salesforce.
Lorsque vous avez terminé, la page Paramètres Axiom se présente comme suit :
Étape 4 : Veillez à ce que tout fonctionne
Bien, maintenant que tout est configuré, assurons-nous que tout fonctionne. Comment en avoir la preuve ? Une connexion réussie, bien sûr.
- Dans la fenêtre du navigateur, au niveau des paramètres Axiom, cliquez sur Demander une réponse SAML (l'option se situe en bas).
- Axiom génère l'assertion SAML sous XML. Vous avez l'impression d'entendre le langage d'un robot qui communique avec des évaporateurs d'humidité situés en poste avancé dans le désert ? Regardez bien. Vous voyez bien que ce n'est pas si compliqué. Pour parvenir aux informations intéressantes, faites défiler le fichier XML.
- Cliquez sur Connexion.
Si tout est correct, vous êtes connecté au nom de Sia à votre page d'accueil Salesforce. L'application Axiom se connecte à votre organisation Salesforce en tant qu'utilisateur avec l'ID Federation attribué.
Félicitations ! Vous venez de configurer l'authentification SSO Salesforce pour vos utilisateurs qui accèdent à Salesforce à partir d'une autre application.
Ressources
- Aide Salesforce : Flux SSO SAML
- Aide Salesforce : Configuration de Salesforce en tant que fournisseur de services avec l’authentification unique SAML
- Vidéo Salesforce : Configuration de l’authentification unique SAML avec Salesforce en tant que fournisseur d’identité