Configuration de l'authentification unique pour vos utilisateurs internes
Objectifs de formation
- Créer un ID de fédération
- Configurer l’authentification unique (SSO) à partir d’un fournisseur d’identité tiers
- Vous familiariser avec les outils pour résoudre les requêtes SAML
Authentification unique
- Vous passez moins de temps à gérer les mots de passe.
- Vos employés gagnent du temps parce qu’ils n’ont pas à se connecter manuellement à Salesforce. Saviez-vous que les utilisateurs passent en moyenne 5 à 20 secondes pour se connecter à une application en ligne ? Ces secondes s'additionnent.
- De plus en plus de gens utilisent Salesforce. Les utilisateurs peuvent envoyer des liens vers des enregistrements et des rapports Salesforce et leurs destinataires peuvent les ouvrir en un seul clic.
- Vous pouvez gérer l'accès aux informations sensibles depuis un seul endroit.
Dans cette unité, nous allons vous montrer comment configurer une authentification SSO entrante ; les utilisateurs se connectent ailleurs, par exemple sur une application sur site, puis accèdent à Salesforce sans se connecter. Vous pouvez également configurer une authentification SSO sortante dans laquelle les utilisateurs se connectent à Salesforce, puis accèdent à d’autres services sans se reconnecter. Nous garderons ce sujet pour un autre module.
Utilisation de l’authentification multifacteur (MFA)
Vous vous souvenez de l’exigence relative à l’authentification multifacteur que nous avons mentionnée dans la première unité ? Eh bien, elle s’applique également aux utilisateurs SSO. Même si vos employés accèdent à Salesforce via une application sur site ou un fournisseur d’identité SSO, ils doivent d’abord procéder à l’authentification multifacteur.
Bien que nous n’expliquions pas comment appliquer l’authentification multifacteur aux utilisateurs SSO ici, il existe un moyen simple de le faire. Afin d’utiliser le service d’authentification multifacteur inclus avec Salesforce pour votre configuration SSO, reportez-vous à la section Utilisation de l’authentification multifacteur Salesforce pour l’authentification unique dans l’aide Salesforce. Si votre fournisseur SSO propose un service d’authentification multifacteur, vous pouvez exiger l’authentification multifacteur lorsque vos utilisateurs se connectent à votre fournisseur plutôt que lorsqu’ils accèdent à Salesforce.
Configurer une authentification SSO entrante avec un fournisseur d'identité tiers
Commençons la configuration d'une authentification SSO entrante avec un fournisseur d'identité tiers.
Le responsable de votre service informatique, Sean Sollo, vous demande de configurer l’authentification SSO des utilisateurs de Salesforce pour qu’ils puissent se connecter à votre organisation Salesforce grâce à leurs identifiants réseau Jedeye. Nous allons vous guider ici à travers les étapes de configuration du SSO pour la nouvelle employée de Jedeye Tech, Sia Thripio. Vous allez configurer une authentification SSO entrante en utilisant l'application web Axiom Heroku comme fournisseur d'identité.
Est-ce que ça commence à vous sembler difficile ? Ça ne l'est pas. Décomposons les choses en étapes simples.
- Créez un ID Fédération pour chaque utilisateur.
- Configurez les paramètres SSO dans Salesforce.
- Configurez les paramètres Salesforce dans le fournisseur SSO.
- Assurez-vous que tout fonctionne.
Étape 1 : Créer un ID Fédération
Non, un ID Fédération n'est pas la propriété d'une compagnie de transport interstellaire au design effroyable. C'est un terme que l'industrie de l'identité utilise pour se référer à un identifiant utilisateur unique.
Vous attribuez généralement un ID Fédération lorsque vous configurez un compte utilisateur. Lorsque vous configurez une authentification SSO sur votre environnement de production, vous pouvez attribuer l'ID Fédération pour de nombreux utilisateurs en une seule fois grâce à des outils comme le Salesforce Data Loader. Pour le moment, configurons un compte pour la nouvelle employée de Jedeye Tech, Sia Thripio.
- Dans Configuration, saisissez
Users
(Utilisateurs) dans la case Recherche rapide, puis sélectionnez Utilisateurs. - Cliquez sur Modifier en regard du nom de Sia.
- Sous Informations d’authentification unique, saisissez l’ID de fédération suivant :
sia@jedeye-tech.com
. Conseil : Un ID de fédération doit être unique pour chaque utilisateur de l'organisation. Pour cette raison, le nom d’utilisateur est pratique. Toutefois, si l’utilisateur appartient à plusieurs organisations, utilisez le même ID de fédération pour celui-ci dans chaque organisation. - Cliquez sur Enregistrer.
Étape 2 : Configurer votre fournisseur d’authentification unique dans Salesforce
Du côté de Salesforce, nous allons configurer les paramètres SAML. SAML est le protocole que Salesforce Identity utilise pour mettre en œuvre l’authentification unique.
Conseil : Vous allez travailler à la fois dans votre organisation de développement Salesforce et dans l'application Axiom. Laissez-les ouvertes dans des fenêtres de navigateur séparées pour pouvoir copier-coller entre les deux.
- Dans une nouvelle fenêtre de navigateur, accédez à https://axiomsso.herokuapp.com.
- Cliquez sur Fournisseur et testeur d'identité SAML.
- Cliquez sur Télécharger le certificat du fournisseur d'identité. Vous allez charger ce certificat plus tard dans votre organisation Salesforce. Par conséquent, mémorisez l'endroit où vous l'enregistrez.
- Dans votre organisation Salesforce, dans Configuration, saisissez
Unique
dans la zone Recherche rapide, puis sélectionnez Paramètres d’authentification unique. - Cliquez sur Modifier.
- Sélectionnez l'option SAML activé.
- Cliquez sur Enregistrer.
- Dans les paramètres d'authentification unique SAML :
- Cliquez sur Nouveau.
- Saisissez les valeurs ci-dessous.
- Nom :
Axiom Test App
- Émetteur :
https://axiomsso.herokuapp.com
- Certificat du fournisseur d'identité : Choisissez le fichier que vous avez téléchargé à l'étape 3.
- Méthode de signature de requête : Choisissez RSA-SHA1.
- Type d'identité SAML : Sélectionnez L'assertion contient l'ID Fédération de l'objet Utilisateur.
- Emplacement de l'identité SAML : Sélectionnez L'identité est dans l'élément NameIdentifier de l’instruction Subject.
- Liaison de demande initiée par le fournisseur de service : Sélectionnez Redirection HTTP.
- ID d'entité : Saisissez l’URL de Mon domaine affichée sur la page de configuration du Mon domaine de votre organisation. Assurez-vous que l’ID d’entité contient « https » et fait référence au domaine Salesforce. Il doit ressembler à ce qui suit : https://mydomain-dev-ed.develop.my.salesforce.com.
- Nom :
- Cliquez sur Enregistrer et laissez la page du navigateur ouverte.
Étape 3 : Reliez votre fournisseur d'identité à Salesforce
Vous remplissez quelques champs dans le formulaire Axiom qui suit. Rien de sorcier ! Étant donné que vous fournissez les paramètres SSO Salesforce, gardez deux fenêtres ouvertes dans le navigateur, une pour Salesforce et une pour Axiom.
- Retournez à l'application Web Axiom. Si vous ne parvenez pas à ouvrir l’application dans la fenêtre du navigateur, accédez à https://axiomsso.herokuapp.com.
- Cliquez sur Fournisseur et testeur d'identité SAML.
- Cliquez sur générer une réponse SAML.
- Saisissez les valeurs ci-dessous. Laissez les autres champs inchangés.
- Version SAML : 2,0
- Nom d'utilisateur ou ID fédéré : l’ID de fédération de la page Utilisateur Salesforce de Sia.
- Émetteur :
https://axiomsso.herokuapp.com
- URL destinataire : l’URL d’entité de la page Paramètres de l’authentification unique SAML Salesforce. Vous ne la voyez pas ? Elle est située en bas de la page (dans la section Points de terminaison) étiquetée URL de connexion.
- ID d'entité : l’ID d’entité de la page Paramètres de l’authentification unique SAML Salesforce.
Lorsque vous avez terminé, la page Paramètres Axiom se présente comme suit :
Étape 4 : Veillez à ce que tout fonctionne
- Dans la fenêtre du navigateur, au niveau des paramètres Axiom, cliquez sur Demander une réponse SAML (l'option se situe en bas).
- Axiom génère l'assertion SAML sous XML. Vous avez l'impression d'entendre le langage d'un robot qui communique avec des évaporateurs d'humidité situés en poste avancé dans le désert ? Regardez bien. Vous voyez bien que ce n'est pas si compliqué. Pour arriver jusqu’aux informations intéressantes, faites défiler le fichier XML.
- Cliquez sur Connexion.
Si tout est correct, vous êtes connecté au nom de Sia à votre page d'accueil Salesforce. L'application Axiom se connecte à votre organisation Salesforce en tant qu'utilisateur avec l'ID Federation attribué.
Félicitations ! Vous venez de configurer l'authentification SSO Salesforce pour vos utilisateurs qui accèdent à Salesforce à partir d'une autre application. Prenez place au milieu de la scène et recevez votre badge.