Configurare l'accesso tramite Single Sign-On per gli utenti interni
Obiettivi di apprendimento
Al completamento di questo modulo, sarai in grado di:
- Creare un ID federazione.
- Configurare il Single Sign-On (SSO) da un provider di identità di terze parti.
- Utilizzare gli strumenti per la risoluzione dei problemi delle richieste SAML.
Single Sign-On
L'URL di accesso del Dominio personale semplifica l'accesso dei dipendenti all'organizzazione Salesforce grazie a un URL sicuro e facile da ricordare.
Se vuoi semplificare ulteriormente la procedura in modo da evitare del tutto l'accesso, puoi farlo configurando il Single Sign-On (SSO).
SSO offre numerosi vantaggi.
- Riduce l'impegno necessario per la gestione delle password.
- I dipendenti risparmiano tempo perché non devono accedere manualmente a Salesforce. Sapevi che gli utenti impiegano da 5 a 20 secondi per accedere a un'applicazione online? Sono secondi che si accumulano.
- Sempre più persone utilizzano Salesforce. Gli utenti possono inviare i link ai record e ai rapporti Salesforce e i destinatari possono aprirli con un solo clic.
- Puoi gestire l'accesso alle informazioni sensibili da un unico posto.
In questa unità, vedremo come si configura l'accesso tramite SSO in entrata: gli utenti eseguono l'accesso altrove, ad esempio su un'app locale, e poi accedono a Salesforce senza dover ripetere la procedura. Puoi anche configurare l'accesso tramite SSO in uscita per consentire agli utenti di accedere a Salesforce e poi ad altri servizi senza dover ripetere la procedura.
Applicabilità del requisito MFA
Ricordi il requisito relativo all'autenticazione a più fattori, o MFA, a cui abbiamo accennato nella prima unità? Ebbene sì, è valido anche per gli utenti per cui è abilitato l'accesso SSO. Anche se i dipendenti accedono a Salesforce attraverso un'app on-premise o un provider di identità SSO, devono prima superare l'autenticazione MFA.
In questa sezione non parleremo di come applicare la MFA agli utenti per cui è abilitato l'accesso SSO, ma ti assicuriamo che esiste un modo facile per farlo. Per utilizzare il servizio MFA incluso in Salesforce per la configurazione dell'SSO, vedi Uso della MFA di Salesforce per l'SSO nella Guida di Salesforce. Se invece il provider SSO offre un servizio MFA, puoi rendere obbligatoria l'autenticazione MFA quando gli utenti accedono al provider invece che quando accedono a Salesforce.
Configurare l'accesso tramite SSO in entrata con un provider di identità di terze parti
Iniziamo configurando l'accesso tramite SSO in entrata con un provider di identità di terze parti.
Il responsabile del reparto IT, Sean Sollo, ti ha chiesto di configurare gli utenti Salesforce con SSO, in modo che possano accedere all'organizzazione Salesforce con le proprie credenziali di rete Jedeye. Qui illustreremo i passaggi necessari per configurare SSO per una nuova dipendente di Jedeye Tech, Sia Thripio. Per la configurazione dell'accesso tramite SSO in entrata utilizzerai l'app web Axiom Heroku come provider di identità.
Sembra complicato come inizio? In realtà non lo è. Suddividiamo questa operazione in alcuni semplici passaggi.
- Creare un ID federazione per ogni utente.
- Configurare le impostazioni SSO in Salesforce.
- Configurare le impostazioni di Salesforce nel provider SSO.
- Verificare che tutto funzioni.
Passaggio 1: crea un ID federazione
Quando configuri l'accesso tramite SSO, usi un attributo univoco per identificare ciascun utente. Questo attributo è il collegamento che associa l'utente Salesforce al provider di identità di terze parti. Puoi utilizzare un nome utente, un ID utente o un ID federazione. Qui utilizzeremo un ID federazione.
No, un ID federazione non è di proprietà di un'organizzazione interstellare con propositi nefasti. In sostanza, è un termine che il settore della gestione delle identità utilizza per fare riferimento a un ID utente univoco.
In genere, si assegna un ID federazione quando si configura un account utente. Se configuri SSO nell'ambiente di produzione, puoi assegnare l'ID federazione a molti utenti simultaneamente utilizzando strumenti come Data Loader di Salesforce. Per il momento, configuriamo un account per la nuova dipendente di Jedeye Tech, Sia Thripio.
- In Setup (Imposta), inserisci
Users
(Utenti) nella casella Quick Find (Ricerca veloce), quindi seleziona Users (Utenti).
- Fai clic su Modifica accanto al nome di Sia.
- In Single Sign On Information (Informazioni Single Sign-On), inserisci
sia@jedeye-tech.com
in Federation ID (ID federazione). Suggerimento: un ID federazione deve essere univoco per ogni utente di un'organizzazione. Ecco perché il nome utente è pratico. Ma se l'utente appartiene a più organizzazioni, devi utilizzare lo stesso ID federazione per quell'utente in tutte le organizzazioni.
- Fai clic su Save (Salva).
Passaggio 2: configura il provider SSO in Salesforce
Il provider di servizi deve avere informazioni sul provider di identità e viceversa. In questo passaggio, sei sul lato Salesforce e fornisci informazioni sul provider di identità, in questo caso Axiom. Nel passaggio successivo, fornirai ad Axiom informazioni su Salesforce.
Sul lato Salesforce, configuriamo le impostazioni SAML. SAML è il protocollo utilizzato da Salesforce Identity per implementare SSO.
Suggerimento: lavorerai sia nell'organizzazione Salesforce di sviluppo, sia nell'app Axiom. Tienile aperte in finestre separate del browser in modo da poter copiare e incollare dati da una all'altra.
- In una nuova finestra del browser, accedi a https://axiomsso.herokuapp.com.
- Fai clic su SAML Identity Provider & Tester (Provider di identità e tester SAML).
- Fai clic su Download the Identity Provider Certificate (Scarica certificato del provider di identità). Tra poco caricherai questo certificato nell'organizzazione Salesforce, quindi ricorda dove lo salvi.
- Nell'organizzazione Salesforce, in Setup (Imposta), inserisci
Single
nella casella Quick Find (Ricerca veloce) e poi seleziona Single Sign-On Settings (Impostazioni Single Sign-On).
- Fai clic su Edit (Modifica).
- Seleziona SAML Enabled (SAML abilitato).
- Fai clic su Save (Salva).
- In SAML Single Sign-On Settings (Impostazioni Single Sign-On SAML):
- Fai clic su New (Nuovo).
- Inserisci questi valori:
- Name (Nome):
Axiom Test App
(App di prova Axiom) - Issuer (Emittente):
https://axiomsso.herokuapp.com
- Identity Provider Certificate (Certificato provider identità): scegli il file che hai scaricato nel passaggio 3.
- Request Signature Method (Metodo di firma della richiesta): seleziona RSA-SHA1.
- SAML Identity Type (Tipo di identità SAML): seleziona Assertion contains the Federation ID from the User object (L'asserzione contiene l'ID federazione dell'oggetto utente).
- SAML Identity Location (Posizione identità SAML): seleziona Identity is in the NameIdentifier element of the Subject statement (L'identità è nell'elemento NameIdentifier dell'istruzione dell'oggetto).
- Service Provider Initiated Request Binding (Binding della richiesta avviata dal provider di servizi): seleziona HTTP Redirect (Reindirizzamento HTTP).
- Entity ID (ID entità): inserisci l'URL del tuo Dominio personale, che è visualizzato nella pagina di impostazione del Dominio personale dell'organizzazione. Assicurati che l'ID entità contenga "https" e faccia riferimento al dominio Salesforce. Il valore dovrebbe essere simile a questo: https://mydomain-dev-ed.develop.my.salesforce.com.
- Fai clic su Save (Salva) e lascia la pagina del browser aperta.
Passaggio 3: collega il provider di identità a Salesforce
Ora che hai configurato Salesforce in modo che conosca il provider di identità (Axiom), fornisci al provider di identità le informazioni sul provider di servizi (Salesforce).
Devi compilare alcuni campi nel modulo di Axiom seguente. Facile facile. Poiché fornisci le impostazioni SSO di Salesforce, tieni aperte due finestre del browser, una per Salesforce e una per Axiom.
- Torna all'app Web Axiom. Se non hai l'app aperta in una finestra del browser, vai a https://axiomsso.herokuapp.com.
- Fai clic su SAML Identity Provider & Tester (Provider di identità e tester SAML).
- Fai clic su generate a SAML response (genera una risposta SAML).
- Inserisci i valori seguenti. Lascia gli altri campi invariati.
- SAML Version (Versione SAML): 2.0
- Username OR Federated ID (Nome utente o ID federazione): l'ID federazione che hai inserito nella pagina dell'utente Salesforce Sia.
- Issuer (Emittente):
https://axiomsso.herokuapp.com
- Recipient URL (URL destinatario): l'URL riportato nella pagina delle impostazioni Single Sign-On SAML di Salesforce. Non lo vedi? È nella parte inferiore della pagina (nella sezione Endpoint) con l'etichetta URL di accesso.
- Entity ID (ID entità): l'ID entità riportato nella pagina SAML Single Sign-On Settings (Impostazioni Single Sign-On SAML) di Salesforce.
Al termine, la pagina delle impostazioni di Axiom ha un aspetto simile al seguente:
Passaggio 4: verifica che tutto funzioni
OK, ora che è tutto configurato, assicuriamoci che funzioni. Qual è la prova? Naturalmente, un tentativo di accesso che vada a buon fine.
- Nella finestra del browser con le impostazioni di Axiom, fai clic su Request SAML Response (Richiedi risposta SAML). Il pulsante si trova in fondo alla schermata.
- Axiom genera l'asserzione SAML in XML. Ti sembra il linguaggio usato da un robot che comunica con un evaporatore di umidità in mezzo al deserto? Guarda bene. Ti accorgerai che non è così male. Per arrivare alle informazioni interessanti, devi far scorrere il codice XML.
- Fai clic su Login (Accedi).
Se va tutto bene, hai eseguito l'accesso come Sia alla tua pagina iniziale di Salesforce. L'applicazione Axiom ti collega all'organizzazione Salesforce come l'utente a cui hai assegnato l'ID federazione.
Congratulazioni! Hai configurato SSO Salesforce per gli utenti che accedono a Salesforce da un'altra app.
Risorse
- Guida di Salesforce: Flussi SSO SAML
- Guida di Salesforce: Configurazione di Salesforce come fornitore di servizi con Single Sign-On SAML
- Video Salesforce: Configure SAML Single Sign-on with Salesforce as the Identity Provider (Configurare Single Sign-On SAML con Salesforce come provider di identità)