Configurare l'accesso tramite Single Sign-On per gli utenti interni

Obiettivi di apprendimento

Al completamento di questo modulo, sarai in grado di:

Creare un ID federazione.
Configurare il Single Sign-On (SSO) da un provider di identità di terze parti.
Utilizzare gli strumenti per la risoluzione dei problemi delle richieste SAML.

Nota

Stai seguendo la formazione in italiano? In questo badge, la convalida delle sfide pratiche di Trailhead funziona in inglese. Le traduzioni sono fornite tra parentesi come riferimento. Nel tuo Trailhead Playground, accertati di (1) selezionare Stati Uniti per le impostazioni internazionali, (2) impostare la lingua su Inglese e (3) copiare e incollare soltanto i valori in lingua inglese. Segui le istruzioni qui.

Visita il badge Trailhead nella tua lingua per informazioni dettagliate su come usufruire dell'esperienza Trailhead in altre lingue.

Single Sign-On

L'URL di accesso del Dominio personale semplifica l'accesso dei dipendenti all'organizzazione Salesforce grazie a un URL sicuro e facile da ricordare.

Se vuoi semplificare ulteriormente la procedura in modo da evitare del tutto l'accesso, puoi farlo configurando il Single Sign-On (SSO).

SSO offre numerosi vantaggi.

Riduce l'impegno necessario per la gestione delle password.
I dipendenti risparmiano tempo perché non devono accedere manualmente a Salesforce. Sapevi che gli utenti impiegano da 5 a 20 secondi per accedere a un'applicazione online? Sono secondi che si accumulano.
Sempre più persone utilizzano Salesforce. Gli utenti possono inviare i link ai record e ai rapporti Salesforce e i destinatari possono aprirli con un solo clic.
Puoi gestire l'accesso alle informazioni sensibili da un unico posto.

In questa unità, vedremo come si configura l'accesso tramite SSO in entrata: gli utenti eseguono l'accesso da un'altra parte, ad esempio da un'app locale, e poi accedono a Salesforce senza dover ripetere la procedura. Puoi anche configurare l'accesso tramite SSO in uscita per consentire agli utenti di accedere a Salesforce e poi ad altri servizi senza dover accedere di nuovo. Tratteremo questo argomento in un altro modulo.

Applicabilità del requisito MFA

Ricordi il requisito relativo all'autenticazione a più fattori, o MFA, a cui abbiamo accennato nella prima unità? Ebbene sì, è valido anche per gli utenti per cui è abilitato l'accesso SSO. Anche se i dipendenti accedono a Salesforce attraverso un'app on-premise o un provider di identità SSO, devono prima superare l'autenticazione MFA.

In questa sezione non parleremo di come applicare la MFA agli utenti per cui è abilitato l'accesso SSO, ma ti assicuriamo che esiste un modo facile per farlo. Per utilizzare il servizio MFA incluso in Salesforce con la configurazione SSO in uso, vedi Uso della MFA di Salesforce per l'SSO nella Guida di Salesforce. Se invece il provider SSO offre un servizio MFA, puoi rendere obbligatoria l'autenticazione MFA quando gli utenti accedono al provider invece che quando accedono a Salesforce.

Configurare l'accesso tramite SSO in entrata con un provider di identità di terze parti

Iniziamo configurando l'accesso tramite SSO in entrata con un provider di identità di terze parti.

Il responsabile del reparto IT, Sean Sollo, ti ha chiesto di configurare gli utenti Salesforce con SSO, in modo che possano accedere all'organizzazione Salesforce con le proprie credenziali di rete Jedeye. Qui illustreremo i passaggi necessari per configurare SSO per una nuova dipendente di Jedeye Tech, Sia Thripio. Per la configurazione dell'accesso tramite SSO in entrata utilizzerai l'app web Axiom Heroku come provider di identità.

Sembra complicato come inizio? In realtà non lo è. Suddividiamo questa operazione in alcuni semplici passaggi.

Creare un ID federazione per ogni utente.
Configurare le impostazioni SSO in Salesforce.
Configurare le impostazioni di Salesforce nel provider SSO.
Verificare che tutto funzioni.

Passaggio 1: crea un ID federazione

Quando configuri l'accesso tramite SSO, usi un attributo univoco per identificare ciascun utente. Questo attributo è il collegamento che associa l'utente Salesforce al provider di identità di terze parti. Puoi utilizzare un nome utente, un ID utente o un ID federazione. Qui utilizzeremo un ID federazione.

No, un ID federazione non è di proprietà di un'organizzazione interstellare con propositi nefasti. In sostanza, è un termine che il settore della gestione delle identità utilizza per fare riferimento a un ID utente univoco.

In genere, si assegna un ID federazione quando si configura un account utente. Se configuri SSO nell'ambiente di produzione, puoi assegnare l'ID federazione a molti utenti simultaneamente utilizzando strumenti come Data Loader di Salesforce. Per il momento, configuriamo un account per la nuova dipendente di Jedeye Tech, Sia Thripio.

In Imposta, inserisci Users (Utenti) nella casella Ricerca veloce, quindi seleziona Utenti.
Fai clic su Modifica accanto al nome di Sia.
In Informazioni Single Sign-On, inserisci l'ID federazione: sia@jedeye-tech.com. Suggerimento : un ID federazione deve essere univoco per ogni utente di un'organizzazione. Ecco perché il nome utente è pratico. Ma se l'utente appartiene a più organizzazioni, devi utilizzare lo stesso ID federazione per quell'utente in tutte le organizzazioni.
Fai clic su Salva.

Passaggio 2: configura il provider SSO in Salesforce

Il provider di servizi deve avere informazioni sul provider di identità e viceversa. In questo passaggio, sei sul lato Salesforce e fornisci informazioni sul provider di identità, in questo caso Axiom. Nel passaggio successivo, fornirai ad Axiom informazioni su Salesforce.

Sul lato Salesforce, configuriamo le impostazioni SAML. SAML è il protocollo utilizzato da Salesforce Identity per implementare SSO.

Suggerimento: lavorerai sia nell'organizzazione Salesforce di sviluppo, sia nell'app Axiom. Tienile aperte in finestre separate del browser in modo da poter copiare e incollare dati da una all'altra.

In una nuova finestra del browser, accedi a https://axiomsso.herokuapp.com.
Fai clic su SAML Identity Provider & Tester (Provider di identità e tester SAML).
Fai clic su Download the Identity Provider Certificate (Scarica certificato del provider di identità). Tra poco caricherai questo certificato nell'organizzazione Salesforce, quindi ricorda dove lo salvi.
Nell'organizzazione Salesforce, in Imposta, inserisci Single nella casella Ricerca veloce e poi seleziona Impostazioni Single Sign-On.
Fai clic su Modifica.
Seleziona SAML abilitato.
Fai clic su Salva.
In Impostazioni Single Sign-On SAML:
1. Fai clic su Nuovo.
2. Inserisci i valori seguenti.
  - Nome: Axiom Test App (App di prova Axiom)
  - Issuer (Emittente): https://axiomsso.herokuapp.com
  - Certificato provider identità: scegli il file che hai scaricato nel passaggio 3.
  - Metodo di firma della richiesta: seleziona RSA-SHA1.
  - Tipo di identità SAML: seleziona L'asserzione contiene l'ID federazione dell'oggetto utente.
  - Posizione identità SAML: seleziona L'identità è nell'elemento NameIdentifier dell'istruzione dell'oggetto.
  - Binding della richiesta avviata dal provider di servizi: seleziona Reindirizzamento HTTP.
  - ID entità: inserisci l'URL del tuo Dominio personale, che è visualizzato nella pagina di impostazione del Dominio personale dell'organizzazione. Assicurati che l'ID entità contenga "https" e faccia riferimento al dominio Salesforce. Dovrebbe essere simile a questo: https://mydomain-dev-ed.develop.my.salesforce.com.
Fai clic su Salva e lascia la pagina del browser aperta.

Passaggio 3: collega il provider di identità a Salesforce

Ora che hai configurato Salesforce in modo che conosca il provider di identità (Axiom), fornisci al provider di identità le informazioni sul provider di servizi (Salesforce).

Devi compilare alcuni campi nel modulo di Axiom seguente. Facile facile. Poiché fornisci le impostazioni SSO di Salesforce, tieni aperte due finestre del browser, una per Salesforce e una per Axiom.

Torna all'app Web Axiom. Se non hai l'app aperta in una finestra del browser, vai a https://axiomsso.herokuapp.com.
Fai clic su SAML Identity Provider & Tester (Provider di identità e tester SAML).
Fai clic su generate a SAML response (genera una risposta SAML).
Inserisci i valori seguenti. Lascia gli altri campi invariati.
- SAML Version (Versione SAML): 2.0
- Username OR Federated ID (Nome utente o ID federazione): l'ID federazione che hai inserito nella pagina dell'utente Salesforce Sia.
- Issuer (Emittente): https://axiomsso.herokuapp.com
- Recipient URL (URL destinatario): l'URL riportato nella pagina delle impostazioni Single Sign-On SAML di Salesforce. Non lo vedi? È nella parte inferiore della pagina (nella sezione Endpoint) con l'etichetta URL di accesso.
- Entity ID (ID entità): l'ID entità riportato nella pagina delle SAML Single Sign-On Settings (Impostazioni Single Sign-On SAML) di Salesforce.

Al termine, la pagina delle impostazioni di Axiom ha un aspetto simile al seguente:

Pagina delle impostazioni di Axiom

Passaggio 4: verifica che tutto funzioni

OK, ora che è tutto configurato, assicuriamoci che funzioni. Qual è la prova? Naturalmente, un tentativo di accesso che vada a buon fine.

Nella finestra del browser con le impostazioni di Axiom, fai clic su Request SAML Response (Richiedi risposta SAML). Il pulsante si trova in fondo alla schermata.
Axiom genera l'asserzione SAML in XML. Ti sembra il linguaggio usato da un robot che comunica con un evaporatore di umidità in mezzo al deserto? Guarda bene. Ti accorgerai che non è così male. Per arrivare alle informazioni interessanti, devi scorrere il codice XML.
Fai clic su Login (Accedi).

Se va tutto bene, hai eseguito l'accesso come Sia alla tua pagina iniziale di Salesforce. L'applicazione Axiom ti collega all'organizzazione Salesforce come l'utente a cui hai assegnato l'ID federazione.

Congratulazioni! Hai configurato SSO Salesforce per gli utenti che accedono a Salesforce da un'altra app. Puoi salire sul palco e ritirare il tuo badge.