Skip to main content

Configurare l'accesso tramite Single Sign-On per gli utenti interni

Obiettivi di apprendimento

Al completamento di questo modulo, sarai in grado di:

  • Creare un ID federazione.
  • Configurare il Single Sign-On (SSO) da un provider di identità di terze parti.
  • Utilizzare gli strumenti per la risoluzione dei problemi delle richieste SAML.
Nota

Nota

Stai seguendo la formazione in italiano? Inizia la sfida in un Trailhead Playground in italiano e utilizza le traduzioni fornite tra parentesi per la navigazione. Per quanto riguarda i valori da inserire, copia e incolla solo quelli in lingua inglese, perché la convalida della sfida è basata sul fatto che i dati siano in inglese. Se non superi la sfida nella tua organizzazione italiana, ti consigliamo di (1) selezionare Stati Uniti per le impostazioni internazionali, (2) selezionare Inglese per la lingua seguendo le istruzioni riportate qui e, successivamente, (3) fare nuovamente clic sul pulsante "Controlla la sfida".

Visita il badge Trailhead nella tua lingua per informazioni dettagliate su come usufruire dell'esperienza Trailhead in altre lingue.

Single Sign-On

L'URL di accesso del Dominio personale semplifica l'accesso dei dipendenti all'organizzazione Salesforce grazie a un URL sicuro e facile da ricordare. 

Se vuoi semplificare ulteriormente la procedura in modo da evitare del tutto l'accesso, puoi farlo configurando il Single Sign-On (SSO).

SSO offre numerosi vantaggi.

  • Riduce l'impegno necessario per la gestione delle password.
  • I dipendenti risparmiano tempo perché non devono accedere manualmente a Salesforce. Sapevi che gli utenti impiegano da 5 a 20 secondi per accedere a un'applicazione online? Sono secondi che si accumulano.
  • Sempre più persone utilizzano Salesforce. Gli utenti possono inviare i link ai record e ai rapporti Salesforce e i destinatari possono aprirli con un solo clic.
  • Puoi gestire l'accesso alle informazioni sensibili da un unico posto.

In questa unità, vedremo come si configura l'accesso tramite SSO in entrata: gli utenti eseguono l'accesso altrove, ad esempio su un'app locale, e poi accedono a Salesforce senza dover ripetere la procedura. Puoi anche configurare l'accesso tramite SSO in uscita per consentire agli utenti di accedere a Salesforce e poi ad altri servizi senza dover ripetere la procedura.

Applicabilità del requisito MFA

Ricordi il requisito relativo all'autenticazione a più fattori, o MFA, a cui abbiamo accennato nella prima unità? Ebbene sì, è valido anche per gli utenti per cui è abilitato l'accesso SSO. Anche se i dipendenti accedono a Salesforce attraverso un'app on-premise o un provider di identità SSO, devono prima superare l'autenticazione MFA.

In questa sezione non parleremo di come applicare la MFA agli utenti per cui è abilitato l'accesso SSO, ma ti assicuriamo che esiste un modo facile per farlo. Per utilizzare il servizio MFA incluso in Salesforce per la configurazione dell'SSO, vedi Uso della MFA di Salesforce per l'SSO nella Guida di Salesforce. Se invece il provider SSO offre un servizio MFA, puoi rendere obbligatoria l'autenticazione MFA quando gli utenti accedono al provider invece che quando accedono a Salesforce.

Configurare l'accesso tramite SSO in entrata con un provider di identità di terze parti

Iniziamo configurando l'accesso tramite SSO in entrata con un provider di identità di terze parti.

Il responsabile del reparto IT, Sean Sollo, ti ha chiesto di configurare gli utenti Salesforce con SSO, in modo che possano accedere all'organizzazione Salesforce con le proprie credenziali di rete Jedeye. Qui illustreremo i passaggi necessari per configurare SSO per una nuova dipendente di Jedeye Tech, Sia Thripio. Per la configurazione dell'accesso tramite SSO in entrata utilizzerai l'app web Axiom Heroku come provider di identità.

Sembra complicato come inizio? In realtà non lo è. Suddividiamo questa operazione in alcuni semplici passaggi.

  1. Creare un ID federazione per ogni utente.
  2. Configurare le impostazioni SSO in Salesforce.
  3. Configurare le impostazioni di Salesforce nel provider SSO.
  4. Verificare che tutto funzioni.

Passaggio 1: crea un ID federazione

Quando configuri l'accesso tramite SSO, usi un attributo univoco per identificare ciascun utente. Questo attributo è il collegamento che associa l'utente Salesforce al provider di identità di terze parti. Puoi utilizzare un nome utente, un ID utente o un ID federazione. Qui utilizzeremo un ID federazione.

No, un ID federazione non è di proprietà di un'organizzazione interstellare con propositi nefasti. In sostanza, è un termine che il settore della gestione delle identità utilizza per fare riferimento a un ID utente univoco.

In genere, si assegna un ID federazione quando si configura un account utente. Se configuri SSO nell'ambiente di produzione, puoi assegnare l'ID federazione a molti utenti simultaneamente utilizzando strumenti come Data Loader di Salesforce. Per il momento, configuriamo un account per la nuova dipendente di Jedeye Tech, Sia Thripio.

  1. In Setup (Imposta), inserisci Users (Utenti) nella casella Quick Find (Ricerca veloce), quindi seleziona Users (Utenti).
  2. Fai clic su Modifica accanto al nome di Sia.
  3. In Single Sign On Information (Informazioni Single Sign-On), inserisci sia@jedeye-tech.com in Federation ID (ID federazione). Suggerimento: un ID federazione deve essere univoco per ogni utente di un'organizzazione. Ecco perché il nome utente è pratico. Ma se l'utente appartiene a più organizzazioni, devi utilizzare lo stesso ID federazione per quell'utente in tutte le organizzazioni. 

Pagina delle impostazioni SSO in cui Federation ID (ID federazione) è evidenziato.

  1. Fai clic su Save (Salva).

Passaggio 2: configura il provider SSO in Salesforce

Il provider di servizi deve avere informazioni sul provider di identità e viceversa. In questo passaggio, sei sul lato Salesforce e fornisci informazioni sul provider di identità, in questo caso Axiom. Nel passaggio successivo, fornirai ad Axiom informazioni su Salesforce.

Sul lato Salesforce, configuriamo le impostazioni SAML. SAML è il protocollo utilizzato da Salesforce Identity per implementare SSO.

Suggerimento: lavorerai sia nell'organizzazione Salesforce di sviluppo, sia nell'app Axiom. Tienile aperte in finestre separate del browser in modo da poter copiare e incollare dati da una all'altra.

  1. In una nuova finestra del browser, accedi a https://axiomsso.herokuapp.com.
  2. Fai clic su SAML Identity Provider & Tester (Provider di identità e tester SAML).
  3. Fai clic su Download the Identity Provider Certificate (Scarica certificato del provider di identità). Tra poco caricherai questo certificato nell'organizzazione Salesforce, quindi ricorda dove lo salvi.
  4. Nell'organizzazione Salesforce, in Setup (Imposta), inserisci Single nella casella Quick Find (Ricerca veloce) e poi seleziona Single Sign-On Settings (Impostazioni Single Sign-On).
  5. Fai clic su Edit (Modifica).
  6. Seleziona SAML Enabled (SAML abilitato).
  7. Fai clic su Save (Salva).
  8. In SAML Single Sign-On Settings (Impostazioni Single Sign-On SAML):
    • Fai clic su New (Nuovo).
    • Inserisci questi valori:
      • Name (Nome): Axiom Test App (App di prova Axiom)
      • Issuer (Emittente): https://axiomsso.herokuapp.com
      • Identity Provider Certificate (Certificato provider identità): scegli il file che hai scaricato nel passaggio 3.
      • Request Signature Method (Metodo di firma della richiesta): seleziona RSA-SHA1.
      • SAML Identity Type (Tipo di identità SAML): seleziona Assertion contains the Federation ID from the User object (L'asserzione contiene l'ID federazione dell'oggetto utente).
      • SAML Identity Location (Posizione identità SAML): seleziona Identity is in the NameIdentifier element of the Subject statement (L'identità è nell'elemento NameIdentifier dell'istruzione dell'oggetto).
      • Service Provider Initiated Request Binding (Binding della richiesta avviata dal provider di servizi): seleziona HTTP Redirect (Reindirizzamento HTTP).
      • Entity ID (ID entità): inserisci l'URL del tuo Dominio personale, che è visualizzato nella pagina di impostazione del Dominio personale dell'organizzazione. Assicurati che l'ID entità contenga "https" e faccia riferimento al dominio Salesforce. Il valore dovrebbe essere simile a questo: https://mydomain-dev-ed.develop.my.salesforce.com.

Pagina SAML Single Sign-On Settings (Impostazioni Single Sign-On SAML) dove i valori sono stati compilati.

  1. Fai clic su Save (Salva) e lascia la pagina del browser aperta.

Ora che hai configurato Salesforce in modo che conosca il provider di identità (Axiom), fornisci al provider di identità le informazioni sul provider di servizi (Salesforce).

Devi compilare alcuni campi nel modulo di Axiom seguente. Facile facile. Poiché fornisci le impostazioni SSO di Salesforce, tieni aperte due finestre del browser, una per Salesforce e una per Axiom.

  1. Torna all'app Web Axiom. Se non hai l'app aperta in una finestra del browser, vai a https://axiomsso.herokuapp.com.
  2. Fai clic su SAML Identity Provider & Tester (Provider di identità e tester SAML).
  3. Fai clic su generate a SAML response (genera una risposta SAML).
  4. Inserisci i valori seguenti. Lascia gli altri campi invariati.
    • SAML Version (Versione SAML): 2.0
    • Username OR Federated ID (Nome utente o ID federazione): l'ID federazione che hai inserito nella pagina dell'utente Salesforce Sia.
    • Issuer (Emittente): https://axiomsso.herokuapp.com
    • Recipient URL (URL destinatario): l'URL riportato nella pagina delle impostazioni Single Sign-On SAML di Salesforce. Non lo vedi? È nella parte inferiore della pagina (nella sezione Endpoint) con l'etichetta URL di accesso.
    • Entity ID (ID entità): l'ID entità riportato nella pagina SAML Single Sign-On Settings (Impostazioni Single Sign-On SAML) di Salesforce.

Pagina Single Sign-On Settings (Impostazioni Single Sign-On) dopo il salvataggio, in cui sono evidenziati Entity ID (ID entità) e Login URL (URL di accesso).

Al termine, la pagina delle impostazioni di Axiom ha un aspetto simile al seguente:

Pagina delle impostazioni di Axiom in cui i valori sono compilati.

Passaggio 4: verifica che tutto funzioni

OK, ora che è tutto configurato, assicuriamoci che funzioni. Qual è la prova? Naturalmente, un tentativo di accesso che vada a buon fine.

  1. Nella finestra del browser con le impostazioni di Axiom, fai clic su Request SAML Response (Richiedi risposta SAML). Il pulsante si trova in fondo alla schermata.
  2. Axiom genera l'asserzione SAML in XML. Ti sembra il linguaggio usato da un robot che comunica con un evaporatore di umidità in mezzo al deserto? Guarda bene. Ti accorgerai che non è così male. Per arrivare alle informazioni interessanti, devi far scorrere il codice XML. 

Risposta SAML generata da Axiom.

  1. Fai clic su Login (Accedi).

Se va tutto bene, hai eseguito l'accesso come Sia alla tua pagina iniziale di Salesforce. L'applicazione Axiom ti collega all'organizzazione Salesforce come l'utente a cui hai assegnato l'ID federazione.

Congratulazioni! Hai configurato SSO Salesforce per gli utenti che accedono a Salesforce da un'altra app.

Risorse

Condividi il tuo feedback su Trailhead dalla Guida di Salesforce.

Conoscere la tua esperienza su Trailhead è importante per noi. Ora puoi accedere al modulo per l'invio di feedback in qualsiasi momento dal sito della Guida di Salesforce.

Scopri di più Continua a condividere il tuo feedback