Configurar um login único para seus usuários internos

Objetivos de aprendizagem

Após concluir este módulo, você estará apto a:
  • Criar uma ID de federação.
  • Configurar um logon único de um provedor de identidade externo.
  • Conhecer as ferramentas usadas para solucionar as solicitações SAML.

Logon único

Com um domínio personalizado e uma página de login, fica mais fácil que os funcionários façam o login na sua organização do Salesforce com uma URL que seja segura e fácil de lembrar. 

Quer facilitar as coisas ainda mais para que eles não precisem nem fazer o login? Basta configurar o logon único (SSO).

O SSO oferece várias vantagens.
  • Você passará menos tempo gerenciando senhas.
  • Seus funcionários economizarão tempo por não precisarem fazer o login manual no Salesforce. Sabia que os usuários levam de cinco a vinte segundos para fazer o login de um aplicativo online? Esses segundos vão se acumulando.
  • Mais gente usa o Salesforce. Os usuários podem distribuir links para os registros e relatórios do Salesforce, e os destinatários desses materiais poderão abri-los com apenas um clique.
  • É possível gerenciar o acesso a dados confidenciais a partir de um único lugar.

Nesta unidade, veremos como configurar SSOs de entrada – por meio dos quais os usuários façam o login em algum outro lugar, como um aplicativo on-premise, e depois acessem o Salesforce sem fazer o login. Também é possível definir SSOs de saída, por meio dos quais os usuários façam o login do Salesforce e depois acessem outros serviços sem repetir o processo. Deixemos esse assunto para outro módulo.

Configurar o SSO de entrada com um provedor de identidade de terceiros

Vamos começar a configurar o SSO de entrada com um provedor de identidade de terceiros.

O chefe do seu departamento de TI, Sean Sollo, pede para você configurar os usuários do Salesforce com um SSO para que eles possam fazer o login da sua organização do Salesforce com as credenciais da rede da Jedai. Nesta seção, mostraremos um passo a passo de como configurar um SSO para a nova funcionária da Jedai Tech, Cê Treispeo. Você configurará um SSO de entrada usando o aplicativo da Web Axiom Heroku como provedor de identidade.

Parece que eu estou falando grego? Não se preocupe, é mais fácil do que parece! Melhor dividir o processo em alguns passos mais simples.

  1. Crie uma ID de federação para cada usuário.
  2. Defina as configurações de SSO no Salesforce.
  3. Defina as configurações do Salesforce no provedor de SSO.
  4. Confira se está tudo funcionando.

Você lembra qual é o pré-requisito do SSO? Isso mesmo, um domínio personalizado. Como você já concluiu a unidade sobre a configuração do seu domínio personalizado, não falta mais nada.

Passo 1: Criar uma ID de federação

Ao configurar um SSO, usamos um atributo único para identificar cada usuário. Esse atributo é o link que conecta os usuários do Salesforce com o provedor de identidade externo. Você pode usar um nome de usuário, uma ID de usuário ou uma ID de federação. No exemplo em questão, vamos usar uma ID de federação.

E não é o que você está pensando: as IDs de federação não servem para organizações de viagem interestelar com segundas intenções. Esse é apenas um termo usado na área de identidade para mencionar uma ID única por usuário.

Em geral, atribuímos uma ID de federação ao configurar uma conta de usuário. Quando você configura um SSO no seu ambiente de produção, é possível atribuir uma ID de federação para vários usuários de uma vez com ferramentas como o Data Loader do Salesforce. Por enquanto, vamos configurar uma conta para a nova funcionária da Jedai Tech, Cê Treispeo.

  1. Em Configuração, insira Usuários na caixa Busca rápida e selecione Usuários.
  2. Clique em Editar ao lado do nome da Cê.
  3. Em Informações do logon único, insira a ID de federação: sia@jedeye-tech.com. Dica: Uma ID de federação deve ser exclusiva para cada usuário em uma organização. É por isso que o nome de usuário é importante. Mas se o usuário pertence a várias organizações, use a mesma ID de federação para ele em cada organização. ID de federação das configurações de SSO
  4. Clique em Salvar.

Passo 2: Configurar seu provedor SSO no Salesforce

Seu prestador de serviços precisa saber sobre seu provedor de identidade e vice-versa. Nesta etapa, você está do lado do Salesforce fornecendo informações sobre o provedor de identidade que, no caso em questão, é o Axiom. Na próxima etapa, você passará informações sobre o Salesforce para o Axiom.

Da parte do Salesforce, definiremos as configurações SAML. O protocolo SAML é usado pelo Salesforce Identity para implementar SSO.

Dica: Você trabalhará tanto na sua organização de desenvolvimento do Salesforce quanto no aplicativo Axiom. Mantenha ambos abertos em janelas diferentes do navegador para poder copiar e colar informações entre os dois.

  1. Em uma nova janela do navegador, acesse http://axiomsso.herokuapp.com.
  2. Clique em Teste e provedor de identidade SAML.
  3. Clique em Baixar o certificado do provedor de identidade. Você carregará esse certificado para a organização do Salesforce mais tarde; portanto, não esqueça onde ele foi armazenado.
  4. Na organização do Salesforce, em Configuração, insira Único na caixa Busca rápida e selecione Configurações de login único.
  5. Clique em Editar.
  6. Selecione Habilitar SAML.
  7. Clique em Salvar.
  8. Em Configurações de logon único SAML:
    1. Clique em Novo.
    2. Insira os valores a seguir.
      • Nome: Aplicativo de teste do Axiom
      • Emissor: http://axiomsso.herokuapp.com
      • Certificado do provedor de identidade: escolha o arquivo baixado na terceira etapa.
      • Método de assinatura de solicitação: Selecione RSA-SHA1.
      • Tipo de identidade SAML: selecione A declaração contém a ID de federação do objeto do usuário.
      • Localização da identidade SAML: selecione A identidade está no elemento NameIdentifier da instrução Assunto.
      • Vinculação de solicitação iniciada pelo prestador de serviços: selecione Redirecionamento HTTP.
      • ID de entidade: Insira o nome do recurso Meu domínio, que pode ser copiado do nome de subdomínio definido por você na unidade “Personalizar seu processo de login com o recurso Meu domínio”. Verifique se a ID da entidade inclui "https" e faz referência ao domínio do Salesforce. Ela deverá ficar mais ou menos assim: https://mydomain-dev-ed.my.salesforce.com.Página de configurações de SSO para SAML do Salesforce antes de clicar em Salvar
  9. Clique em Salvar e deixe a página do navegador aberta.

Passo 4: Conferir se está tudo funcionando

Ok, agora que todos os elementos já foram configurados, vamos averiguar se está tudo funcionando. Qual é a prova de fogo? Ver se o login dá certo, claro.
  1. Na janela de configurações do navegador do Axiom, clique em Solicitar uma resposta SAML (bem lá para baixo na janela).
  2. O Axiom gerará a declaração SAML no XML. Parece uma linguagem usada por um robô para se comunicar com vaporizadores de umidade de um posto avançado no deserto? Confira de novo. Você pode ver que não está tão ruim assim. Para chegar nas informações do seu interesse, vá descendo pelo XML. Declaração do SAML
  3. Clique em Login.

Se tiver dado tudo certo, você estará conectado como Cê na sua página inicial do Salesforce. O aplicativo Axiom faz seu login na organização do Salesforce como usuário que tem uma ID de federação.

Parabéns! Você acabou de configurar o SSO do Salesforce para seus usuários que forem acessar o Salesforce de outro aplicativo. Suba no palco para receber seu emblema!