为内部用户设置单点登录

学习目标

完成本模块后，您将能够：

创建联盟 ID。
从第三方身份厂商设置单点登录。
熟悉用于 SAML 请求故障排查的工具。

备注

用中文（简体）学习？在此徽章中，Trailhead 实践挑战验证使用英文。括号中提供了译文，用作参考。在您的 Trailhead playground 中，您需确保 (1) 将区域设置切换为美国，(2) 将语言切换为英语，(3) 仅复制粘贴英文值。按此处说明进行。

查看 Trailhead 本地化语言徽章详细了解如何利用 Trailhead 译文。

单点登录

有了 My Domain 登录 URL，员工可以轻松通过一个安全、好记的 URL 登录您的 Salesforce 组织。

您是否想把它变得更容易，这样他们甚至都不必登录？那就设置单点登录 (SSO) 吧。

SSO 有很多优势。

缩短管理密码的时间。
您的员工不必手动登录到 Salesforce，从而节省时间。您知道吗，用户要花 5 到 20 秒登录一个线上应用程序？加起来也是不少时间呢。
让更多人使用 Salesforce。用户可以发出 Salesforce 记录和报表的链接，他们的收件人可以一键打开。
您可以从一个地方统一管理敏感信息的访问权限。

在本单元，我们向您展示如何设置入站 SSO—用户在其他地方登录，比如内部部署的应用程序，然后无需登录就可以访问 Salesforce。您还可以设置出站 SSO，用户登录到 Salesforce，然后无需再次登录就可以访问其他服务。我们将在另一个模块中讨论那个主题。

牢记 MFA

是否记得我们在第一单元中提到的 MFA 要求？没错，它也适用于 SSO 用户。即使您的员工通过本地应用程序或 SSO 身份提供商访问 Salesforce，他们也必须首先完成 MFA。

虽然我们没有在这里介绍如何将 MFA 应用于 SSO 用户，但请放心，有一种简单的方法可以实现。要将 Salesforce 附带的 MFA 服务用于 SSO 设置，请参阅 Salesforce 帮助中的将 Salesforce MFA 用于 SSO。或者，如果您的 SSO 提供商提供 MFA 服务，您可以在用户登录到您的提供商时（而不是在他们访问 Salesforce 时）要求 MFA。

配置与第三方身份提供商的入站 SSO

我们开始配置与第三方身份提供商的入站 SSO。

IT 部门的领导 Sean Sollo 让您为 Salesforce 用户设置 SSO，这样他们可以通过 Jedeye 网络凭据登录您的 Salesforce 组织。我们将指导您一步一步为 Jedeye Tech 的新员工 Sia Thripio 设置 SSO。您将以 Axiom Heroku Web 应用程序作为身份提供商设置入站 SSO。

听起来是不是有点难？倒也不难。我们把它分成若干简单的步骤。

为每个用户创建联盟 ID。
在 Salesforce 中设置 SSO 设置。
在 SSO 提供商中设置 Salesforce 设置。
确保一切正确无误。

步骤 1：创建联盟 ID

设置 SSO 时，您使用一个唯一属性来识别每个用户的身份。这个属性是一个链接，把 Salesforce 用户与第三方身份提供商关联起来。您可以使用用户名、用户 ID 或联盟 ID。我们将使用联盟 ID。

联盟 ID 并不属于一家设计邪恶的星际运输组织所有。它本质上是身份验证行业用来指代唯一的用户 ID 的一个名称。

通常您在设置用户帐户时会分配一个联盟 ID。当您在生产环境中设置 SSO 时，您可以通过 Salesforce Data Loader 这样的工具为许多用户一次性分配联盟 ID。眼下，我们只为 Jedeye Tech 的新员工 Sia Thripio 设置帐户。

从“设置”中，在“快速查找”框中输入 Users（用户），然后选择用户。
单击 Sia 名字旁边的编辑。
在“单点登录信息”下面，输入联盟 ID：sia@jedeye-tech.com。提示：在一个组织中每个用户的联盟 ID 必须是唯一的。正因为如此用户名很方便。不过如果用户属于多个组织，对于这个用户，在每个组织中使用同一个联盟 ID。
单击 Save（保存）。

步骤 2：在 Salesforce 中设置您的 SSO 提供商

您的服务提供商需要知道您的身份提供商，反之亦然。在这一步中，您在 Salesforce 这边，提供关于身份提供商的信息，这里是 Axiom。在下一步，您向 Axiom 提供关于 Salesforce 的信息。

在 Salesforce 这边，我们配置 SAML 设置。SAML 是 Salesforce Identity 用来实施 SSO 的协议。

提示：您将同时在 Salesforce 开发组织和 Axiom 应用程序中操作。分别在浏览器窗口中打开它们，这样您可以在两者之间复制粘贴。

在一个新浏览器窗口中，打开 https://axiomsso.herokuapp.com。
单击 SAML Identity Provider & Tester（SAML 身份提供商和测试人员）。
单击 Download the Identity Provider Certificate（下载身份提供商证书）。稍后您要把该证书上传到您的 Salesforce 组织，所以记住您把它保存在哪里了。
在您的 Salesforce 组织中，从“设置”中，在“快速查找”框中输入 Single（单点），然后选择单点登录设置。
单击编辑。
选择 SAML 已启用。
单击保存。
在 SAML 单点登录设置中：
1. 单击新建。
2. 输入以下值。
  - 名称：Axiom Test App
  - 颁发机构：https://axiomsso.herokuapp.com
  - 身份提供商证书：选择您在步骤 3 中下载的文件。
  - 请求签名方法：选择 RSA-SHA1。
  - SAML 身份类型：选择声明包含来自用户对象的联盟 ID。
  - SAML 身份位置：选择身份在主题声明的 NameIdentifier 元素中。
  - 服务提供商发起的请求绑定：选择 HTTP 重新引导。
  - 实体 ID：输入您的 My Domain URL，显示在您组织的 My Domain URL 设置页面。确保实体 ID 包含“https”并且引用 Salesforce 域。它应该看起来是这样的：https://mydomain-dev-ed.develop.my.salesforce.com。
单击保存，保持浏览器页面打开。

步骤 3：把您的身份提供商链接到 Salesforce

既然您已经配置 Salesforce，知道身份提供商是谁 (Axiom)，您可以告诉您的身份提供商您的服务提供商的信息 (Salesforce)。

您在下面的 Axiom 表格里填写几个字段，非常简单。因为您在提供 Salesforce SSO 设置，保持两个浏览器窗口打开，一个是 Salesforce，一个是 Axiom。

返回 Axiom Web 应用程序。如果没有在浏览器窗口中打开这个应用程序，请转到 https://axiomsso.herokuapp.com。
单击 SAML Identity Provider & Tester（SAML 身份提供商和测试人员）。
单击生成 SAML 响应。
输入以下值。保持其他字段不变。
- SAML 版本：2.0
- 用户名或联盟 Id：Sia 的 Salesforce 用户页面的联盟 ID
- 颁发机构：https://axiomsso.herokuapp.com
- 收件人 URL：Salesforce SAML 单点登录设置页面的 URL没看到？它在页面底部（端点部分），标记为登录 URL。
- 实体 ID：Salesforce SAML 单点登录设置页面的实体 ID。

完成后，Axiom 设置页面看起来是这样的：

Axiom 设置页

步骤 4：确保一切正确无误

好，现在所有东西都配置好了，我们来确保它正常工作。怎么证明呢？当然是一次成功的登录了。

在 Axiom 设置浏览器窗口中，点击 Request SAML Response（请求 SAML 响应）。（它在最下面。）
Axiom 生成 XML 格式的 SAML 声明。看起来是不是像机器人与沙漠前哨的水分蒸发器交流时用的语言？再看一眼。您可以看出其实看起来没有那么糟糕。要想得到有趣的信息，浏览 XML。
单击登录。

如果一切正常，您已经以 Sia 的身份登录您的 Salesforce 主页。Axiom 应用程序把您作为具有分配的联盟 ID 的用户登录进您的 Salesforce 组织。

恭喜！您刚刚为您的用户配置了 Salesforce SSO，他们从另一个应用程序访问 Salesforce。请站在舞台的最高处，领取您的徽章。