Megosztás a következőn keresztül:

A Salesforce konfigurálása egyszeri bejelentkezéshez

  • Cikk

Ebből a cikkből megtudhatja, hogyan integrálhatja a Salesforce-t a Microsoft Entra ID-val. Ha integrálja a Salesforce-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • A Microsoft Entra ID-ben a Salesforce-hoz való hozzáférés ellenőrzése.
  • Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a Salesforce-ba a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

A cikkben ismertetett forgatókönyv feltételezi, hogy már rendelkezik a következő előfeltételekkel:

Forgatókönyv leírása

Ebben a cikkben a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

  • A Salesforce támogatja az SP által kezdeményezett egyszeri bejelentkezést.

  • A Salesforce támogatja az automatizált felhasználók létrehozását és megszüntetését (ajánlott).

  • A Salesforce támogatja a Just In Time felhasználókiépítést.

  • A Salesforce Mobile-alkalmazás mostantól konfigurálható a Microsoft Entra-azonosítóval az egyszeri bejelentkezés engedélyezéséhez. Ebben a cikkben a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

A Salesforce Microsoft Entra-azonosítóba való integrálásának konfigurálásához fel kell vennie a Salesforce-t a katalógusból a felügyelt SaaS-alkalmazások listájára.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Böngésszen az Identitás>Alkalmazások>Vállalati alkalmazások>Új alkalmazás létrehozása.
  3. A Galériából való hozzáadás szakaszban írja be Salesforce-t a keresőmezőbe.
  4. Válassza a Salesforce lehetőséget az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Salesforce-hoz készült Microsoft Entra SSO konfigurálása és tesztelése

A Microsoft Entra SSO konfigurálása és tesztelése a Salesforce-tal egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a Salesforce kapcsolódó felhasználója között.

Microsoft Entra SSO és Salesforce konfigurálásához és teszteléséhez kövesse az alábbi lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
  2. A Salesforce SSO konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Navigáljon az Identity>Alkalmazások>Vállalati alkalmazások>Salesforce>egyszeri bejelentkezés menüponthoz.

  3. A(z) "Jelöljön ki egy egyszeri bejelentkezési módszert" oldalon, válassza a SAML lehetőséget.

  4. Az Egyszeri bejelentkezés beállítása SAML-lel lapon válassza a szerkesztés/toll ikont a Alap SAML konfiguráció beállításainak szerkesztéséhez.

    Alapszintű SAML-konfiguráció szerkesztése

  5. Az Egyszerű SAML-konfiguráció szakaszban adja meg a következő mezők értékeit:

    a. Az Azonosító szövegmezőbe írja be az értéket a következő mintával:

    Vállalati fiók: https://<subdomain>.my.salesforce.com

    Fejlesztői fiók: https://<subdomain>-dev-ed.my.salesforce.com

    b. A Válasz URL-cím szövegmezőbe írja be az értéket a következő mintával:

    Vállalati fiók: https://<subdomain>.my.salesforce.com

    Fejlesztői fiók: https://<subdomain>-dev-ed.my.salesforce.com

    c. A Bejelentkezési URL-cím szövegmezőbe írja be az értéket a következő mintával:

    Vállalati fiók: https://<subdomain>.my.salesforce.com

    Fejlesztői fiók: https://<subdomain>-dev-ed.my.salesforce.com

    Feljegyzés

    Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba a Salesforce ügyféltámogatási csapatával .

  6. Az SAML-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját, és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.

    A tanúsítvány letöltési hivatkozása

  7. A Salesforce beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.

    Konfigurációs URL-címek másolása

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót hoz létre.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
  2. Navigáljon a Identitás>Felhasználók>Minden felhasználó menüponthoz.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználói főnév mezőbe írja be:username@companydomain.extension. Például: B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Válassza az Áttekintés + létrehozás lehetőséget.
  5. Válassza a Létrehozás lehetőséget.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon a Salesforce-hoz való hozzáférés biztosításával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Böngésszen az Identity>Alkalmazások>Vállalati alkalmazások>Salesforce között.
  3. Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
  4. Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
    1. A Felhasználók és csoportok párbeszédpanelen válassza B.Simon a Felhasználók listából, majd válassza a képernyő alján található kijelölése gombot.
    2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, kiválaszthatja azt a Szerepkör kiválasztása legördülő listából. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
    3. A Hozzárendelés hozzáadása párbeszédpanelen válassza a Hozzárendelés gombot.

A Salesforce SSO konfigurálása

  1. Egy másik böngészőablakban jelentkezzen be a Salesforce vállalati webhelyére rendszergazdaként

  2. A lap jobb felső sarkában válassza a Beállítás lehetőséget a beállítások ikon alatt.

    Egyszeri bejelentkezés beállításainak konfigurálása ikon

  3. Görgessen le a BEÁLLÍTÁSOK-hoz a navigációs panelen, és válassza az Identity lehetőséget a kapcsolódó szakasz kibontásához. Ezután válassza az Egyszeri Sign-On Beállításoklehetőséget.

    Egyszeri bejelentkezés beállításainak konfigurálása

  4. Az Egyszeri Sign-On Beállítások lapon válassza a Szerkesztés gombot.

    Egyszeri bejelentkezés konfigurálása

    Feljegyzés

    Ha nem tudja engedélyezni az egyszeri bejelentkezési beállításokat a Salesforce-fiókjához, előfordulhat, hogy kapcsolatba kell lépnie Salesforce ügyféltámogatási csapatával.

  5. Válassza az SAML engedélyezve opciót, majd a Mentés lehetőséget.

    Egyszeri bejelentkezés SAML-kompatibilis konfigurálása

  6. Az SAML egyszeri bejelentkezési beállításainak konfigurálásához válassza az Új metaadatfájllehetőséget.

    Új egyszeri bejelentkezés konfigurálása metaadatfájlból

  7. Válassza a Fájl kiválasztása lehetőséget a letöltött metaadat-XML-fájl feltöltéséhez, majd válassza a létrehozása lehetőséget.

    Egyszeri bejelentkezés konfigurálása: Fájl kiválasztása

  8. Az SAML egyszeri bejelentkezés beállításai lapon a mezők automatikusan fel lesznek töltve, ha SAML JIT-t szeretne használni, jelölje ki a Felhasználókiépítés engedélyezve lehetőséget, és válassza az SAML-identitástípust, mivel az Assertion a felhasználói objektum összevonási azonosítóját tartalmazza, ellenkező esetben törölje a felhasználókiépítés engedélyezése jelölőnégyzet jelölését, és válassza az SAML-identitástípust, mivel az Assertion tartalmazza a felhasználó Salesforce-felhasználónevét. Válassza a Mentés lehetőséget.

    Egyszeri bejelentkezéses felhasználólétesítés engedélyezése

    Feljegyzés

    Ha konfigurálta az SAML JIT-t, a Microsoft Entra SSO konfigurálása szakaszban kell elvégeznie egy további lépést. A Salesforce alkalmazás konkrét SAML-állításokat vár, amelyekhez az SAML-tokenattribútumok konfigurációjában meghatározott attribútumok szükségesek. Az alábbi képernyőképen a Salesforce által megkövetelt attribútumok listája látható.

    Képernyőkép a JIT-hez szükséges attribútumok panelről.

    Ha továbbra is problémákat tapasztal a felhasználók SAML JIT-vel való üzembe helyezésével kapcsolatban, tekintse meg a just-in-time kiépítési követelményeket és az SAML-érvényesítési mezőket. Ha a JIT meghiúsul, általában olyan hibaüzenet jelenhet meg, mint a We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. A Salesforce bal oldali navigációs ablaktábláján válassza a Vállalati beállítások lehetőséget a kapcsolódó szakasz kibontásához, majd válassza a Saját tartománylehetőséget.

    Egyszeri bejelentkezés saját domain konfigurálása

  10. Görgessen le a Hitelesítési konfiguráció szakaszhoz, és válassza a Szerkesztés gombot.

    Egyszeri bejelentkezéses hitelesítés konfigurációjának konfigurálása

  11. A Hitelesítési konfiguráció szakaszban ellenőrizze a bejelentkezési oldalt és az AzureSSO-t mint Hitelesítési szolgáltatást az Ön SAML SSO konfigurációjában, majd válassza a Mentéslehetőséget.

    Feljegyzés

    Ha több hitelesítési szolgáltatás van kiválasztva, a rendszer arra kéri a felhasználókat, hogy válassza ki, melyik hitelesítési szolgáltatással szeretnének bejelentkezni, miközben egyszeri bejelentkezést kezdeményeznek a Salesforce-környezetbe. Ha nem szeretné, hogy ez megtörténjen, akkor hagyja bejelöletlenül az összes többi hitelesítési szolgáltatást.

Salesforce tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű felhasználó jön létre a Salesforce-ban. A Salesforce támogatja az igény szerinti üzembe helyezést, amely alapértelmezés szerint engedélyezve van. Ebben a szakaszban nincs műveletelem. Ha egy felhasználó még nem létezik a Salesforce-ban, egy újat hoz létre, amikor megpróbál hozzáférni a Salesforce-hoz. A Salesforce támogatja az automatikus felhasználókiépítést is, az automatikus felhasználókiépítés konfigurálásáról itt talál további részleteket.

SSO teszt

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

  • Válassza Az alkalmazás teszteléselehetőséget, ez átirányítja a Salesforce bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.

  • Lépjen közvetlenül a Salesforce bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.

  • Használhatja a Microsoft Saját alkalmazások. Amikor kiválasztja a Salesforce csempét a Saját alkalmazások portálon, automatikusan be kell jelentkeznie ahhoz a Salesforce-hoz, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások portálról további információt a Saját alkalmazások portál bemutatása című témakörben talál.

SSO tesztelése a Salesforce -hoz (Mobile)

  1. Nyissa meg a Salesforce mobilalkalmazást. A bejelentkezési lapon válassza a Egyéni tartomány használatalehetőséget.

    Salesforce mobilalkalmazás – Egyéni tartomány használata

  2. Az Egyéni tartomány szövegmezőbe írja be a regisztrált egyéni tartománynevet, és válassza a Folytatáslehetőséget.

    Salesforce mobilalkalmazás – egyéni tartomány

  3. Adja meg a Microsoft Entra hitelesítő adatait a Salesforce alkalmazásba való bejelentkezéshez, majd válassza a Következőlehetőséget.

    Salesforce mobilalkalmazás – Microsoft Entra hitelesítő adatok

  4. Az alábbiakban látható módon az Hozzáférés engedélyezése lapon válassza az Engedélyezés lehetőséget, hogy hozzáférést adjon a Salesforce alkalmazáshoz.

    Salesforce mobilalkalmazás – Hozzáférés engedélyezése

  5. Végül a sikeres bejelentkezés után megjelenik az alkalmazás kezdőlapja.

    A Salesforce mobilalkalmazás kezdőlapja Salesforce mobilalkalmazás

Alkalmazáshozzáférés megakadályozása helyi fiókokon keresztül

Miután ellenőrizte, hogy az egyszeri bejelentkezés működik-e, és bevezette-e a szervezetben, tiltsa le az alkalmazáshozzáférést helyi hitelesítő adatokkal. Ez biztosítja, hogy a Feltételes hozzáférési szabályzatok, az MFA stb. érvényben legyen a Salesforce-ba való bejelentkezések védelme érdekében.

Kapcsolódó tartalom

Ha Enterprise Mobility + Security E5 vagy más licenccel rendelkezik a Felhőhöz készült Microsoft Defender Appshez, akkor összegyűjtheti az adott termék alkalmazástevékenységeinek naplóját, amely a riasztások vizsgálatakor használható. Az Felhőhöz készült Defender-alkalmazásokban riasztások aktiválhatók, ha a felhasználói, rendszergazdai vagy bejelentkezési tevékenységek nem felelnek meg a szabályzatoknak. Ha összekapcsolja a Microsoft Defender for Cloud Apps alkalmazást a Salesforce-szal, a Salesforce bejelentkezési eseményeit a Microsoft Defender for Cloud Apps gyűjti össze.

Emellett kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.