Salesforce SSO
本文为您介绍如何在 IDaaS 中配置 Salesforce 单点登录。
操作步骤
一、创建应用
请管理员前往【应用】【应用市场】,搜索到 Salesforce 应用模板。确认应用名后,即可完成添加流程。
添加后,会自动来到 SSO 配置页。
IDaaS 中 Salesforce 应用 SSO 配置页面下方,包含了一系列 Salesforce 完成配置所需要的参数。
点击【下载证书 .cer 文件】进行下载,在后续步骤中上传到 Salesforce 中。
二、配置 Salesforce
1. 前往单点登录设置
请在新的浏览器标签中登录 Salesforce 管理后台。通过右上角齿轮按钮,来到设置。
导航前往【设置】【身份】【单点登录设置】菜单。
提示:若无法打开页面或无响应,可尝试切换浏览器尝试。 部分浏览器会阻止跨域 Cookie,导致页面无法展示。在此情况下,参照页面提示,可以切换到 Salesforce Classic 中编辑和查看。
2. 进行 SAML 配置
在【SAML 单点登录设置】中,点击【新建】,来到配置表单。
页面配置较多,但大部分保持默认即可。您只需将 IDaaS 中 SSO 配置页【应用配置信息】中信息配置进来。
关键字段包括:
字段 | 别称 | 说明 |
姓名 | - | 固定值:IDaaS,可随意填写。 |
API 名称 | - | 固定值:IDaaS,可随意填写。 |
颁发人 | IDP Entity ID | 又称为 IDP Entity ID。 从 IDaaS SSO 配置页【应用配置信息】中获取 |
实体 ID | SP Entity ID | 又称为 SP Entity ID。 必须固定为:http://saml.salesforce.com,两方必须保持一致。 |
身份提供商证书 | 公钥证书 | 从 IDaaS SSO 配置页【应用配置信息】中下载 |
身份供应商登录 URL(选填) | IdP Sign-in URL、SAML SSO URL 等 | 从 IDaaS SSO 配置页【应用配置信息】中获取 当您希望实现 SP 发起 SSO 时需填写。当进行 SP 发起 SSO 时,Salesforce 将向该地址发送 SAML Request 请求,发起单点登录请求。 |
参考下图配置示例:
点击保存后,跳转到配置详情页。请您将页面下方展示的【登录 URL】复制出来,后续需填写到 IDaaS 中。
SSO 配置完成,但默认处于未启用状态。
3. 启用 SAML SSO
您需要重新返回到 Salesforce【单点登录配置】菜单中,点击【编辑】按钮,勾选【SAML 已启用】,保存完成。
三、在 IDaaS 中配置 SSO
切换回 IDaaS 页面。
在创建完 Salesforce 应用后,应跳转到 SSO 配置页。在表单中填写从 Salesforce 中获取的【登录 URL】。
其他选项保持默认,点击保存即可完成全部 SSO 配置。
应用账户:用于 SSO 的身份标识,可参考 SAML 应用账户配置进行配置。 授权范围:出于安全考量,默认需要手动授权。若在进行前期测试,可修改为【全员可访问】
四、尝试 SSO
您已经可以尝试 Salesforce SSO。
请用已授权使用 Salesforce 的 IDaaS 账户,登录到 IDaaS 门户页,点击页面上 Salesforce 图标,发起 SSO,检查配置结果。
