本文为您介绍如何在 IDaaS 中配置 Salesforce 单点登录。
操作步骤
一、创建应用
请管理员前往【应用】【应用市场】,搜索到 Salesforce 应用模板。确认应用名后,即可完成添加流程。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403925.png)
添加后,会自动来到 SSO 配置页。
IDaaS 中 Salesforce 应用 SSO 配置页面下方,包含了一系列 Salesforce 完成配置所需要的参数。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403926.png)
点击【下载证书 .cer 文件】进行下载,在后续步骤中上传到 Salesforce 中。
二、配置 Salesforce
1. 前往单点登录设置
请在新的浏览器标签中登录 Salesforce 管理后台。通过右上角齿轮按钮,来到设置。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403927.png)
导航前往【设置】【身份】【单点登录设置】菜单。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403928.png)
提示:若无法打开页面或无响应,可尝试切换浏览器尝试。 部分浏览器会阻止跨域 Cookie,导致页面无法展示。在此情况下,参照页面提示,可以切换到 Salesforce Classic 中编辑和查看。
2. 进行 SAML 配置
在【SAML 单点登录设置】中,点击【新建】,来到配置表单。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403929.png)
页面配置较多,但大部分保持默认即可。您只需将 IDaaS 中 SSO 配置页【应用配置信息】中信息配置进来。
关键字段包括:
字段 | 别称 | 说明 |
姓名 | - | 固定值:IDaaS,可随意填写。 |
API 名称 | - | 固定值:IDaaS,可随意填写。 |
颁发人 | IDP Entity ID | 又称为 IDP Entity ID。 从 IDaaS SSO 配置页【应用配置信息】中获取 |
实体 ID | SP Entity ID | 又称为 SP Entity ID。 必须固定为:http://saml.salesforce.com,两方必须保持一致。 |
身份提供商证书 | 公钥证书 | 从 IDaaS SSO 配置页【应用配置信息】中下载 |
身份供应商登录 URL(选填) | IdP Sign-in URL、SAML SSO URL 等 | 从 IDaaS SSO 配置页【应用配置信息】中获取 当您希望实现 SP 发起 SSO 时需填写。当进行 SP 发起 SSO 时,Salesforce 将向该地址发送 SAML Request 请求,发起单点登录请求。 |
参考下图配置示例:
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403930.png)
点击保存后,跳转到配置详情页。请您将页面下方展示的【登录 URL】复制出来,后续需填写到 IDaaS 中。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403931.png)
SSO 配置完成,但默认处于未启用状态。
3. 启用 SAML SSO
您需要重新返回到 Salesforce【单点登录配置】菜单中,点击【编辑】按钮,勾选【SAML 已启用】,保存完成。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403932.png)
三、在 IDaaS 中配置 SSO
切换回 IDaaS 页面。
在创建完 Salesforce 应用后,应跳转到 SSO 配置页。在表单中填写从 Salesforce 中获取的【登录 URL】。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/9413715461/p403933.png)
其他选项保持默认,点击保存即可完成全部 SSO 配置。
应用账户:用于 SSO 的身份标识,可参考 SAML 应用账户配置进行配置。 授权范围:出于安全考量,默认需要手动授权。若在进行前期测试,可修改为【全员可访问】
四、尝试 SSO
您已经可以尝试 Salesforce SSO。
请用已授权使用 Salesforce 的 IDaaS 账户,登录到 IDaaS 门户页,点击页面上 Salesforce 图标,发起 SSO,检查配置结果。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0513715461/p403934.png)