Konfigurace Salesforce pro jednotné přihlašování

V tomto článku se dozvíte, jak integrovat Salesforce s Microsoft Entra ID. Když integrujete Salesforce s Microsoft Entra ID, můžete:

• Ovládání v Microsoft Entra ID, kdo má přístup k Salesforce.
• Povolte uživatelům, aby se k Salesforce automaticky přihlásili pomocí svých účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Scénář popsaný v tomto článku předpokládá, že již máte následující požadavky:

• Uživatelský účet Microsoft Entra s aktivním předplatným. Pokud ho ještě nemáte, můžete si vytvořit účet zdarma.
• Jedna z následujících rolí:
  • správce aplikace
  • správce cloudových aplikací
  • vlastník aplikace.

• Předplatné Salesforce s povoleným jednotným přihlašováním (SSO)

Popis scénáře

V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• Salesforce podporuje jednotné přihlašování iniciované poskytovatelem služeb (SP).

• Salesforce podporuje automatizované zřizování a odebrání uživatelů (doporučeno).

• Salesforce podporuje Just In Time zřizování uživatelů.

• Aplikaci Salesforce Mobile je teď možné nakonfigurovat s ID Microsoft Entra pro povolení jednotného přihlašování. V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

Přidejte Salesforce z galerie

Pokud chcete nakonfigurovat integraci Salesforce do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat Salesforce z galerie.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte k Identity>aplikacím>podnikovým aplikacím>Nová aplikace.
3. Do části Přidat z galerie zadejte Salesforce do vyhledávacího pole.
4. Na panelu výsledků vyberte Salesforce a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro Salesforce

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s Salesforce pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v Salesforce.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra pomocí Salesforce, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
   • Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
   • Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Konfigurace jednotného přihlašování Salesforce – konfigurovat nastavení jednotného přihlášení na straně aplikace
   • Vytvořte testovacího uživatele Salesforce tak, aby měl protějšek B. Simona v Salesforce, který je propojený s reprezentací uživatele v Microsoft Entra.
3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Postupujte podle těchto kroků k povolení jednotného přihlašování Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte na Identity>Aplikace>Podnikové aplikace>Salesforce>Jednotné přihlašování.

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Na stránce Nastavení jednotného přihlašování pomocí SAML vyberte ikonu pro úpravy a pero pro Základní konfigurace SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

   a. Do textového pole Identifikátor zadejte hodnotu pomocí následujícího vzoru:

   Podnikový účet: https://<subdomain>.my.salesforce.com

   Vývojářský účet: https://<subdomain>-dev-ed.my.salesforce.com

   b. Do textového pole Adresa URL odpovědi zadejte hodnotu pomocí následujícího vzoru:

   Podnikový účet: https://<subdomain>.my.salesforce.com

   Vývojářský účet: https://<subdomain>-dev-ed.my.salesforce.com

   c. Do textového pole Přihlašovací adresa URL zadejte hodnotu pomocí následujícího vzoru:

   Podnikový účet: https://<subdomain>.my.salesforce.com

   Vývojářský účet: https://<subdomain>-dev-ed.my.salesforce.com

   Poznámka:

   Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a adresou URL pro přihlášení. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta Salesforce.

6. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.

   

7. V části Nastavit Salesforce zkopírujte odpovídající adresy URL na základě vašeho požadavku.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele S názvem B.Simon.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Uživatelské hlavní jméno zadejte username@companydomain.extension. Například B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a poznamenejte si hodnotu zobrazenou v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k Salesforce.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte do Identita>Aplikace>Podnikové aplikace>Salesforce.
3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
   1. V dialogovém okně Uživatelé a skupiny vyberte v seznamu Uživatelé B.Simon a pak v dolní části obrazovky vyberte tlačítko Vybrat.
   2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli. Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
   3. V dialogovém okně Přidat zadání vyberte tlačítko Přiřadit.

Konfigurace jednotného přihlašování Salesforce

1. V jiném okně webového prohlížeče se přihlaste ke svému firemnímu webu Salesforce jako správce.

2. Vyberte Nastavení pod ikonou nastavení v pravém horním rohu stránky.

   

3. Posuňte se dolů na NASTAVENÍ v navigačním podokně, vyberte Identita a rozbalte související oddíl. Pak vyberte Single Sign-On Nastavení.

   

4. Na stránce Nastavení jednotného přihlašování vyberte tlačítko Upravit.

   

   Poznámka:

   Pokud pro svůj účet Salesforce nemůžete povolit nastavení jednotného přihlašování, možná budete muset kontaktovat tým podpory klienta Salesforce.

5. Vyberte SAML povolenoa pak vyberte Uložit.

   

6. Pokud chcete nakonfigurovat nastavení jednotného přihlašování SAML, vyberte Nový ze souboru metadat.

   

7. Vyberte Zvolit soubor pro nahrání staženého souboru XML s metadaty a vyberte Vytvořit.

   

8. Na stránce Nastavení jednotného přihlašování SAML se pole vyplní automaticky. Pokud chcete použít SAML JIT, vyberte možnost Povoleno zřizování uživatelů a jako Typ identity SAML zvolte Výraz obsahuje ID federace z objektu uživatele. V opačném případě zrušte výběr možnosti Povoleno zřizování uživatelů a jako Typ identity SAML vyberte Výraz obsahuje uživatelské jméno Salesforce uživatele. Zvolte Uložit.

   

   Poznámka:

   Pokud jste nakonfigurovali SAML JIT, musíte dokončit další krok v části Konfigurace jednotného přihlašování Microsoft Entra. Aplikace Salesforce očekává konkrétní kontrolní výrazy SAML, které vyžadují, abyste měli v konfiguraci atributů tokenu SAML specifické atributy. Následující snímek obrazovky ukazuje seznam požadovaných atributů od Salesforce.

   

   Pokud stále máte problémy se zřizováním uživatelů pomocí SAML JIT, přečtěte si požadavky na zřizování za běhu a pole s tvrzeními SAML. Obecně platí, že když JIT selže, může se zobrazit chyba, například We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

9. V levém navigačním podokně Salesforce vyberte Nastavení společnosti, rozbalte související oddíl, a pak vyberte Moje doména.

   

10. Posuňte se dolů do části Konfigurace ověřování a vyberte tlačítko Upravit.

    

11. V části konfigurace ověřování zkontrolujte přihlašovací stránku a azureSSO jako ověřovací službu konfigurace jednotného přihlašování SAML a pak vyberte Uložit.

    Poznámka:

    Pokud je vybrána více než jedna ověřovací služba, zobrazí se uživatelům výzva k výběru ověřovací služby, se kterou se chtějí při spuštění jednotného přihlašování k vašemu prostředí Salesforce přihlásit. Pokud nechcete, aby k tomu došlo, měli byste nechat všechny ostatní ověřovací služby nezaškrtnuté.

Vytvoření testovacího uživatele Salesforce

V této části se v Salesforce vytvoří uživatel S názvem B.Simon. Salesforce podporuje zřizování za běhu, které je ve výchozím nastavení povolené. V této části pro vás není žádný úkol. Pokud uživatel v Salesforce ještě neexistuje, vytvoří se při pokusu o přístup k Salesforce nový. Salesforce také podporuje automatické zřizování uživatelů. Tady najdete další podrobnosti o tom, jak nakonfigurovat automatické zřizování uživatelů.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Vyberte Otestovat tuto aplikaci. Tím budete přesměrováni na přihlašovací adresu URL Salesforce, kde můžete zahájit proces přihlášení.

• Přejděte přímo na přihlašovací adresu URL Salesforce a spusťte tok přihlášení odsud.

• Můžete použít Microsoft Moje aplikace. Když na portálu Moje aplikace vyberete dlaždici Salesforce, měli byste být automaticky přihlášeni do Salesforce, kde jste nastavili SSO (jednotné přihlašování). Další informace o portálu Moje aplikace najdete v tématu Úvod k portálu Moje aplikace.

Testování jednotného přihlašování pro Salesforce (mobile)

1. Otevřete mobilní aplikaci Salesforce. Na přihlašovací stránce vyberte Použít vlastní doménu.

   

2. Do textového pole Vlastní doména zadejte zaregistrovaný vlastní název domény a vyberte Pokračovat.

   

3. Zadejte přihlašovací údaje Microsoft Entra pro přihlášení k aplikaci Salesforce a vyberte Další.

   

4. Na stránce Povolit přístup, jak je znázorněno níže, vyberte možnost Povolit k udělení přístupu k aplikaci Salesforce.

   

5. Po úspěšném přihlášení se zobrazí domovská stránka aplikace.

   

Zabránění přístupu k aplikacím prostřednictvím místních účtů

Jakmile ověříte, že jednotné přihlašování funguje a nasadíte ho ve vaší organizaci, zakažte přístup k aplikacím pomocí místních přihlašovacích údajů. Tím se zajistí, že jsou zásady podmíněného přístupu, vícefaktorové ověřování atd. zavedené pro ochranu přihlášení k Salesforce.

Související obsah

Pokud máte Enterprise Mobility + Security E5 nebo jinou licenci pro Microsoft Defender for Cloud Apps, můžete shromáždit záznam auditu aktivit aplikací v daném produktu, který se dá použít při vyšetřování výstrah. V Programu Defender for Cloud Apps se upozornění dají aktivovat, když aktivity uživatelů, správců nebo přihlašování nevyhovují vašim zásadám. Propojením Microsoft Defender for Cloud Apps k Salesforce se události přihlášení do Salesforce shromažďují v Defender for Cloud Apps.

Kromě toho můžete uplatňovat řízení relací, které zabraňuje exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.