Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con Salesforce
En este tutorial, obtendrá información sobre cómo integrar Salesforce con Microsoft Entra ID. Al integrar Salesforce con Microsoft Entra ID, puede hacer lo siguiente:
- Controlar en Microsoft Entra ID quién tiene acceso a Salesforce.
- Permitir que los usuarios puedan iniciar sesión automáticamente en Salesforce con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Requisitos previos
Para empezar, necesitas los siguientes elementos:
- Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
- Suscripción habilitada para el inicio de sesión único (SSO) en Salesforce.
Descripción del escenario
En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.
Salesforce admite SSO iniciado por SP.
Salesforce admite el aprovisionamiento y desaprovisionamiento automático de usuarios (se recomienda).
Salesforce admite el aprovisionamiento de usuarios Just-In-Time.
La aplicación móvil de Salesforce puede configurarse ahora con Microsoft Entra ID para habilitar el SSO. En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.
Adición de Salesforce desde la galería
Para configurar la integración de Salesforce en Microsoft Entra ID, es preciso agregar Salesforce desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba Salesforce en el cuadro de búsqueda.
- Seleccione Salesforce en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puedes agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para Salesforce
Configure y pruebe el inicio de sesión único de Microsoft Entra con Salesforce mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Salesforce.
Para configurar y probar el inicio de sesión único de Microsoft Entra con Salesforce, complete los siguientes pasos:
- Configuración del inicio de sesión único de Microsoft Entra, para que los usuarios puedan utilizar esta característica.
- Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
- Configuración del inicio de sesión único de Salesforce , para configurar los valores de Inicio de sesión único en la aplicación.
- Creación de un usuario de prueba en Salesforce para tener un homólogo de B.Simon en Salesforce vinculado a la representación del usuario en Microsoft Entra.
- Prueba del inicio de sesión único : para comprobar si la configuración funciona.
Configuración del inicio de sesión único de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Salesforce>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configurar el inicio de sesión único con SAML, haga clic en el icono de edición o con forma de lápiz para abrir el cuadro de diálogo Configuración básica de SAML y modificar la configuración.
En la sección Configuración básica de SAML, especifique los valores de los siguientes campos:
a. En el cuadro de texto Identificador, escriba el valor con el siguiente patrón:
Cuenta de empresa:
https://<subdomain>.my.salesforce.com
Cuenta de desarrollador:
https://<subdomain>-dev-ed.my.salesforce.com
b. En el cuadro de texto URL de respuesta, escriba el valor con el siguiente patrón:
Cuenta de empresa:
https://<subdomain>.my.salesforce.com
Cuenta de desarrollador:
https://<subdomain>-dev-ed.my.salesforce.com
c. En el cuadro de texto URL de inicio de sesión, escriba el valor con el siguiente patrón:
Cuenta de empresa:
https://<subdomain>.my.salesforce.com
Cuenta de desarrollador:
https://<subdomain>-dev-ed.my.salesforce.com
Nota:
Estos valores no son reales. Actualice estos valores con los valores reales de Identificador, URL de respuesta y URL de inicio de sesión. Póngase en contacto con el equipo de atención al cliente de Salesforce para obtener estos valores.
En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en su equipo.
En la sección Set up Salesforce (Configurar Salesforce), copie las direcciones URL adecuada según sus necesidades.
Cree un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario llamado B.Simon.
- Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Ve a Identidad>Usuarios>Todos los usuarios.
- Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, sigue estos pasos:
- En el campo Nombre para mostrar, escribe
B.Simon
. - En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
- Selecciona Revisar + crear.
- En el campo Nombre para mostrar, escribe
- Selecciona Crear.
Asignación del usuario de prueba de Microsoft Entra
En esta sección, va a permitir que B.Simon acceda a Salesforce mediante el inicio de sesión único.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Salesforce.
- En la página de información general de la aplicación, seleccione Usuarios y grupos.
- Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Configuración del inicio de sesión único de Salesforce
En otra ventana del explorador web, inicie sesión como administrador en el sitio de la compañía Salesforce
Haga clic en Setup (Configuración) en el icono de configuración de la esquina superior derecha de la página.
Desplácese hacia abajo hasta SETTINGS (CONFIGURACIÓN) en el panel de navegación y haga clic en Identity (Identidad) para expandir la sección relacionada. A continuación, haga clic en Configuración de inicio de sesión único.
En la página Configuración de inicio de sesión único, haga clic en el botón Editar.
Nota:
Si no puede habilitar la configuración de inicio de sesión único para su cuenta de Salesforce, puede que necesite ponerse en contacto con el equipo de soporte técnico de Salesforce.
Seleccione SAML habilitado y haga clic en Guardar.
Para establecer la configuración de inicio de sesión único de SAML, haga clic en New from Metadata File (Nuevo archivo de metadatos).
Haga clic en Elija archivo para cargar el archivo XML de metadatos que descargó y haga clic en Crear.
En la página Configuración de inicio de sesión único de SAML, los campos se rellenan automáticamente; si desea usar JIT de SAML, seleccione User Provisioning Enabled (Aprovisionamiento de usuarios habilitado) y en SAML Identity Type (Tipo de identidad de SAML), seleccione Assertion contains the Federation ID from the User object (La aserción contiene el identificador de federación del objeto User). En caso contrario, anule la selección de User Provisioning Enabled (Aprovisionamiento de usuarios habilitado) y en SAML Identity Type (Tipo de identidad de SAML), seleccione Assertion contains the User's Salesforce username (La aserción contiene el nombre del usuario en Salesforce). Haga clic en Save(Guardar).
Nota
Si configuró SAML JIT, debe completar un paso adicional en la sección Configuración del inicio de sesión único de Microsoft Entra. La aplicación Salesforce espera aserciones específicas de SAML, lo que requiere que tenga atributos específicos en la configuración de los atributos del token SAML. En la siguiente captura de pantalla se muestra la lista de los atributos requeridos de Salesforce.
Si sigue teniendo problemas con el aprovisionamiento de usuarios con SAML JIT, consulte Requisitos de aprovisionamiento Just-In-Time y campos de aserción de SAML. Por lo general, cuando se produce un error JIT, puede que el error sea
We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.
.En el panel de navegación izquierdo de Salesforce, haga clic en Company Settings (Configuración de la empresa) para expandir la sección relacionada y haga clic en My Domain (Mi dominio).
Desplácese hacia abajo hasta la sección Authentication Configuration (Configuración de autenticación) y haga clic en el botón Edit (Editar).
En la sección Configuración de autenticación, marque Página de inicio de sesión y AzureSSO en Servicio de autenticación de la configuración del inicio de sesión único de SAML y, después, haga clic en Guardar.
Nota:
Si se selecciona más de un servicio de autenticación, cuando los usuarios intentan realizar un inicio de sesión único para el entorno Salesforce, se les pedirá que seleccionen el servicio de autenticación con el que les gustaría iniciar sesión. Si no desea que esto ocurra, deje sin activar todos los demás servicios de autenticación.
Creación de un usuario de prueba de Salesforce
En esta sección, creará una usuaria llamada B. Simon en Salesforce. Salesforce admite el aprovisionamiento Just-In-Time, que está habilitado de forma predeterminada. No hay ningún elemento de acción para usted en esta sección. Si el usuario no existe aún en Salesforce, se crea uno nuevo cuando se intenta acceder a esta aplicación. Salesforce también admite el aprovisionamiento automático de usuarios. Aquí puede encontrar más detalles sobre cómo configurar el aprovisionamiento automático de usuarios.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Haga clic en Probar esta aplicación, esto redirigirá a la dirección URL de inicio de sesión de Salesforce donde puede poner en marcha el flujo de inicio de sesión.
Vaya directamente a la dirección URL de inicio de sesión de Salesforce e inicie el flujo de inicio de sesión desde allí.
Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Salesforce en el portal Aplicaciones, se debería iniciar sesión automáticamente en la versión de Salesforce para la que configuró el inicio de sesión único. Para más información acerca del portal Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Prueba del inicio de sesión único para Salesforce (móvil)
Abra la aplicación móvil Salesforce. En la página de inicio de sesión, haga clic en Use Custom Domain (Usar dominio personalizado).
En el cuadro de texto Custom Domain (Dominio personalizado), escriba su nombre de dominio personalizado registrado y haga clic en Continue (Continuar).
Escriba sus credenciales de Microsoft Entra para iniciar sesión en la aplicación Salesforce y haga clic en Next (Siguiente).
En la página Allow Access (Permitir acceso) como se muestra a continuación, haga clic en Allow (Permitir) para dar acceso a la aplicación Salesforce.
Finalmente, después de iniciar sesión correctamente, aparecerá la página principal de la aplicación.
Impedir el acceso a la aplicación a través de cuentas locales
Una vez que haya validado que el inicio de sesión único funciona e implementó en su organización, deshabilite el acceso a la aplicación mediante credenciales locales. Esto garantiza que las directivas de acceso condicional, MFA, etc. estén en vigor para proteger los inicios de sesión en Salesforce.
Pasos siguientes
Si tiene Enterprise Mobility + Security E5 u otra licencia para Microsoft Defender for Cloud Apps, puede recopilar una pista de auditoría de las actividades de aplicación en ese producto, que se pueden usar al investigar alertas. En Defender for Cloud Apps, las alertas se desencadenan cuando las actividades de usuario, administrador o inicio de sesión no cumplen las directivas. Al conectar Microsoft Defender for Cloud Apps a Salesforce, Defender for Cloud Apps en la nube recopila eventos de inicio de sesión de Salesforce.
Además, puede aplicar el control de sesión, que protege frente a la filtración e infiltración de la información confidencial de la organización en tiempo real. El Control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.