Delen via

Salesforce configureren voor eenmalige aanmelding

  • Artikel

In dit artikel leert u hoe u Salesforce integreert met Microsoft Entra ID. Wanneer u Salesforce integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra-id bepalen wie toegang heeft tot Salesforce.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Salesforce.
  • Beheer uw accounts op één centrale locatie.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

  • Een Salesforce-abonnement met ingeschakelde Single Sign-On (SSO).

Beschrijving van scenario

In dit artikel configureert en test u Microsoft Entra SSO in een testomgeving.

  • Salesforce biedt ondersteuning voor door SP geïnitieerde SSO.

  • Salesforce biedt ondersteuning voor het automatisch inrichten en uitschrijven van gebruikers (aanbevolen).

  • Salesforce biedt ondersteuning voor het Just-In-Time inrichten van gebruikers.

  • De Salesforce Mobile-applicatie kan nu worden geconfigureerd met Microsoft Entra ID om SSO in te schakelen. In dit artikel configureert en test u Microsoft Entra Single Sign-On in een testomgeving.

Als u de integratie van Salesforce met Microsoft Entra ID wilt configureren, moet u Salesforce vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
  2. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen>Nieuwe toepassing.
  3. Typ in de sectie Toevoegen vanuit de galerie, Salesforce in het zoekvak.
  4. Selecteer Salesforce in het resultatenvenster en voeg de app toe. Wacht enkele seconden terwijl de app wordt toegevoegd aan je tenant.

U kunt in plaats daarvan ook de Enterprise App Configuration Wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Microsoft Entra SSO voor Salesforce configureren en testen

Configure en test Microsoft Entra SSO met Salesforce met testgebruiker B.Simon. Voor Single Sign-On te laten werken, moet u een verbindingsrelatie tot stand brengen tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Salesforce.

Voer de volgende stappen uit om Microsoft Entra SSO met Salesforce te configureren en te testen:

  1. Configureer Microsoft Entra SSO - zodat uw gebruikers deze functie kunnen gebruiken.
  2. Salesforce-eenmalige aanmelding configureren: als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
    • Een Salesforce-testgebruiker maken: als u een tegenhanger van B.Simon in Salesforce wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

Volg deze stappen om Microsoft Entra SSO in te schakelen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.

  2. Blader naar Identity>Applications>Enterprise-toepassingen>Salesforce>Eenmalige aanmelding.

  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  4. Selecteer op de pagina Eenmalige aanmelding met SAML het pictogram bewerken/pen voor Standaard SAML-configuratie om de instellingen te wijzigen.

    Standaard SAML-configuratie bewerken

  5. In de sectie Standaard-SAML-configuratie voert u de waarden in voor de volgende velden:

    a. Typ in het tekstvak Identifier de waarde met het volgende patroon:

    Bedrijfsaccount: https://<subdomain>.my.salesforce.com

    Ontwikkelaarsaccount: https://<subdomain>-dev-ed.my.salesforce.com

    b. Typ in het tekstvak Antwoord-URL een URL met de volgende indeling:

    Bedrijfsaccount: https://<subdomain>.my.salesforce.com

    Ontwikkelaarsaccount: https://<subdomain>-dev-ed.my.salesforce.com

    c. Typ in het tekstvak Aanmeldings-URL een URL met de volgende indeling:

    Bedrijfsaccount: https://<subdomain>.my.salesforce.com

    Ontwikkelaarsaccount: https://<subdomain>-dev-ed.my.salesforce.com

    Notitie

    Deze waarden zijn niet echt. Werk deze waarden bij met de werkelijke-id, de antwoord-URL en de aanmeldings-URL. Neem contact op met het Salesforce-klantondersteuningsteam om deze waarden te verkrijgen.

  6. Ga op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat naar XML-bestand met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden en vervolgens op te slaan op de computer.

    De link om het certificaat te downloaden

  7. In de sectie Salesforce instellen kopieert u de juiste URL('s) op basis van uw behoeften.

    Configuratie-URLs kopiëren

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker maken bovenaan het scherm.
  4. Voer in de gebruikerseigenschappen de volgende stappen uit:
    1. Voer in het veld Weergavenaam de tekst in B.Simon.
    2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
    4. Selecteer Controleren + maken.
  5. Klik op Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door haar toegang te geven tot Salesforce.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
  2. Blader naar Identiteit>Toepassingen>Enterprise-toepassingen>Salesforce.
  3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
  4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
    1. Selecteer in het dialoogvenster Gebruikers en groepenB.Simon in de lijst Gebruikers en selecteer vervolgens de knop Selecteer onder aan het scherm.
    2. Als u verwacht dat een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in de vervolgkeuzelijst Een rol selecteren. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
    3. Selecteer in het dialoogvenster Toewijzing toevoegen de knop Toewijzen.

SSO configureren voor Salesforce

  1. Meld u in een ander browservenster als beheerder aan bij uw Salesforce-bedrijfssite

  2. Selecteer Setup in het menu onder het instellingen-icoon rechtsboven op de pagina.

    Eenmalige aanmelding configureren - Instellingspictogram

  3. Scroll naar beneden naar de instellingen in de navigatiekolom en selecteer Identiteit om de gerelateerde sectie uit te vouwen. Selecteer vervolgens Eénvoudige Sign-On Instellingen.

    Eenmalige aanmelding configureren - Instellingen

  4. Selecteer op de pagina Instellingen voor enkele Sign-On de knop Bewerken.

    Eenmalige aanmelding configureren - Bewerken

    Notitie

    Als u de instellingen voor eenmalige aanmelding voor uw Salesforce-account niet kunt inschakelen, moet u mogelijk contact opnemen met ondersteuningsteam van Salesforce.

  5. Selecteer SAML enableden selecteer Opslaan.

    Eenmalige aanmelding configureren - SAML is ingeschakeld

  6. Als u de saml-instellingen voor eenmalige aanmelding wilt configureren, selecteert u Nieuw in het metagegevensbestand.

    Eenmalige aanmelding configureren - Nieuw op basis van een metagegevensbestand

  7. Selecteer Bestand kiezen om het XML-bestand met metagegevens te uploaden dat u hebt gedownload, en klik vervolgens op Maken.

    Eenmalige aanmelding configureren - Bestand kiezen

  8. Op de pagina SAML Single Sign-On Settings worden velden automatisch ingevuld. Als u SAML JIT wilt gebruiken, selecteert u de optie User Provisioning Enabled en selecteert u SAML Identity Type als Assertion bevat de federatie-id uit het gebruikersobject. Anders deselecteert u de optie User Provisioning Enabled en selecteert u SAML Identity Type als Assertion bevat de Salesforce-gebruikersnaam van de gebruiker. Selecteer opslaan.

    Single Sign-On configureren - Gebruikersvoorziening is ingeschakeld

    Notitie

    Als u SAML JIT hebt geconfigureerd, moet u een extra stap uitvoeren in de sectie Eenmalige aanmelding van Microsoft Entra configureren. In de Salesforce-toepassing worden specifieke SAML-asserties verwacht. Hiervoor moet u specifieke kenmerken hebben in de configuratie van uw SAML-tokenkenmerken. De volgende schermopname toont de lijst met vereiste kenmerken door Salesforce.

    Schermopname met het deelvenster met vereiste JIT-kenmerken.

    Als u nog steeds problemen ondervindt met het inrichten van gebruikers met SAML JIT, raadpleegt u Just-In-Time-inrichtingsvereisten en SAML-assertievelden. Wanneer JIT mislukt, ziet u in het algemeen mogelijk een fout zoals We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. Selecteer in het linkernavigatiedeelvenster in Salesforce Bedrijfsinstellingen om de gerelateerde sectie uit te vouwen en selecteer vervolgens Mijn domein.

    Eenmalige aanmelding configureren - Mijn domein

  10. Schuif omlaag naar de sectie Verificatieconfiguratie en selecteer de knop bewerken.

    Eenmalige aanmelding configureren - Verificatieconfiguratie

  11. Controleer in de sectie Verificatieconfiguratie de aanmeldingspagina en AzureSSO als Authentication Service van uw SAML SSO-configuratie en selecteer vervolgens Opslaan.

    Notitie

    Als er meer dan één verificatieservice wordt geselecteerd, wordt gebruikers gevraagd met welke verificatieservice ze zich graag willen aanmelden om gebruik te maken van eenmalige aanmelding in uw Salesforce-omgeving. Als u niet wilt dat dit gebeurt, moet u andere verificatieservices uitgeschakeld laten.

Een Salesforce-testgebruiker maken

In deze sectie wordt een gebruiker met de naam B.Simon gemaakt in Salesforce. Salesforce biedt ondersteuning voor just-in-time voorzieningen, dat standaard is ingeschakeld. Er is geen actie-item voor u in deze sectie. Als een gebruiker nog niet bestaat in Salesforce, wordt er een nieuwe gemaakt wanneer u Salesforce opent. Salesforce ondersteunt ook automatische inrichting van gebruikers. Meer details over het configureren van automatische inrichting van gebruikers vindt u hier.

Test SSO

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

  • Selecteer Deze toepassingtesten. U wordt omgeleid naar de aanmeldings-URL van Salesforce, waar u de aanmeldingsstroom kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van Salesforce en initieer daar de aanmeldingsstroom.

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u de Salesforce-tegel selecteert in het Mijn apps-portal, wordt u automatisch aangemeld bij het Salesforce-account waarvoor u eenmalige aanmelding hebt ingesteld. Zie Introduction to the My Apps portal (Inleiding tot de portal Mijn apps) voor meer informatie over de portal Mijn apps.

Test SSO voor Salesforce (mobiel)

  1. Open de mobiele Salesforce-toepassing. Selecteer op de aanmeldingspagina Aangepast domein gebruiken.

    Mobiele app van Salesforce - Aangepast domein gebruiken

  2. Voer in het tekstvak Aangepast domein uw geregistreerde aangepaste domeinnaam in en selecteer Doorgaan.

    Mobiele app van Salesforce - Aangepast domein

  3. Voer uw Microsoft Entra-referenties in om u aan te melden bij de Salesforce-toepassing en selecteer Volgende.

    Microsoft Entra-referenties voor mobiele Salesforce-app

  4. Op de pagina Toegang toestaan, zoals hieronder weergegeven, selecteer Toestaan om toegang te verlenen tot de Salesforce-toepassing.

    Mobiele app van Salesforce - Toegang toestaan

  5. Als het aanmelden is gelukt, wordt de startpagina van de toepassing weergegeven.

    Startpagina van mobiele Salesforce-app Mobiele Salesforce-toepassing

Toegang tot toepassingen voorkomen via lokale accounts

Nadat u hebt gevalideerd dat eenmalige aanmelding werkt en het hebt uitgerold in uw organisatie, schakelt u toepassingstoegang uit door gebruik van lokale referenties. Dit zorgt ervoor dat uw beleid voor voorwaardelijke toegang, MFA, enzovoort is ingesteld om aanmeldingen bij Salesforce te beveiligen.

Verwante inhoud

Als u Enterprise Mobility + Security E5 of een andere licentie voor Microsoft Defender voor Cloud-apps hebt, kunt u een audittrail van toepassingsactiviteiten in dat product verzamelen, die kunnen worden gebruikt bij het onderzoeken van waarschuwingen. In Defender voor Cloud Apps kunnen waarschuwingen worden geactiveerd wanneer activiteiten van gebruikers, beheerders of aanmeldingen niet voldoen aan uw beleid. Door Microsoft Defender voor Cloud Apps te verbinden met Salesforce, worden aanmeldingsgebeurtenissen van Salesforce verzameld door Defender voor Cloud Apps.

Daarnaast kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.