Compartilhar via


Tutorial: integração do SSO (logon único) do Microsoft Entra ao Salesforce

Neste tutorial, você aprenderá a integrar o Salesforce ao Microsoft Entra ID. Ao integrar o Salesforce ao Microsoft Entra ID, você poderá:

  • Controlar no Microsoft Entra ID quem tem acesso ao Salesforce.
  • Permitir que seus usuários entrem automaticamente no Salesforce com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura do Salesforce habilitada para SSO (logon único).

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

  • O Salesforce dá suporte ao SSO iniciado por SP.

  • O Salesforce dá suporte ao provisionamento e ao desprovisionamento de usuário automatizados (recomendado).

  • O Salesforce dá suporte ao provisionamento de usuário Just In Time.

  • Agora, o aplicativo móvel do Salesforce pode ser configurado com o Microsoft Entra ID para habilitar o SSO. Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

Para configurar a integração do Salesforce ao Microsoft Entra ID, é necessário adicionar o Salesforce à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria, digite Salesforce na caixa de pesquisa.
  4. Selecione Salesforce no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Salesforce

Configurar e testar o SSO do Microsoft Entra com o Salesforce usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Salesforce.

Para configurar e testar o SSO do Microsoft Entra com o Salesforce, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra - para permitir que os usuários usem esse recurso.
  2. Configurar o SSO do Salesforce – para definir as configurações de Logon Único no lado do aplicativo.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Salesforce>Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, clique no ícone de edição/caneta da Configuração Básica do SAML para editar as configurações.

    Editar a Configuração Básica de SAML

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    a. Na caixa de texto Identificador, digite o valor usando o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    b. Na caixa de texto URL de resposta, digite o valor com o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    c. Na caixa de texto URL de Logon, digite o valor usando o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    Observação

    Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Contate a equipe de suporte do Cliente Salesforce para obter esses valores.

  6. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

    O link de download do Certificado

  7. Na seção Configurar o Salesforce, copie as URLs apropriadas com base em suas necessidades.

    Copiar URLs de configuração

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Fernandes use o logon único ao conceder-lhe acesso ao Salesforce.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Salesforce.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Salesforce

  1. Em uma janela diferente do navegador da Web, entre no site da empresa do seu Salesforce como administrador

  2. Clique na Configuração no ícone de configurações, no canto superior direito da página.

    Configurar Logon Único ícone de configurações

  3. Role para baixo até CONFIGURAÇÕES no painel de navegação e clique em Identidade para expandir a seção correspondente. Em seguida, clique em Configurações de Logon Único.

    Configurar Logon Único Configurações

  4. Na página Configurações de Logon Único, clique no botão Editar.

    Configurar Logon Único Editar

    Observação

    Se não for possível habilitar as configurações de Logon Único para a conta do Salesforce, talvez seja necessário entrar em contato com a equipe de suporte do Cliente Salesforce.

  5. Selecione SAML Habilitado e, em seguida, clique em Salvar.

    Configurar Logon Único SAML Habilitado

  6. Para configurar as configurações de logon único do SAML, clique em Novo do arquivo de metadados.

    Configurar Logon Único Novo do Arquivo de Metadados

  7. Clique em Escolher Arquivo para carregar o arquivo XML de metadados que você baixou, depois clique em Criar.

    Configurar Logon Único Escolher Arquivo

  8. Na página Configurações de SSO do SAML, os campos são preenchidos automaticamente. Se quiser usar o JIT do SAML, selecione Provisionamento de usuário habilitado e selecione Tipo de identidade do SAML como A declaração contém a ID da Federação do objeto de usuário. Caso contrário, desmarque Provisionamento de usuário habilitado e selecione Tipo de identidade do SAML como A declaração contém o nome de usuário do Salesforce. Clique em Save (Salvar).

    Configurar Logon Único Provisionamento de Usuário Habilitado

    Observação

    Se você tiver configurado o JIT do SAML, precisará concluir uma etapa adicional na seção Configurar o SSO do Microsoft Entra. O aplicativo Salesforce espera declarações SAML específicas, o que exige que você tenha atributos específicos na configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos necessários para o Salesforce.

    Captura de tela que mostra o painel de atributos necessários para o JIT.

    Se você ainda tiver problemas com o provisionamento de usuários com o JIT do SAML, confira Requisitos do provisionamento just-in-time e campos de declaração SAML. Geralmente, quando o JIT falha, um erro como We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help. é exibido

  9. No painel de navegação à esquerda no Salesforce, clique em Configurações da Empresa para expandir a seção correspondente e clique em Meu Domínio.

    Configurar Logon Único Meu Domínio

  10. Role para baixo até a seção Configuração de Autenticação e, em seguida, clique no botão Editar.

    Configurar Logon Único Configuração de Autenticação

  11. Na seção Configuração da autenticação, marque a Página de logon e o AzureSSO como o Serviço de autenticação de sua configuração de SSO do SAML e clique em Salvar.

    Observação

    Se mais de um serviço de autenticação estiver selecionado, quando os usuários tentarem iniciar o logon único em seu ambiente do Salesforce, serão solicitados a selecionar o serviço de autenticação com o qual desejam entrar. Se você não quiser que isso aconteça, deverá deixar todos os outros serviços de autenticação desmarcados.

Criar um usuário de teste do Salesforce

Nesta seção, é criado um usuário denominado B. Fernandes no Salesforce. O Salesforce dá suporte ao provisionamento Just-In-Time, que está habilitado por padrão. Não há itens de ação para você nesta seção. Se um usuário ainda não existir no Salesforce, um novo será criado quando você tentar acessar o Salesforce. O Salesforce também dá suporte ao provisionamento automático de usuário. É possível encontrar aqui detalhes de como configurar o provisionamento automático do usuário.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Clique em Testar este aplicativo. Isso redirecionará você à URL de logon do Salesforce, na qual você poderá iniciar o fluxo de logon.

  • Acesse a URL de Logon do Salesforce diretamente e inicie o fluxo de logon nela.

  • Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco do Salesforce em Meus Aplicativos, você entrará automaticamente no Salesforce, para o qual o SSO foi configurado. Para obter mais informações sobre o portal Meus Aplicativos, confira Introdução ao portal Meus Aplicativos.

Testar o SSO para Salesforce (móvel)

  1. Abra o aplicativo móvel do Salesforce. Na página de entrada, clique em Usar Domínio Personalizado.

    Aplicativo móvel do Salesforce Usar Domínio Personalizado

  2. Na caixa de texto Domínio Personalizado, insira o nome de domínio personalizado registrado e clique em Continuar.

    Aplicativo móvel do Salesforce Custom Domain

  3. Insira suas credenciais do Microsoft Entra para entrar no aplicativo Salesforce e clique em Avançar.

    Credenciais do aplicativo móvel Salesforce no Microsoft Entra

  4. Na página Permitir Acesso, conforme mostrado abaixo, clique em Permitir para conceder acesso ao aplicativo do Salesforce.

    Aplicativo móvel do Salesforce Permitir Acesso

  5. Por fim, após a entrada com sucesso, a home page do aplicativo será exibida.

    Homepage do aplicativo móvel do SalesforceAplicativo móvel do Salesforce

Impedir o acesso do aplicativo por meio de contas locais

Depois de validar que o SSO funciona e implementá-lo em sua organização, desabilite o acesso ao aplicativo usando credenciais locais. Isso garante que suas políticas de acesso condicional, MFA etc. estejam em vigor para proteger as entradas no Salesforce.

Próximas etapas

Se você tiver Enterprise Mobility + Security E5 ou outra licença para Microsoft Defender para Aplicativos de Nuvem, poderá coletar uma trilha de auditoria das atividades do aplicativo nesse produto, que pode ser usada ao investigar alertas. Nos aplicativos Defender para Nuvem, os alertas podem ser disparados quando as atividades de usuário, administrador ou entrada não estão em conformidade com suas políticas. Ao conectar o Microsoft Defender para Aplicativos de Nuvem ao Salesforce , os eventos de início de sessão do Salesforce são coletados por aplicativos Defender para Nuvem.

Além disso, você pode impor o Controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.