Configurar o Salesforce para logon único

Neste artigo, você aprenderá a integrar o Salesforce ao Microsoft Entra ID. Ao integrar o Salesforce ao Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao Salesforce.
• Permita que seus usuários entrem automaticamente no Salesforce com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode Criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de aplicativos
  • Administrador de Aplicações em Nuvem
  • Proprietário da Aplicação.

• Assinatura habilitada para logon único (SSO) do Salesforce.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

• O Salesforce oferece suporte ao SSO iniciado pelo SP .

• O Salesforce oferece suporte ao provisionamento e desprovisionamento automatizados de usuários (recomendado).

• O Salesforce oferece suporte ao provisionamento de usuários Just In Time .

• O aplicativo Salesforce Mobile agora pode ser configurado com o Microsoft Entra ID para habilitar o SSO. Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

Adicionar o Salesforce da galeria

Para configurar a integração do Salesforce ao Microsoft Entra ID, você precisa adicionar o Salesforce da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identidade>Aplicações>Aplicações empresariais>Nova aplicação.
3. Na seção Adicionar da galeria, digite Salesforce na caixa de pesquisa.
4. Selecione Salesforce no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Salesforce

Configure e teste o Microsoft Entra SSO com o Salesforce usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Salesforce.

Para configurar e testar o Microsoft Entra SSO com o Salesforce, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   • Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
   • Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
2. Configure o Salesforce SSO - para definir as configurações de logon único no lado do aplicativo.
   • Criar utilizador de teste do Salesforce - para ter um equivalente de B.Simon no Salesforce vinculado à representação de utilizador do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>Salesforce>Single sign-on.

3. Na página Selecione um método de logon único, selecione SAML.

4. Na página Configurar logon único com SAML, selecione o ícone de edição/caneta para Configuração Básica do SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

   a. Na caixa Identificador, introduza o valor usando o seguinte padrão:

   Conta Empresarial: https://<subdomain>.my.salesforce.com

   Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

   b. Na caixa de texto URL de Resposta, digite o valor usando o seguinte padrão:

   Conta empresarial: https://<subdomain>.my.salesforce.com

   Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

   c. Na caixa de texto de URL de início de sessão, escreva o valor utilizando o seguinte padrão:

   Conta empresarial: https://<subdomain>.my.salesforce.com

   Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

   Nota

   Esses valores não são reais. Atualize estes valores com o Identificador real, o URL de resposta e o URL de início de sessão. Entre em contato com a equipe de suporte ao cliente Salesforce para obter esses valores.

6. Na página Configurar logon único com SAML, na secção Certificado de Assinatura do SAML, localize Metadados de Federação XML e selecione Transferir para baixar o certificado e guardá-lo no seu computador.

   

7. Na seção Configurar o Salesforce , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você cria um usuário de teste chamado B.Simon.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
4. Nas propriedades do usuário , siga estas etapas:
   1. No campo Nome de exibição, digite B.Simon.
   2. No campo Nome principal do usuário, introduza o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar palavra-passe e, em seguida, escreva o valor exibido na caixa Palavra-passe.
   4. Selecione Verificar + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilita B.Simon a usar o logon único concedendo acesso ao Salesforce.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>Salesforce.
3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
   1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista de Usuários e, em seguida, selecione o botão Selecionar na parte inferior da tela.
   2. Se você espera que uma função seja atribuída aos usuários, pode selecioná-la na lista suspensa Selecione uma função. Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
   3. Na caixa de diálogo Adicionar Atribuição, selecione o botão Atribuir.

Configurar o SSO do Salesforce

1. Em uma janela diferente do navegador da Web, faça login no site da empresa Salesforce como administrador

2. Selecione no de configuração do em ícone de configurações no canto superior direito da página.

   

3. Role para baixo até às CONFIGURAÇÕES no painel de navegação, selecione Identidade para expandir a seção relacionada. Em seguida, selecione Único Sign-On Configurações.

   

4. Na Página de Configurações Sign-On Única, selecione o botão Editar.

   

   Nota

   Se você não conseguir habilitar as configurações de logon único para sua conta do Salesforce, talvez seja necessário entrar em contato com equipe de suporte ao cliente Salesforce.

5. Selecione SAML Enablede, em seguida, selecione Salvar.

   

6. Para definir as configurações de logon único do SAML, selecione Novo no Arquivo de Metadados.

   

7. Selecione Escolher arquivo para carregar o arquivo XML de metadados que você baixou e selecione Criar.

   

8. Na página Configurações de Logon Único SAML, os campos são preenchidos automaticamente; se pretender usar o JIT SAML, selecione User Provisioning Enabled e escolha SAML Identity Type como Assertion contém o ID de Federação do objeto do Utilizador; caso contrário, desmarque o User Provisioning Enabled e selecione SAML Identity Type como Assertion contém o nome de utilizador do Salesforce do Utilizador. Selecione Salvar.

   

   Nota

   Se você configurou o JIT SAML, deverá concluir uma etapa adicional na seção Configurar o Microsoft Entra SSO . O aplicativo Salesforce espera asserções SAML específicas, o que exige que você tenha atributos específicos em sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos necessários pelo Salesforce.

   

   Se ainda tiveres problemas com o provisionamento de utilizadores através do SAML JIT, consulta Just-in-time provisioning requirements and SAML assertion fields. Geralmente, quando o JIT falha, você pode ver um erro como We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

9. No painel de navegação esquerdo do Salesforce, selecione Configurações da Empresa para expandir a seção relacionada e, em seguida, selecione Meu Domínio.

   

10. Role para baixo até a seção Configuração de Autenticação e selecione o botão Editar.

    

11. Na seção de Configuração de Autenticação, verifique o da Página de Logon do e AzureSSO como Serviço de Autenticação de sua configuração de SSO SAML e selecione Salvar.

    Nota

    Se mais de um serviço de autenticação for selecionado, os usuários serão solicitados a selecionar com qual serviço de autenticação desejam fazer login ao iniciar o logon único em seu ambiente Salesforce. Se você não quiser que isso aconteça, então você deve deixar todos os outros serviços de autenticação desmarcados.

Criar usuário de teste do Salesforce

Nesta seção, um usuário chamado B.Simon é criado no Salesforce. O Salesforce oferece suporte ao provisionamento just-in-time, que é habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Salesforce, um novo será criado quando você tentar acessar o Salesforce. O Salesforce também oferece suporte ao provisionamento automático de usuários, você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuários.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Selecione testar esta aplicação, isto irá redirecioná-lo para o URL de início de sessão do Salesforce, onde poderá iniciar o fluxo de login.

• Acesse diretamente a URL de logon do Salesforce e inicie o fluxo de login a partir daí.

• Você pode usar o Microsoft My Apps. Ao selecionar o bloco Salesforce no portal Meus Aplicativos, você deve estar conectado automaticamente ao Salesforce para o qual configurou o SSO. Para obter mais informações sobre o portal Meus Aplicativos, consulte Introdução ao portal Meus Aplicativos.

Testar o SSO para Salesforce (Mobile)

1. Abra o aplicativo móvel Salesforce. Na página de início de sessão, selecione Utilizar Domínio Personalizado.

   

2. Na caixa de texto Domínio Personalizado, introduza o seu nome de domínio personalizado registado e selecione Continuar.

   

3. Insira suas credenciais do Microsoft Entra para entrar no aplicativo Salesforce e selecione Avançar.

   

4. Na página Permitir acesso, conforme mostrado abaixo, selecione Permitir que dê acesso ao aplicativo Salesforce.

   

5. Finalmente, após o login bem-sucedido, a página inicial do aplicativo será exibida.

   

Impedir o acesso ao aplicativo por meio de contas locais

Depois de validar que o SSO funciona e implementá-lo em sua organização, desative o acesso ao aplicativo usando credenciais locais. Isso garante que suas políticas de Acesso Condicional, MFA, etc. estejam em vigor para proteger as entradas no Salesforce.

Conteúdo relacionado

Se você tiver o Enterprise Mobility + Security E5 ou outra licença para o Microsoft Defender for Cloud Apps, poderá coletar uma trilha de auditoria das atividades do aplicativo nesse produto, que pode ser usada ao investigar alertas. No Defender for Cloud Apps, os alertas podem ser acionados quando as atividades de utilizador, administrador ou início de sessão não estão em conformidade com as suas políticas. Ao conectar o Microsoft Defender for Cloud Apps ao Salesforce , os eventos de entrada do Salesforce são coletados pelo Defender for Cloud Apps.

Além disso, você pode aplicar o Controle de Sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O Controle de Sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.