Loading

Présentation de l’authentification unique de l’application mobile Salesforce

Date de publication: May 28, 2021
Description


Nos applications Salesforce sont différentes de l’application du navigateur Web, ce qui signifie que certains changements seront nécessaires pour que votre authentification unique fonctionne correctement.

Remarque : Pour que la configuration de votre intégration Authentification unique SAML actuelle fonctionne dans les applications mobiles Salesforce, des changements au niveau de votre fournisseur d’identité et de votre organisation Salesforce peuvent être nécessaires. Les applications mobiles Salesforce fonctionnent uniquement avec les configurations initiées par le fournisseur de services. Si vous utilisez l’authentification initiée par le fournisseur de services, vous devez la remplacer par I’authentification initiée par le fournisseur de services.

Résolution

 

Mise en route

Premièrement, examinez un exemple détaillé du flux de processus SAML normal pour ce processus d’authentification.

Organisations qui utilisent les Services de fédération Active Directory (ADFS) pour l’authentification avec SAML

Avec Premier support, des instructions personnalisées sont disponibles en demandant un accélérateur.


Implémentation des applications mobiles Salesforce avec l’authentification unique

Activation de Mon domaine

1. Activez la fonctionnalité Mon domaine dans votre organisation en suivant les étapes décrites dans Présentation de Mon domaine.
2. Ajoutez votre configuration SAML au service d'authentification dans la section Configuration de l'authentification de Mon domaine en suivant les étapes décrites dans Ajout de fournisseurs d'identité dans une page de connexion.
(Cette URL de domaine sera celle que vous ajouterez comme connexion aux applications mobiles Salesforce lorsque vous vous connecterez pour démarrer le processus d’authentification unique initié par SP)

Remarque : Les utilisateurs voudront utiliser cette méthode pour ajouter l’URL « Mon domaine » personnalisée dans leur application comme connexion personnalisée (vérifiez que les utilisateurs n’utilisent pas de lien « Utiliser un domaine personnalisé » sur la page de connexion standard) Voir : Changer de serveur de connexion dans les applications mobiles Salesforce

Page de connexion basée sur les formulaires

  • Une fois que vous avez saisi Mon domaine, vous accédez à une page Web avec un formulaire où l’utilisateur doit saisir son mot de passe et nom d'utilisateur réseau.
  • D’autres méthodes telles que l’authentification Windows intégrée ou d’autres demandes d’identification ne seront pas gérées par les applications mobiles Salesforce, et vous obtiendrez un message d'erreur (401 challenge error) ou verrez un écran blanc.
  • Veuillez consulter la documentation Microsoft relative à la configuration de ce type de page de connexion pour les organisations qui utilisent ADFS 2.0.


RelayState

  • Lorsque notre service SAML lance le processus SAML à partir des applications mobiles Salesforce, il inclura un paramètre RelayState que votre fournisseur d’identité devra nous renvoyer pour démarrer la configuration OAuth après l’authentification (voir les étapes 5 à 8 dans flux de processus SAML normal).
  • Pour des informations sur le support avec le paramètre RelayState pour ADFS 2.0 une fois que tous les correctifs de cumul ont été installés sur le serveur, voir la documentation de Microsoft Prise en charge du paramètre RelayState initié par le fournisseur d'identité.
 

Liaisons de redirection HTTP ou HTTP POST

  • Votre fournisseur d'identité (IDP) doit prendre en charge les liaisons de redirection HTTP ou HTTP POST. Utilisez la liaison de redirection HTTP si le fournisseur d’identité de votre organisation est ADFS. Consultez notre section Erreur 404 ci-dessous pour de plus amples détails.
  • Remarque : Si vous utilisez ADFS, la liaison de redirection doit être configurée dans les paramètres d'authentification unique Salesforce mais doit rester POST sur votre configuration ADFS. Nous souhaitons vérifier que la requête SAML envoyée par nos serveurs utilise la redirection, mais le retour à partir de ADFS restera POST.
 

Problèmes courants

  • Connexion à l’aide de SAML et Mon domaine et réception de l’interface du site complet dans l'interface de l’application mobile Salesforce.
    • Le processus d’authentification ne redirige pas vers notre configuration OAuth car le paramètre RelayState n’est pas exactement comme fourni initialement par notre service SAML.
    • Vérifiez votre paramètre RelayState avec votre fournisseur d’identité pour vous assurer qu’il sélectionne le paramètre RelayState et le renvoie correctement à notre service SAML.
    • Vérifiez que l’URL de connexion au fournisseur d'identité dans la section SAML de votre organisation Salesforce ne contient pas de paramètres supplémentaires à transférer lorsque nous redirigeons vers cette URL.
    • Voir également : OAuth avec l’authentification SAML 2.0, relayState peut contenir plus de 80 caractères.
 
  • L'utilisateur reçoit un message d’erreur 401 ou un écran blanc s’affiche lorsqu’il saisit l’URL Mon domaine.
    • Ceci aura lieu si vos Services de fédération Active Directory (ADFS) sont configurés pour utiliser l’authentification Windows intégrée (demande NTLM). Les applications mobiles Salesforce ne prennent pas en charge cette méthode.
    • Une page de connexion basée sur les formulaires devra être configurée par votre administrateur ADFS.
    • Microsoft décrit une solution alternative pour configurer l’authentification basée sur les formulaires intranet ici .
 
  • Les assertions SAML échouent avec « InResponseTo: Non valide. »
 
  • Souvent, les utilisateurs voient des erreurs liées au certificat dans les applications mobiles Salesforce.
    • La plupart du temps, ce problème ne peut pas être résolu par le Support Salesforce. 
    • Les équipes informatiques ou les équipes d’authentification unique internes doivent charger un nouveau certificat, vérifier que leur certificat actuel ne doit pas être installé ou chargé sur l’appareil natif.
 
  • Erreurs 404. « Ficher ou répertoire introuvable. La ressource que vous recherchez a peut-être été supprimée, son nom a été modifié ou elle est temporairement indisponible. »
    • Cette erreur est généralement due à l’utilisation de la liaison de redirection HTTP car elle envoie la requête dans l’URL. Cela peut étendre la requête au-delà de la limite normale pour la limite de sécurité d’ISS Microsoft de 2048 et l’erreur 404 est renvoyée.
    • Vous pouvez résoudre ce problème en augmentant la limite sur le serveur qui fournit l’erreur en consultant l’exemple de Microsoft ici.
    • Autrement, vous pouvez régler la liaison de requête sur POST et vérifier que votre fournisseur d’identité est configuré pour accepter cette liaison à la place.
 
  • « Une erreur SSL s’est produite et une connexion sécurisée au serveur est impossible. »
    • Si les utilisateurs rencontrent cette erreur, nos meilleures pratiques recommandent de mettre à niveau la version iOS & App vers les versions disponibles les plus récentes. Voir également : Conditions requises pour l'application Salesforce
    • Salesforce recommande aux équipes informatique/de sécurité de mettre à niveau leur authentification unique sur les serveurs pour prendre en charge TLS 1.2.
    • App Transport Security (ATS) a été introduit dans iOS 9.0 pour être conforme aux protocoles de sécurité d’Apple. Avec iOS 11, Apple a ajouté des options plus précises pour le désactiver pour localhost, et le contenu Web.
    • Lorsque ATS est désactivé, iOS utilise une version de couche d’enregistrement de TLS 1.0 (même si TLS 1.2 est finalement négocié). Lorsqu'il est activé, la couche d’enregistrement est TLS 1.2. Ceci ne devrait pas être important pour un serveur conforme à RFC.
    • Cette erreur peut se produire si les certificats du site Web du fournisseur d’identité de votre organisation ne contiennent pas de certificat valide ou de chaîne de certificats complète. Nous vous recommandons d'utiliser des outils sur site ou des sites Web de révision SSL tiers pour vérifier vos certificats et vous assurer que vous avez des chaînes de certificats complètes.
    • Voir également : Désactivation du protocole TLS 1.1 par Salesforce
 
  • Erreur OAuth. 1800. 
    • Un problème est survenu lors de la configuration de votre accès distant. Cette erreur se produira si le fournisseur d’identité ne code pas correctement ou tronque la valeur RelayState dans la requête SAML, entraînant la perte de la valeur source.
    • Cette valeur source identifie à quelle application mobile vous allez vous connecter et obtenir un jeton d'accès OAuth. Vérifiez que la réponse SAML renvoyée à Salesforce est exactement comme fournie par Salesforce dans la requête initiale.
 

Authentification avancée

Numéro d’article de la base de connaissances

000386791

 
Chargement
Salesforce Help | Article