Loading

Descripción general de sesión único de la aplicación Salesforce Mobile

Fecha de publicación: May 28, 2021
Descripción


Las aplicaciones de Salesforce son distintas de las aplicaciones del navegador web, por lo que es preciso realizar algunos cambios para que su inicio de sesión único funcione correctamente.

Nota: Para que funcione con las aplicaciones de Salesforce Mobile, es posible que deba cambiar la configuración de su integración de inicio de sesión único de SAML actual, tanto en su proveedor de identidad, como en su organización de Salesforce. Las aplicaciones de Salesforce Mobile solo funcionan con las configuraciones de Proveedor de servicios iniciado. Si está utilizando una autenticación de tipo Proveedor de identidad iniciado, tendrá que cambiar a Proveedor de servicios iniciado.

Solución

 

Primeros pasos

En primer lugar, consulte este ejemplo detallado de flujo de procesos de SAML previsto para este proceso de autenticación.

Organizaciones que utilizan Active Directory Federation Services (ADFS) para autenticarse con SAML

Si cuenta con asistencia Premier, solicite un Acelerador y recibirá orientación individualizada.


Implementar aplicaciones de Salesforce Mobile con SSO

Activar Mi dominio

1. Active la función Mi dominio en su organización siguiendo los pasos que se indican en la descripción general de Mi dominio.
2. Agregue su configuración de SAML al servicio de autenticación dentro de la sección Configuración de autenticación de Mi dominio. Para ello, siga los pasos que se describen en Agregar proveedores de identidad a la página de inicio de sesión de Mi dominio.
(Esta URL del dominio será la que agregará como conexión a las aplicaciones de Salesforce Mobile cuando inicie sesión para iniciar el proceso de inicio de sesión único iniciado por SP)

Nota: Los usuarios deberían utilizar este método para agregar la URL de "Mi dominio" personalizada a su aplicación como una conexión personalizada (asegúrese de que los usuarios no utilizan el vínculo "Utilizar dominio personalizado" en la página de inicio de sesión estándar). Consulte: Cambiar el servidor de inicio de sesión en las aplicaciones de Salesforce Mobile

Página de inicio de sesión basada en formularios

  • Después de introducir Mi dominio, debería llegar a una página web que tiene un formulario para que el usuario introduzca el nombre de usuario y la contraseña de su red.
  • Las aplicaciones de Salesforce Mobile no gestionarán otros métodos, como la autenticación integrada de Windows (NTLM) u otras solicitudes de credenciales, y es probable que reciba un mensaje de error (error de desafío 401) o simplemente vea una pantalla en blanco.
  • Revise la siguiente documentación de Microsoft acerca de la configuración de este tipo de página de inicio para organizaciones que usen ADFS 2.0.


RelayState

  • Cuando nuestro servicio de SAML inicie el proceso de SAML desde aplicaciones de Salesforce Mobile, incluirá un RelayState para que su proveedor de identidad nos responda mediante eco para iniciar la configuración de OAuth una vez autenticado (consulte los pasos del 5 al 8 del flujo de procesos de SAML previsto).
  • Si necesita asistencia con RelayState para ADFS 2.0 después de implementar las revisiones instaladas en el servidor, consulte la documentación de Microsoft Compatibilidad con RelayState iniciado por el proveedor de identidad.
 

Enlaces de publicación HTTP o de redirección HTTP

  • Su IDP debe ser compatible con los enlaces de publicación HTTP o de redirección HTTP. Utilice el enlace Redirección HTTP si su organización cuenta con ADFS para su proveedor de identidad. Consulte nuestra sección de errores 404 que aparece a continuación para obtener información más detallada.
  • Nota: Si utiliza ADFS, el enlace de redireccionamiento se podría definir en la configuración de inicio de sesión único de Salesforce, pero se mantendría como Publicación en su configuración de ADFS. Queremos asegurarnos de que la solicitud de SAML que envían nuestros servidores usa Redireccionamiento, pero ADFS seguirá devolviendo Publicación.
 

Problemas habituales

  • Al iniciar sesión con SAML y Mi dominio, se obtiene la interfaz completa del sitio en la interfaz de la aplicación móvil de Salesforce.
    • El proceso de autenticación no está dirigiendo a nuestra configuración OAuth porque el RelayState no es exactamente el mismo que proporcionó inicialmente nuestro servicio SAML.
    • Consulte la configuración de su RelayState con su proveedor de identidad para asegurarse de que recibe correctamente el RelayState y lo devuelve a nuestro servicio SAML.
    • Asegúrese de que la URL de inicio de sesión del proveedor de identidad de la sección de SAML de su organización de Salesforce no contenga parámetros adicionales por los que haya que pasar al dirigirnos a esta URL.
    • Consulte también: Límite de caracteres de RelayState.
 
  • El usuario recibe un mensaje de error 401 o ve una pantalla blanca al introducir su URL de Mi dominio.
    • Este problema se produce si su ADFS está configurado para usar la autenticación integrada de Windows (solicitud NTLM). Las aplicaciones de Salesforce Mobile no son compatibles con este método.
    • Será necesario que su administrador de ADFS configure una página de inicio de sesión basada en formularios.
    • Microsoft ha diseñado una solución provisional para configurar la autenticación basada en formularios en la intranet. Puede consultarla aquí.
 
  • Error de aserciones SAML con "InResponseTo: no válido".
 
  • Muchas veces, los usuarios ven errores relacionados con certificados en las aplicaciones de Salesforce Mobile.
    • La mayoría de las veces, la Asistencia de Salesforce no puede resolver este problema. 
    • Los equipos de SSO o los equipos de TI internos tendrán que cargar un nuevo certificado, asegurándose de que no es necesario instalar o cargar su certificado actual en el dispositivo nativo.
 
  • Errores 404. "Archivo o directorio no encontrado. El recurso que busca podría haber sido eliminado, haber cambiado de nombre o no estar disponible temporalmente".
    • Este error suele producirse por lo general al usar el enlace Redirección HTTP, ya que envía la solicitud dentro de la URL. Esta acción puede extender la solicitud más allá del límite de seguridad normal para Microsoft IIS de 2048, lo que hace que se genere el error 404.
    • Como solución provisional, puede aumentar el límite del servidor que da lugar al error y consultar este ejemplo de Microsoft.
    • Otra opción es ajustar el enlace de solicitud a POST y asegurarse de que su proveedor de identidad esté configurado para aceptar este vínculo.
 
  • "Se ha producido un error SSL y no es posible establecer una conexión segura".
    • Si el usuario recibe este mensaje, lo aconsejable es actualizar la versión de la aplicación y de iOS a las versiones más recientes disponibles. Consulte también: Requisitos de la aplicación Salesforce
    • Salesforce recomienda a los equipos de TI y de seguridad que actualicen sus servicios de inicio de sesión único para que sean compatibles con TLS 1.2.
    • La seguridad del transporte de la aplicación (ATS) se introdujo en iOS 9.0 para cumplir con los protocolos de seguridad de Apple. Con iOS 11, Apple incorporó más opciones granulares para deshabilitarla del host local y el contenido web.
    • Cuando ATS está deshabilitada, iOS utiliza una versión de capa de registro de TLS 1.0 (aunque, en última instancia, se negocia con TLS 1.2). Cuando está habilitada, la capa de registro es TLS 1.2. Lo anterior no debería afectar a un servidor que cumpla el RFC.
    • Este error se puede producir si los certificados del sitio web del proveedor de identidad de su organización no contiene un certificado válido o una cadena de certificados completa. Le aconsejamos que utilice herramientas del sitio o sitios web de revisión de SSL externos para comprobar sus certificados y asegurarse de que sus cadenas de certificados estén completas.
    • Consulte también: Desactivación por parte de Salesforce del cifrado TLS 1.1
 
  • Error de OAuth. 1800. 
    • Había un problema con la configuración de su acceso remoto. Este error se produce si el proveedor de identidad codifica incorrectamente o trunca el valor de RelayState en la solicitud SAML, lo que provoca que se pierda el valor de origen.
    • Este valor de origen identifica cuál de nuestras aplicaciones móviles va a conectar y obtiene un token de acceso de OAuth. Asegúrese de que la respuesta que SAML devuelve a Salesforce sea la misma que le proporcionó Salesforce en la solicitud inicial.
 

Autenticación avanzada

Número del artículo de conocimiento

000386791

 
Cargando
Salesforce Help | Article