Panoramica della funzione Single Sign-On dell'applicazione mobile Salesforce

Suggerimenti introduttivi

Per prima cosa, leggere un esempio dettagliato del processo SAML previsto per questa procedura di autenticazione.

Organizzazioni che usano gli Active Directory Federation Services (AD FS) per l'autenticazione con SAML

• Assicurarsi che la propria configurazione sia conforme a quella delineata nella documentazione per AD FS.

Implementazione delle applicazioni mobili Salesforce con Single Sign-On (SSO)

Abilitazione di Dominio personale

1. Abilitare la funzione Dominio personale all'interno della propria organizzazione usando la procedura di Panoramica su Dominio personale.
2. Aggiungere la configurazione SAML al servizio di autenticazione nella sezione Configurazione autenticazione di Dominio personale usando la procedura in Aggiunta di provider di identità a una pagina di accesso. (Questo URL di dominio sarà quello da aggiungere per la connessione alle applicazioni mobili Salesforce quando si accede per avviare il processo SSO avviato dal provider di servizi)

Nota: gli utenti vorranno utilizzare questo metodo per aggiungere l'URL del dominio personale nella propria app come connessione personalizzata. Verificare che gli utenti non utilizzino il link Usa dominio personalizzato nella pagina di accesso standard. Vedere: Switch Login Server in Salesforce Mobile Apps (Passare a un server di accesso diverso nelle app mobili Salesforce)
 

Pagina di accesso basata su modulo

• Dopo aver immesso il dominio personale, si accede a una pagina Web con un modulo (form) in cui l'utente deve inserire nome utente e password di rete.
• Per le applicazioni mobili Salesforce non sono previste altre procedure di autenticazione, quali l'autenticazione integrata di Windows (NTLM) o altri tipi di richiesta di credenziali, che in tutta probabilità genereranno un messaggio di errore 401 o una schermata vuota.
• Consultare la seguente documentazione Microsoft per informazioni su come configurare questo tipo di pagina di accesso per le organizzazioni usando AD FS 2.0.
  • Understanding the ADFS 2.0 Proxy (Descrizione di AD FS 2.0 Proxy)
  • Customizing the ADFS forms based login page (Personalizzazione della pagina di accesso AD FS basata su modulo)

RelayState

• Quando avvia il processo SAML dalle applicazioni mobili Salesforce, il servizio SAML include un parametro RelayState che il provider di identità deve restituire per avviare l'impostazione OAuth dopo l'autenticazione (punti 5 - 8 del processo SAML previsto).
• Dopo l'installazione di tutte le patch di roll-up nel server, vedere la documentazione di Microsoft Supporting Identity Provider Initiated RelayState (Supporto del RelayState avviato dal provider di servizi) per ottenere assistenza su RelayState per AD FS 2.0.

Binding POST HTTP o Reindirizzamento HTTP

• Il provider di identità deve supportare i binding POST HTTP o Reindirizzamento HTTP. Utilizzare il binding Reindirizzamento HTTP se l'organizzazione usa AD FS come provider di identità. Consultare la sezione Errori 404 di seguito per maggiori dettagli.
• Nota: se si usa AD FS, nelle impostazioni SSO di Salesforce va configurato il binding Reindirizzamento, ma nella configurazione AD FS deve rimanere il binding POST. Questo perché vogliamo assicurarci che la richiesta SAML inviata dai nostri server utilizzi il binding Reindirizzamento, ma che la risposta da AD FS utilizzi POST.

Problemi comuni

• Accedere con SAML e Dominio personale e ricevere l'interfaccia completa del sito nell'interfaccia dell'app mobile Salesforce.
  • Il processo di autenticazione non indirizza alla configurazione OAuth perché il parametro RelayState non corrisponde esattamente a quello fornito inizialmente dal servizio SAML.
  • Verificare l'impostazione RelayState del provider di identità per assicurarsi che prelevi correttamente il parametro RelayState e che lo restituisca al servizio SAML.
  • Verificare che l'URL di accesso del provider di identità immesso nella sezione SAML dell'organizzazione Salesforce non contenga parametri aggiuntivi da passare in caso di indirizzamento a questo URL.
  • Vedere anche: OAuth con autenticazione SAML 2.0: il parametro RelayState potrebbe superare gli 80 caratteri.

• L'utente vede un messaggio di errore 401 o una schermata bianca quando immette l'URL del dominio personale.
  • Ciò si verifica se per l'AD FS è configurata l'autenticazione integrata di Windows (prompt NTLM). Le applicazioni mobili Salesforce non supportano questo metodo.
  • L'amministratore AD FS deve configurare una pagina di accesso basata su modulo.
  • Microsoft indica qui una soluzione alternativa alla configurazione dell'autenticazione intranet basata su modulo.

• Le asserzioni SAML hanno esito negativo con il messaggio "InResponseTo: Invalid."

• Spesso gli utenti delle applicazioni mobili Salesforce ricevono errori relativi ai certificati.
  • Nella maggior parte dei casi l'Assistenza Salesforce non può risolvere il problema. 
  • È compito dei team SSO o IT interni all'azienda caricare un nuovo certificato oppure accertarsi che il certificato corrente non debba essere installato o caricato nel dispositivo nativo.

• Errori 404. "Impossibile trovare il file o la directory. È possibile che la risorsa desiderata sia stata rimossa, che sia temporaneamente non disponibile o che il relativo nome sia stato modificato."
  • Questo errore viene generato solitamente quando si usa il binding Reindirizzamento HTTP per inviare la richiesta all'URL. Se accade che la richiesta superi il limite di sicurezza di 2048 caratteri definito per Microsoft IIS, viene generato l'errore 404.
  • Per aggirare il problema, aumentare il limite sul server che ha generato l'errore seguendo l'esempio di Microsoft qui.
  • In alternativa, impostare il binding della richiesta su POST dopo aver verificato che il provider di identità sia configurato per accettare questo tipo di binding.

• "An SSL error has occurred and a secure connection to the server cannot be made." (Si è verificato un errore SSL che impedisce di stabilire una connessione sicura al server)
  • In questo caso, la procedura ottimale consiste nell'aggiornare iOS e l'app alla versione più recente disponibile. Vedere anche: Requisiti per l'app Salesforce
  • Salesforce consiglia al reparto IT o al team addetto alla sicurezza di aggiornare i server SSO alla versione TLS 1.2.
  • La funzione App Transport Security (ATS) è stata introdotta con iOS 9.0 per assicurare la conformità ai protocolli di sicurezza Apple. Con iOS 11, Apple ha aggiunto opzioni più granulari per disabilitarla per l'host locale e i contenuti Web.
  •  Quando la funzione ATS è disabilitata, iOS utilizza il protocollo TLS 1.0 (anche se è stato negoziato l'utilizzo di TLS 1.2). Quando la funzione è abilitata, la versione utilizzata è TLS 1.2. Il problema non dovrebbe presentarsi su un server conforme a RFC.
  •  L'errore può verificarsi se il sito Web del provider di identità dell'organizzazione non contiene un certificato valido o una catena completa di certificati valida. Si consiglia di ricorrere a strumenti locali o a siti Web di verifica SSL esterni per controllare i certificati e verificare che la catena di certificati sia completa.
  • Vedere anche: Salesforce disabilita la crittografia TLS 1.1

• Errore OAuth. 1800. 
  • Si è verificato un problema durante la configurazione dell'accesso remoto. L'errore si verifica se il provider di identità ha fatto errori di codifica oppure se ha troncato il valore del parametro RelayState nella richiesta SAML, con il risultato che il valore iniziale è andato perso.
  • Il valore iniziale identifica le applicazioni mobili a cui ci si può connettere e per cui si può ottenere un token di accesso OAuth. Verificare che la risposta SAML che arriva a Salesforce corrisponda esattamente a quella inviata da Salesforce nella richiesta iniziale.

Autenticazione avanzata

• Forme di autenticazione aggiuntive per iOS e Android:
  • Possono essere attivate solamente usando la funzione Dominio personale e l'impostazione "Utilizzare il browser nativo per l'autenticazione utente su..."
  • Sono incluse funzioni quali autenticazione Google con Open ID sui dispositivi iOS oppure policy di accesso condizionale Azure/Intune che sono incompatibili con le nostre app WebView standard.
  • Vedere: Personalizzazione della pagina di accesso del dominio personale per i metodi di autenticazione mobile
  • NOTA: questa funzione di autenticazione avanzata non è disponibile per accedere a una comunità tramite un'applicazione mobile
• Per implementare i controlli MDM e l'autenticazione basata su certificato, vedere: Salesforce for Android and iOS MDM and EMM Support (Salesforce per Android e iOS: supporto MDM e EMM)

Vedere anche