Loading

Descripción general de la implementación del inicio de sesión único (SSO) de Marketing Cloud

Fecha de publicación: Nov 22, 2021
Descripción

Este artículo le guía por el proceso de configuración de Inicio de sesión único (SSO) para un Proveedor de identidad con Salesforce Marketing Cloud como el Proveedor de servicio. Las siguientes instrucciones le ayudan con los aspectos específicos de la implementación de SSO junto con nuestra

documentación de SSO existente.

 

NOTA: Este artículo no representa una solución integral para cada caso de uso, pero le orientará para empezar a trabajar con la configuración de SSO y Salesforce Marketing Cloud. Para cada caso de uso, trabaje también con su IDP.

Solución

Términos clave:

  • SAML: - Security Assertion Markup Language (Lenguaje de marcado de aserción de seguridad)
  • SAML2: - Segunda iteración de Security Assertion Markup Language
  • Proveedor de identidad (IDP): Un tipo de proveedor de servicio que crea, mantiene y gestiona información de identidad para entidades de seguridad y proporciona autenticación de seguridad a otros proveedores de servicio dentro de una federación, como con perfiles de navegadores. (ADFS, Okta, Salesforce.com, Ping Federated, etcétera)
  • Entidades de seguridad: Una entidad del sistema cuya identidad puede autenticarse. (Estándar de seguridad de TI X.811)
  • Proveedor de servicio (SP): Una función puesta por una entidad del sistema donde la entidad del sistema proporciona servicios a entidades de seguridad u otras entidades del sistema. (Por ejemplo, Salesforce Marketing Cloud utiliza Shobbleth como SP.)

 

Estos son los pasos generales para completar una integración de SSO para un IDP de SAML2 al SFMC

 

NOTA: Esta guía es solo para fines educativos, y su implementación establecida podría variar en base a la configuración del IDP. Consulte a su proveedor de IDP o equipo de TI las solicitudes específicas del IDP. 

 

1. Activar SSO

 

a) Active SSO en su cuenta de Salesforce Marketing Cloud. SSO ya podría estar activado en la cuenta Enterprise. Para verificarlo, inicie sesión con el Id. de la cuenta principal Enterprise en su instancia de MC y diríjase a Configuración > Administración > Gestión de datos > Gestión de claves.b) Si SSO está activado, aparecerá el botón de opción Metadatos de SSO. Si el botón de opción no aparece en la interfaz de usuario, puede ser que SSO no esté activado o que usted se encuentre dentro de una unidad comercial. Si está en la unidad comercial del nivel Enterprise y SSO no está activado, eleve un caso para que el servicio de asistencia active SSO para su cuenta.

 

NOTA: Solo puede tener un conjunto de metadatos de SSO activo al mismo tiempo.

 

2. Recuperar datos de SAML

 

Después de activar SSO, deberá recuperar sus metadatos de SAML desde la cuenta de MC. Están ubicados bajo Configuración > Parámetros > Seguridad > Configuración de seguridad > Configuración de inicio de sesión único > Metadatos SAML de SSO (botón). Una url tiene un aspecto parecido a lo siguiente:

 

https://ExtremoEspecificoArrendatario.login.exacttarget.com/SFMCMetadata

 

NOTA: Si tiene una opción de seleccionar una versión de certificado, elija el que tenga los datos de caducidad más recientes, como por ejemplo (Enero de 2021 - mc.login.exacttarget.com (caduca el 5 de febrero de 2022))

 

3. Aplicar a su IDP

 

Ahora debe aplicar los metadatos de SFMC a su IDP.

 

4. Crear una clave

 

Después de aplicar los metadatos de SFMC, llevará los metadatos desde su IDP y los introducirá en la sección Gestión de claves de SFDC. Dentro de su organización diríjase a Configuración > Administración > Gestión de datos > Gestión de claves. Se requiere un valor <NameIDFormat> para los metadatos de IDP introducidos en la configuración de SFMC y agregar una de las líneas siguientes a los metadatos si aparece un error que indica que falta el <NameIDFormat> o no es válido. Si el <NameIDFormat> está en una ubicación errónea también aparecerá el error.

 

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat>

 

<NameIdFormat> deberá estar colocado entre la etiqueta de cierre </KeyDescriptor> y la etiqueta de apertura <SingleSignOnService>

 

</md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat> <md:SingleSignOnService ... >

 

NOTE: MD: es un espacio de nombres XML, y si sus metadatos de IDP no lo utilizan o es diferente, deberá eliminarlo o cambiarlo en consecuencia. Las etiquetas de apertura y cierre de <NameIDFormat> deberán coincidir con el espacio de nombres utilizando en los elementos <KeyDescriptor> de cierre y <SingleSignOnService> de apertura.

 

5. Guardar la clave

 

Ahora haga clic en Guardar. Si se acepta la clave, aparecerá una pancarta verde y la clave se habrá guardado correctamente. Si se produce un error y no puede resolver el problema, abra un Caso de asistencia. 

 

 

 

6. Activar el parámetro de SSO

 

Después de que aparezca la pancarta verde y tenga una clave vigente, deberá activar SSO para su cuenta de MC bajo Configuración > Parámetros > Seguridad > Configuración de seguridad > Modificar > Configuración de inicio de sesión único > Activar SSO seleccionando o marcando el parámetro; a continuación seleccione Guardar. NOTA: No requerir verificación de identidad para inicios de sesión SSO es opcional. NOTA: La versión del certificado podrá variar o podrían enumerarse múltiples versiones. 

 

 

 

7. Configurar parámetros de SSO de usuario

 

El siguiente paso será dirigirse a Configuración > Usuarios > Usuarios, y luego hacer clic en un usuario. Seleccione la opción Activar SSO y agregue el Id. de federación que se configuró en el lado del IDP. Si desconoce el valor, deberá verificarlo con su IDP o equipo de TI para recopilar esa información para continuar.

 

NOTA: Una situación habitual con la activación de SSO es que el usuario final que intenta iniciar sesión no pueda restablecer su contraseña de usuario o iniciar sesión a través de la URL mc.exacttarget.com. La ruta de inicio de sesión de usuario y contraseña se ignora cuando SSO está activado. Esto funciona según su diseño, ya que un usuario final solo puede iniciar sesión a través del vínculo iniciado por SP proporcionado bajo Configuración > Parámetros > Seguridad > Configuración de seguridad > Modificar > Configuración de inicio de sesión único > Vínculo iniciado por Marketing Cloud SP, o una conexión iniciada por IDP a través de un panel y otro método para iniciar la conversación. TODAS las solicitudes a mc.exacttarget.com se reciben pero no se procesan para cualquier usuario que tenga la casilla Activar SSO marcada. Esto se realiza usuario por usuario.

NOTA ii: No se requerirá MFA de SFMC si está utilizando SSO, pero su proveedor IDP de SSO deberá tener la cobertura de MFA activada. Podrá encontrar más información aquí.

 

8. Probar la configuración de SSO

 

Pruebe el nuevo usuario con SSO, ya sea a través de una ventana de incógnito o un navegador con la memoria caché recién purgada. Si recibe un error, abra un caso con el servicio de asistencia. Si inicia sesión sin problemas puede continuar e implementar más usuarios con SSO. Práctica recomendada: Deje al menos 1 usuario administrador sin SSO de modo que pueda recuperar la cuenta e iniciar sesión en SFMC para corregir cualquier problema de configuración de SSO. 

Número del artículo de conocimiento

000388896

 
Cargando
Salesforce Help | Article