Loading

Vue d’ensemble de l’implémentation de l’authentification unique (SSO) dans Marketing Cloud

Date de publication: Nov 22, 2021
Description

Cet article présente la configuration de l’authentification unique (SSO) pour un fournisseur d’identité avec Salesforce Marketing Cloud en tant que fournisseur de services. Le guide ci-dessous vous aide avec les spécificités de l’implémentation de l’authentification unique, en complément de notre

documentation SSO.

 

REMARQUE : cet article ne propose pas de solution adaptée à tous les cas d’utilisation, mais vous explique comment démarrer avec la configuration de l’authentification unique et de Salesforce Marketing Cloud. Pour obtenir des conseils propres à chaque cas d’utilisation, consultez votre IdP.

Résolution

Termes clés :

  • SAML : - Security Assertion Markup Language (langage de balisage d’assertion de sécurité)
  • SAML2 : - deuxième itération de Security Assertion Markup Language
  • Fournisseur d’identité (IdP) : type de fournisseur de services qui crée, assure et gère les informations d’identité des principaux et fournit une authentification principale à d’autres fournisseurs de services au sein d’une fédération, par exemple avec des profils de navigateur Web (ADFS, Okta, Salesforce.com, Ping Federated, etc.).
  • Principaux : entité système dont l’identité peut être authentifiée (cadre de sécurité informatique X.811).
  • Fournisseur de services (SP) : rôle attribué par une entité système où l’entité système fournit des services aux principaux ou à d’autres entités système (Salesforce Marketing Cloud utilise Shobbleth comme SP).

 

Voici les étapes générales pour effectuer une intégration SSO pour un IdP SAML2 au SFMC.

 

REMARQUE : ce guide a été rédigé dans un but éducatif uniquement et votre implémentation réelle peut varier en fonction de la configuration de l’IdP. Consultez votre fournisseur IdP ou votre équipe informatique pour les demandes spécifiques à l’IdP. 

 

1. Activer la SSO

 

a) Activez la SSO sur votre compte Salesforce Marketing Cloud. La SSO peut déjà être activée sur le compte d’entreprise. Pour le vérifier, connectez-vous à l’ID de compte principal d’entreprise sur votre instance MC, puis accédez à Configuration > Administration > Gestion des données > Gestion des clés.b) Si la SSO est activée, le bouton radio Métadonnées SSO apparaît. Si le bouton radio n’apparaît pas dans l’interface utilisateur, cela signifie que la SSO n’est pas activée ou que vous êtes dans une unité commerciale. Si vous êtes dans l’unité commerciale au niveau de l’entreprise et que la SSO n’est pas activée, soumettez une requête pour que le support active la SSO pour votre compte.

 

REMARQUE : vous ne pouvez avoir qu’une seule métadonnée SSO active à la fois.

 

2. Récupération des métadonnées SAML

 

Une fois la SSO activée, vous devez récupérer vos métadonnées SAML à partir du compte MC. Elles se trouvent sous Configuration > Paramètres > Sécurité > Paramètres de sécurité > Paramètres d’authentification unique > Métadonnées SAML SSO (bouton) L’URL ressemble à ce qui suit :

 

https://TenantSpecificEndpoint.login.exacttarget.com/SFMCMetadata

 

REMARQUE : si vous avez la possibilité de sélectionner une version de certificat, choisissez celle avec la date d’expiration la plus tardive. Exemple : [Jan 2021 - mc.login.exacttarget.com (expires February 5, 2022)]

 

3. Application à votre IdP

 

Vous devez maintenant appliquer les métadonnées SFMC à votre IdP.

 

4. Création d’une clé

 

Une fois les métadonnées SFMC appliquées, vous prendrez les métadonnées de votre IdP et les saisirez dans la section Gestion des clés de SFDC. Au sein de votre organisation, accédez à Configuration > Administration > Gestion des données > Gestion des clés. Une valeur <NameIDFormat> est requise. Les métadonnées IdP entrées dans la configuration SFMC ajoutent l’une des lignes suivantes aux métadonnées si vous recevez une erreur indiquant que le <NameIDFormat> est manquant ou non valide. Si la valeur <NameIDFormat> est au mauvais endroit, une erreur se produira également.

 

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat>

 

La balise <NameIdFormat> doit être placée entre la balise de fermeture </KeyDescriptor> et la balise d’ouverture <SingleSignOnService>

 

</md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat> <md:SingleSignOnService ... >

 

REMARQUE : md: est un espace de noms XML, et si vos métadonnées IdP ne l’utilisent pas ou sont différentes, vous devez le supprimer ou le modifier en conséquence. Les balises d’ouverture et de fermeture <NameIDFormat> doivent correspondre à l’espace de noms utilisé dans l’élément de fermeture <KeyDescriptor> et l’élément d’ouverture <SingleSignOnService>.

 

5. Enregistrement de la clé

 

Maintenant, cliquez sur Enregistrer. Si la clé est acceptée, une bannière verte apparaît et la clé est enregistrée. Si une erreur se produit et que vous ne pouvez pas résoudre le problème, ouvrez une requête de support. 

 

 

 

6. Activation du paramètre SSO

 

Une fois que la bannière verte et la clé sont en place, vous devez activer la SSO pour votre compte MC sous Configuration > Paramètres > Sécurité > Paramètres de sécurité > Modifier > Paramètres d’authentification unique > Activer la SSO en sélectionnant ou en vérifiant le paramètre, puis en sélectionnant Enregistrer. REMARQUE : l’option Ne pas demander la vérification de l’identité pour les connexions SSO est facultative. REMARQUE : la version du certificat peut varier ou plusieurs versions peuvent être répertoriées. 

 

 

 

7. Configuration des paramètres SSO de l’utilisateur

 

La prochaine étape sera d’accéder à Configuration > Utilisateurs > Utilisateurs, puis de cliquer sur un utilisateur. Sélectionnez l’option Activer la SSO et ajoutez l’ID de fédération qui a été configuré du côté IdP. Si la valeur est inconnue, vous devez demander cette information à votre IdP ou à votre équipe informatique pour continuer.

 

REMARQUE : avec l’activation de la SSO, il arrive souvent que l’utilisateur final tente de se connecter, mais ne puisse pas réinitialiser son mot de passe ou son identifiant utilisateur via l’URL mc.exactarget.com. La méthode d’accès identifiant/mot de passe est ignorée lorsque la SSO est activée. Il s’agit d’un fonctionnement prévu, car un utilisateur final peut se connecter uniquement via le lien initié par la SP fourni sous Configuration > Paramètres > Sécurité > Paramètres de sécurité > Modifier > Paramètres d’authentification unique > Lien initié par SP Marketing Cloud, ou une connexion initiée par l’IdP via un tableau de bord ou une autre méthode pour démarrer la conversation. TOUTES les demandes mc.exacttarget.com sont reçues mais elles ne sont pas traitées pour les utilisateurs pour lesquels la case SSO activée est activée. Ce comportement dépend de chaque utilisateur.

REMARQUE ii : la MFA dans SFMC ne sera pas nécessaire si vous utilisez la SSO, mais la prise en charge MFA doit être activée chez votre fournisseur IdP de SSO. Plus d’informations ici.

 

8. Test de la configuration SSO

 

Testez le nouvel utilisateur SSO désigné, soit via une fenêtre de navigation privée, soit via un navigateur dont le cache vient d’être vidé. Si vous recevez une erreur, ouvrez une requête auprès de l’équipe de support. Si vous vous connectez sans problème, vous pouvez continuer et implémenter d’autres utilisateurs SSO. Recommandé : laissez au moins un utilisateur administrateur hors de la SSO afin de pouvoir récupérer le compte et vous connecter au SFMC pour corriger tout problème de configuration SSO. 

Numéro d’article de la base de connaissances

000388896

 
Chargement
Salesforce Help | Article