Loading

Panoramica dell'implementazione di Single Sign-On (SSO) con Marketing Cloud

Data pubblicazione: Nov 22, 2021
Descrizione

Questo articolo fornisce istruzioni per le varie fasi dell'impostazione di Single Sign On (SSO) per un provider di identità con Salesforce Marketing Cloud come provider di servizi. Le seguenti istruzioni, insieme alla nostra

documentazione SSO esistente, illustrano dettagliatamente l'implementazione di SSO.

 

NOTA: questo articolo non fornisce una soluzione onnicomprensiva per qualsiasi caso d'uso, ma rappresenta una guida iniziale per la configurazione di SSO e di Salesforce Marketing Cloud. Per ciascun caso d'uso si consiglia di collaborare con il proprio provider di identità (IDP).

Risoluzione

Parole chiave:

  • SAML: - Security Assertion Markup Language
  • SAML2: - seconda iterazione di Security Assertion Markup Language
  • Provider di identità (IDP): un tipo di provider di servizi che crea, conserva e gestisce informazioni sull'identità per le entità e fornisce l'autenticazione basata su entità ad altri provider di servizi all'interno di una federazione, come per i profili dei browser Web. (ADFS, Okta, Salesforce.com, Ping Federated e così via)
  • Entità: un'entità di sistema la cui identità può essere autenticata. (Standard di sicurezza X.811 IT)
  • Provider di servizi (SP): un ruolo rivestito da un'entità di sistema, che prevede che l'entità di sistema fornisca servizi alle entità o ad altre entità di sistema (ad esempio, Salesforce Marketing Cloud utilizza Shobbleth come provider di servizi)

 

Di seguito sono illustrati i passaggi necessari per completare un'integrazione SSO per un provider di identità SAML2 in ambiente SFMC

 

NOTA: questa guida ha unicamente scopi didattici; l'implementazione effettiva potrebbe variare in base alla configurazione del provider di identità. Per eventuali richieste specifiche per il provider di identità, consultare il fornitore del provider di identità o il team IT. 

 

1. Abilitazione dell'SSO

 

a) Abilitare l'SSO sul proprio account Salesforce Marketing Cloud. L'SSO potrebbe già essere abilitato sull'account Enterprise. Per verificare, accedere all'ID dell'account Enterprise principale sulla propria istanza MC, quindi andare in Imposta > Amministrazione > Gestione dati > Gestione chiavi.b) Se l'SSO è abilitato, viene visualizzato il pulsante di opzione Metadati SSO. Se nell'interfaccia utente non compare il pulsante di opzione, significa che l'SSO non è abilitato, oppure che l'utente si trova all'interno di un'unità operativa. Se l'utente si trova in un'unità operativa di livello Enterprise e l'SSO non è abilitato, aprire un caso per far sì che l'assistenza abiliti l'SSO per il corrispondente account.

 

NOTA: è possibile avere un solo file Metadati SSO attivo per volta.

 

2. Recupero dei metadati SAML

 

Una volta abilitato l'SSO, è necessario recuperare i metadati SAML dall'account MC. Accedere a Imposta > Impostazioni > Sicurezza > Impostazioni di sicurezza > Impostazioni Single Sign-On > Metadati SAML SSO (pulsante) L'URL è simile al seguente:

 

https://TenantSpecificEndpoint.login.exacttarget.com/SFMCMetadata

 

NOTA: se è consentito scegliere la versione del certificato, scegliere quella con la data di scadenza più lontana (Gen 2021 - mc.login.exacttarget.com (scade il 5 febbraio 2022))

 

3. Applicazione al provider di identità

 

A questo punto sarà necessario applicare i metadati SFMC al proprio provider di identità.

 

4. Creazione di una chiave

 

Completata l'applicazione dei metadati SFMC, sarà necessario estrarre i metadati dal proprio provider di identità e caricarli nella sezione Gestione chiavi di SFDC. All'interno della propria organizzazione, andare a Imposta > Amministrazione > Gestione dati > Gestione chiavi. È richiesto un valore <NameIDFormat> per i metadati del provider di identità immessi nella configurazione SFMC; aggiungere una delle seguenti linee ai metadati se si riceve un messaggio di errore che indica che <NameIDFormat> è mancante o non valido. Un messaggio di errore viene visualizzato anche quando <NameIDFormat> si trova nella posizione sbagliata.

 

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat>

 

<NameIdFormat> deve essere inserito tra il tag di chiusura </KeyDescriptor> e il tag di apertura <SingleSignOnService>

 

</md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat> <md:SingleSignOnService ... >

 

NOTA: MD: è uno spazio dei nomi XML; se i metadati del provider di identità non lo utilizzano, o ne usano uno diverso, è necessario rimuoverlo o modificarlo di conseguenza. I tag di apertura e di chiusura <NameIDFormat> devono corrispondere allo spazio dei nomi utilizzato negli elementi di chiusura <KeyDescriptor> e di apertura <SingleSignOnService>.

 

5. Salvataggio della chiave

 

A questo punto, fare clic su Salva; se la chiave viene accettata, compare un banner verde, che indica che la chiave è stata salvata correttamente. Se si verifica un errore e non è possibile risolvere il problema, aprire un caso di assistenza. 

 

 

 

6. Abilitazione delle impostazioni SSO

 

Una volta visualizzato il banner verde e memorizzata la chiave, è necessario abilitare l'SSO per il proprio account MC; accedere a Imposta > Impostazioni > Sicurezza > Impostazioni di sicurezza > Modifica > Impostazioni Single Sign-On > Abilita SSO selezionando o contrassegnando le impostazioni, quindi selezionare Salva. NOTA: l'opzione Non è richiesta la verifica dell'identità per gli accessi SSO è facoltativa NOTA: la versione del certificato può variare, oppure possono essere elencate più versioni. 

 

 

 

7. Configurazioni delle impostazioni SSO dell'utente

 

Per il prossimo passaggio è necessario accedere a  Imposta > Utenti > Utenti, quindi selezionare un utente. Selezionare l'opzione Abilita SSO e aggiungere l'ID federazione configurato sul lato provider di identità. Se il valore non è noto, sarà necessario verificare presso il provider di identità o il team IT, per ottenere l'informazione necessaria per procedere.

 

NOTA: una situazione comune con l'abilitazione dell'SSO si ha quando l'utente finale che tenta di accedere non riesce a ripristinare la propria password o accedere tramite l'URL mc.exactarget.com. Il percorso di accesso mediante nome utente e password viene ignorato quando l'SSO è abilitato. Tuttavia, ciò è normale in quanto un utente finale può accedere esclusivamente mediante il link avviato dal provider di servizi disponibile alla voce Imposta > Impostazioni > Sicurezza > Impostazioni di sicurezza > Modifica > Impostazioni Single Sign-On > Collegamento avviato dal provider di servizi (SP) Marketing Cloud, oppure tramite una connessione avviata dal provider di identità mediante un cruscotto digitale o un altro metodo per iniziare la conversazione. TUTTE le richieste mc.exacttarget.com vengono ricevute, ma non elaborate, per gli utenti la cui casella SSO abilitato è stata selezionata. Questa procedura viene effettuata utente per utente.

NOTA ii: l'autenticazione a più fattori (MFA) di SFMC non è richiesta se si utilizza l'SSO, tuttavia il proprio provider di identità SSO deve avere il supporto MFA abilitato - maggiori informazioni qui.

 

8. Verifica della configurazione SSO

 

Verificare l'utente SSO appena assegnato aprendo una finestra in incognito oppure dal browser, dopo aver svuotato la cache. Se si riceve un messaggio di errore, aprire un caso con l'Assistenza. Se invece l'accesso avviene senza problemi, procedere aggiungendo altri utenti SSO. Procedura ottimale: lasciare almeno 1 utente amministratore non SSO; in questo modo, sarà possibile recuperare l'account e le credenziali di accesso a SFMC per correggere eventuali errori di configurazione SSO. 

Numero articolo Knowledge

000388896

 
Caricamento
Salesforce Help | Article