Loading

Marketing Cloud 单点登录 (SSO) 实施概述

发布日期: Nov 22, 2021
描述

本文章将指导您使用 Salesforce Marketing Cloud 即服务提供商,为身份提供商设置单点登录 (SSO)。使用以下指南和

现有 SSO 文档将补充实施 SSO 的具体细节。

 

注意:本文章并非每个用例的综合解决方案,但为开始配置 SSO 和 Salesforce Marketing Cloud 提供了指导。对于每个用例,也支持与 IDP 一起使用。

解决方案

关键术语:

  • SAML:- 安全断言标记语言
  • SAML2:- 安全断言标记语言的第二次迭代
  • 身份提供商 (IDP):这是一种服务提供商,用于创建、维护和管理主体的身份信息,并向联合中的其他服务提供商提供主体身份验证,例如使用 Web 浏览器简档。(ADFS、Okta、Salesforce.com、Ping Federated 等)
  • 主体:可认证身份的系统实体。(X.811 IT 安全标准)
  • 服务提供商 (SP):系统实体提供的角色,系统实体向主体或其他系统实体提供服务。(即 Salesforce Marketing Cloud 将 Shobbleth 用作 SP)

 

对于将适用于 SAML2 IDP 的 SSO 集成到 SFMC,以下是完成该操作的一般步骤。

 

注意:本指南仅用于培训目的,实际实施会因 IDP 配置而异。有关特定于 IDP 的请求,请咨询 IDP 供应商或 IT 团队。 

 

1.启用 SSO

 

a) 请对 Salesforce Marketing Cloud 帐户启用 SSO。SSO 已对企业帐户启用。要验证,登录 MC 实例中的主要企业帐户 ID,然后转到设置 > 管理 > 数据管理 > 密钥管理。b) 如果启用 SSO,将显示 SSO 元数据单选按钮。如果单选按钮未在 UI 中显示,即表示 SSO 未启用,或您在业务部门中。如果您在企业级业务部门中,并未启用 SSO,请提交个案,以便支持为您的帐户启用 SSO。

 

注意:一次仅可激活一个活动 SSO 元数据。

 

2.检索 SAML 元数据

 

在 SSO 启用后,您必须从 MC 帐户检索 SAML 元数据。该数据位于设置 > 设置 > 安全性 > 安全设置 > 单点登录设置 > SSO SAML 元数据(按钮)URL 如下所示:

 

https://TenantSpecificEndpoint.login.exacttarget.com/SFMCMetadata

 

注意如果您可以选择证书版本,请选择包含最新到期数据示例的证书版本(2021 年 1 月 - mc.login.exacttarget.com(于 2022 年 2 月 5 日到期))

 

3.应用于 IDP

 

现在,您必须将 SFMC 元数据应用于 IDP。

 

4.创建密钥

 

在应用 SFMC 元数据后,您将从 IDP 获取元数据,并输入 SFDC 的密钥管理部分。在贵组织中,转到设置 > 管理 > 数据管理 > 密钥管理。如果您看到一则错误消息,并显示<NameIDFormat>缺失或无效,<NameIDFormat>值是必填项,将 IDP 元数据输入 SFMC 配置,并将以下其中一行添加到元数据。如果<NameIDFormat>位置错误,也将显示错误。

 

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat>

 

<NameIdFormat>必须位于</KeyDescriptor>结束标记与<SingleSignOnService>开始标记之间 

 

</md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat> <md:SingleSignOnService ...>

 

注意:MD: 是 XML 命名空间;如果 IDP 元数据未使用或不同,您必须适时移除或更改。<NameIDFormat>开始和结束标记必须匹配在结束<KeyDescriptor>和开始<SingleSignOnService>元素中使用的命名空间。

 

5.保存密钥

 

现在,单击“保存”;如果接受密钥,将显示绿色横幅,即密钥已成功保存。如果出错,您无法解决问题,打开支持个案。 

 

 

 

6.启用 SSO 设置

 

在显示绿色横幅并保存密钥后,您必须通过选择或检查设置,并选择保存,在设置 > 设置 > 安全性 > 安全设置 > 编辑 > 单点登录设置 > 启用 SSO 下方为 MC 帐户启用 SSO。注意:SSO 登录无需身份验证是可选项。注意:证书版本各不相同,或列出多个版本。 

 

 

 

7.配置用户 SSO 设置

 

下一步将转到设置 > 用户 > 用户,然后单击用户。选择启用 SSO 选项,并添加在 IDP 端配置的联合 ID。如果值未知,您必须与 IDP 或 IT 团队确认,收集信息以继续。

 

注意:启用 S​​SO 的常见情况是,尝试登录的最终用户无法重置用户密码,或通过 mc.exactarget.com URL 登录。在启用 SSO 时,将忽略用户和通过登录路由。此功能如预期正常工作,最终用户仅可通过设置 > 设置 > 安全性 > 安全设置 > 编辑 > 单点登录设置 > Marketing Cloud SP 启动的链接下方提供的 SP 启动的链接登录,或通过启动对话的仪表板或其他方法,使用 IDP 启动的连接登录。所有 mc.exacttarget.com 请求已收到,但对于启用“已启用 SSO”框的任何用户,将不会处理。 此设置基于用户。

注意 ii:如果您使用 SSO,将不需要 SFMC MFA,但 SSO IDP 提供商应启用 MFA 支持 - 请在此处了解更多信息。

 

8.测试 SSO 配置

 

通过隐身窗口或清除的缓存浏览器,测试新任命的 SSO 用户。如果您收到错误,请通过支持打开个案。如果正常登录,您可以继续并实施更多 SSO 用户。最佳实践:请将至少 1 个管理员用户保留在 SSO 中,以便恢复帐户并登录 SFMC,更正任何配置 SSO 问题。 

知识文章编号

000388896

 
正在加载
Salesforce Help | Article