Usted está aquí:
Configurar los parámetros y las políticas de SAML 2.0 de la aplicación cliente externa
Para integrar un proveedor de servicio con su organización de Salesforce, puede utilizar una aplicación cliente externa que implemente SAML 2.0 para la autenticación de usuarios. Salesforce admite inicio de sesión único (SSO) de SAML cuando el proveedor de servicio o el proveedor de identidad inicia el flujo. Para utilizar esta opción, configure una aplicación cliente externa con SAML 2.0 activado para su proveedor de servicio. Defina su organización de Salesforce como el proveedor de identidad SAML.
| Disponible en: Lightning Experience |
| Disponible en: Professional Edition, Performance Edition, Unlimited Edition y Developer Edition |
| Permisos de usuario necesarios | |
|---|---|
| Para configurar parámetros SAML de aplicaciones cliente externas | Crear, modificar y eliminar aplicaciones cliente externas |
Por ejemplo, supongamos que crea una aplicación web Sus beneficios personalizada que implementa SAML 2.0 para la autenticación de usuarios. Desea que sus usuarios puedan iniciar sesión en esta aplicación con sus credenciales de Salesforce. Para configurar este flujo de SSO, configure la aplicación web Sus beneficios como una aplicación cliente externa. Defina su organización de Salesforce como el proveedor de identidad SAML para la aplicación cliente externa. Sus usuarios ahora pueden iniciar sesión en la aplicación web Sus ventajas con sus credenciales de Salesforce.
- Complete los requisitos previos para definir proveedores de servicio.
- Cree su aplicación cliente externa y complete su información básica.
- En la sección Aplicación web (Activar configuración de SAML), seleccione Activar SAML.
-
Ingrese la información requerida, que está disponible de su proveedor de servicio.
- Id. de entidad
- El Id. exclusivo global del proveedor de servicio. Si está accediendo a múltiples aplicaciones desde su proveedor de servicio, defina el proveedor de servicio. Luego utilice el parámetro
RelayStatepara adjuntar los valores de URL para dirigir el usuario a la aplicación correcta tras iniciar sesión. - ACS URL
- La URL para el Servicio al consumidor de afirmación. Este es el extremo del proveedor de servicio que recibe afirmaciones SAML.
- Tipo de asunto
- Especifica qué campo define la identidad del usuario para la aplicación. Las opciones incluyen el nombre de usuario del usuario, el Id. de federación, el Id. de usuario de 15 caracteres, un Id. persistente calculado algorítmicamente o un atributo personalizado. Un atributo personalizado puede ser cualquier campo personalizado agregado al objeto Usuario en la organización, siempre que sea uno de estos tipos de datos: Email, Texto, URL o Fórmula (con tipo de devolución de texto). Si selecciona Atributo personalizado para el tipo de asunto, Salesforce muestra un campo Atributo personalizado con una lista de los campos personalizados de objeto Usuario disponibles en la organización.
- Formato de Id. de nombre
- Especifica el atributo format enviado en mensajes SAML. La selección predeterminada es No especificado. Dependiendo de su proveedor de servicio SAML, puede establecer el formato como dirección de email, persistente o transitoria. Si establece el formato en dirección de email, su proveedor de identidad describe los usuarios de la organización y los usuarios de Experience Cloud de forma diferente en mensajes SAML. Para los usuarios de la organización, los mensajes SAML solo incluyen la dirección de email del usuario. Esta muestra muestra el mensaje SAML enviado cuando un usuario de organización inicia sesión, con el Formato NameID establecido como
emailAddress.
Para usuarios de Experience Cloud, los mensajes de SAML anexan el Id. de organización a la dirección de email del usuario. Esta muestra muestra el mensaje SAML enviado cuando un usuario de Experience Cloud inicia sesión, con el Formato NameID establecido como<saml:Subject> <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> sandy@salesforce.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2021-02-04T20:24:41.098Z" Recipient= "https://playground-test.salesforce.com?so=00DR00000000R6N"/> </saml:SubjectConfirmation> </saml:Subject>emailAddress.
Si su proveedor de servicio solo acepta la dirección de email y no el Id. de organización, cree un atributo personalizado para la dirección de email. Consulte Configurar un atributo personalizado para aplicaciones cliente externas.<saml:Subject> <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> 00DR00000008fLq@sandy@play-test.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2021-02-04T20:17:12.647Z" Recipient= "https://playground-test.salesforce.com?so=00DR00000000R6N"/> </saml:SubjectConfirmation> </saml:Subject> - Issuer
- De forma predeterminada, la URL de inicio de sesión de Mi dominio de su organización es el emisor estándar para su proveedor de identidad. Si su proveedor de servicio SAML requiere un valor diferente, especifíquelo aquí.
-
Para cerrar sesión automáticamente en el proveedor de servicio de la aplicación cliente externa cuando cierran sesión en Salesforce:
- Seleccione Activar cierre de sesión único.
- Ingrese el extremo de cierre de sesión único del proveedor de servicio. Salesforce envía solicitudes de cierre de sesión a esta URL cuando los usuarios cierran sesión en Salesforce. La URL de cierre de sesión único debe ser una URL absoluta que comience por https://.
-
Proporcione su proveedor de servicios el extremo del SLO del IdP Salesforce.
El extremo está indicado en su Información de inicio de sesión de SAML como el Extremo de cierre de sesión único. También se indica en el archivo Metadatos de SAML como el Extremo de detección. El formato para el extremo es https://NombreMiDominio.my.salesforce.com/services/auth/idp/saml2/logout, donde NombreMiDominio es el nombre de Mi dominio de su organización.
- Seleccione el tipo de vinculación de HTTP para utilizar para el cierre de sesión único por su proveedor de servicio.
-
Si su proveedor de servicio requiere un certificado único para validar solicitudes de SAML desde Salesforce, cargue el certificado desde su sistema. De lo contrario, deje esta configuración como
Default IdP Certificate.El tamaño del certificado está limitado a 4 KB. -
Si el proveedor de servicio le proporcionó un certificado de seguridad, seleccione Verificar firmas de solicitud. Examine su sistema para el certificado y cárguelo.
El certificado solo es necesario si tiene intención de iniciar sesión en Salesforce desde el proveedor de servicio y el proveedor de servicio firma sus solicitudes SAML.
Importante Si carga un certificado, todas las solicitudes SAML deben estar firmadas. Si no se carga ningún certificado, se aceptan todas las solicitudes SAML. -
Para cifrar la respuesta, seleccione Cifrar respuesta SAML para examinar su sistema en busca del certificado y cargarlo. Seleccione un método de cifrado para cifrar la afirmación.
Los valores de algoritmo de cifrado válidos son
AES-128(clave de 128 bits) yAES-256(clave de 256 bits). -
Para Firmar algoritmo para mensajes SAML, seleccione SHA1 o SHA256 para proteger los mensajes SAML enviados desde su organización de Salesforce.
Como proveedor de identidad, Salesforce aplica el algoritmo seleccionado a sus solicitudes y respuestas de SAML. El algoritmo de firma seleccionado se aplica al inicio de sesión único y mensajes de cierre de sesión único desde su organización al proveedor de servicio.
- Después de configurar todos los parámetros para su aplicación cliente externa, guarde su trabajo.
¿Resolvió este artículo su problema?
¡Háganos saber cómo podemos mejorar!
