Loading
Identificar sus usuarios y gestionar el acceso
Índice de materias
Filtrar por (0)Agregar
Seleccionar filtros

          No hay resultados
          No hay resultados
          Estas son algunas sugerencias de búsqueda

          Compruebe la ortografía de sus palabras clave.
          Utilice términos de búsqueda más generales.
          Seleccione menos filtros para ampliar su búsqueda.

            Buscar en toda la Ayuda de Salesforce
            Buscar en toda la Ayuda de Salesforce
            Flujos de inicio de sesión único de SAML

            Usted está aquí:

            1. Ayuda de Salesforce
            2. Documentos
            3. Identificar sus usuarios y gestionar el acceso

            Flujos de inicio de sesión único de SAML

            Cuando configura el inicio de sesión único (SSO) con Security Assertion Markup Language (SAML), puede iniciar el inicio de sesión desde el proveedor de servicio o el proveedor de identidad. Los inicios de sesión lanzados desde proveedor de servicio y el proveedor de identidad utilizan flujos diferentes, pero ambos dan como resultado que el usuario inicie sesión en el proveedor de servicio.

            Ediciones necesarias

            Disponible en: Salesforce Classic y Lightning Experience
            Disponible en: Developer Edition, Enterprise Edition, Performance Edition, Unlimited Edition y Database.com Edition
            Permisos de usuario necesarios
            Definir y modificar los proveedores de identidad y los proveedores de servicio: Personalizar aplicación

            Seguridad SAML

            Para comprender cómo funcionan estos flujos de SSO, es importante comprender cómo utilizan los proveedores SAML para intercambiar información de seguridad.

            Sugerencia
            Sugerencia Para resumir su vocabulario de SSO, consulte Terminología de inicio de sesión único en la Ayuda de Salesforce.

            Para ambas variaciones de flujo de SSO de SAML, el proveedor de identidad autentica al usuario, lo que confirma que el usuario es quien dice ser. Después de que el proveedor de identidad autentique al usuario, utiliza una respuesta SAML para indicar al proveedor de servicio quién es el usuario y qué se le permite hacer. Almacena información acerca de la identidad del usuario en una parte específica de la respuesta denominada afirmación SAML.

            Para señalar que el proveedor de servicio puede Trust la respuesta SAML, el proveedor de identidad firma el cuerpo de respuesta, la afirmación o ambos. Si el cuerpo de respuesta o la afirmación están firmados depende del proveedor de identidad.

            • Si utiliza Salesforce como proveedor de identidad, Salesforce firma el cuerpo de respuesta SAML y la afirmación.
            • Si utiliza un proveedor de identidad externo, consulte con su proveedor de identidad para ver cómo firman respuestas SAML.

            Cuando el proveedor de servicio recibe la respuesta SAML, valida esta firma. El modo en que se valida la firma depende del proveedor de servicio.

            • Si utiliza Salesforce como proveedor de identidad, consulte con su proveedor de servicio para ver cómo validan las firmas. Como Salesforce firma el cuerpo de respuesta y la afirmación, es compatible con una variedad de proveedores de servicio.
            • Si utiliza Salesforce como proveedor de servicio, Salesforce puede validar firmas en el cuerpo de respuesta o la afirmación. Salesforce busca primero una firma en el cuerpo de respuesta. Si la firma de respuesta falta o no es válida, Salesforce intenta validar la firma en la afirmación SAML. Incluso si un atacante captura la respuesta SAML desde el navegador del usuario y manipula el cuerpo de la respuesta, el inicio de sesión de SSO no está en riesgo siempre que la firma de la afirmación esté intacta.

              Si su proveedor de identidad admite afirmaciones SAML cifradas para mayor seguridad, también puede configurar Salesforce para descifrar y validar estas afirmaciones.

            Flujo de inicio de sesión de SAML iniciado por el proveedor de servicio

            En un flujo iniciado por el proveedor de servicio, el proveedor de servicio lanza el proceso de inicio de sesión con una solicitud de SAML al proveedor de identidad. A continuación le indicamos cómo funciona este flujo.

            1. El usuario solicita una sesión segura para acceder a un recurso protegido en el proveedor de servicio. Por ejemplo, el usuario hace clic en un vínculo para rellenar un formulario en el proveedor de servicio. Pero el formulario es un recurso protegido, lo que significa que el usuario solo puede acceder después de iniciar sesión.
            2. El proveedor de servicio lanza el inicio de sesión enviando una solicitud de SAML al proveedor de identidad, solicitando que autentique al usuario.
            3. El proveedor de identidad envía al usuario a una página de inicio de sesión.
            4. El usuario introduce sus credenciales de inicio de sesión del proveedor de identidad y el proveedor de identidad autentica al usuario.
            5. El proveedor de identidad ahora sabe quién es el usuario, de modo que envía una respuesta de SAML firmada criptográficamente al proveedor de servicio. La respuesta SAML contiene una afirmación SAML que indica al proveedor de servicio quién es el usuario.
            6. El proveedor de servicio valida la firma en la respuesta SAML e identifica al usuario.
            7. El usuario ahora inició sesión en el proveedor de servicio y puede acceder al recurso protegido.

            Flujo de SAML iniciado por el proveedor de identidad

            En un flujo de inicio de sesión iniciado por el proveedor de identidad, una solicitud de SAML es innecesaria porque el proveedor de identidad inicia el flujo con una respuesta de SAML. Un flujo de inicio de sesión iniciado por el proveedor de identidad es una versión acortada de un flujo de iniciado por el proveedor de servicio. A continuación le indicamos cómo funciona este flujo.

            1. El usuario inicia sesión en el proveedor de identidad.
            2. El usuario hace clic en un botón o vínculo para acceder al proveedor de servicio. Por ejemplo, el usuario hace clic en una aplicación en la página Iniciador de aplicación en una organización de Salesforce.
            3. El proveedor de identidad lanza el inicio de sesión enviando una respuesta de SAML firmada criptográficamente al proveedor de servicio. La respuesta SAML contiene una afirmación SAML que indica al proveedor de servicio quién es el usuario.
            4. El proveedor de servicio valida la firma en la respuesta SAML e identifica al usuario.
            5. El usuario habrá iniciado sesión en el proveedor de servicio.

            Solicitud y respuesta de SAML de ejemplo

            Este es un ejemplo de una solicitud de SAML. En un flujo iniciado por el proveedor de servicio, el proveedor de servicio envía una solicitud de SAML para iniciar el proceso de inicio de sesión.

            <samlp:AuthnRequest ID="bndkmeemcaamihajeloilkagfdliilbhjjnmlmfo" Version="2.0" 
   IssueInstant="2010-05-24T22:57:19Z" 
   ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
   ProviderName="google.com" IsPassive="false" 
   AssertionConsumerServiceURL="https://www.google.com/a/resp.info/acs">
   <saml:Issuer>google.com</saml:Issuer>
   <samlp:NameIDPolicy AllowCreate="true" 
   Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</samlp:AuthnRequest>

            Este es un ejemplo de una respuesta de SAML. En un flujo iniciado por el proveedor de servicio, el proveedor de identidad envía una respuesta de SAML después de que el proveedor de servicio envíe una solicitud de SAML. En un flujo iniciado por el proveedor de identidad, el proveedor de identidad inicia el flujo enviando una respuesta de SAML.

            En este ejemplo, el cuerpo de respuesta está firmado, pero la afirmación en sí no.

            <samlp:Response Destination="https://MyDomainName.my.salesforce.com?so=00Dx00000000001"
  ID="_0f551f9288c8b76f21c3d4d15c9cd1df1290476801091"
  InResponseTo="_2INwHuINDJTvjo8ohcM.Fpw_uLukYi0WArVx2IJD569kZYL
    osBwuiaSbzzxOPQjDtfw52tJB10VfgPW2p5g7Nlv5k1QDzR0EJYGgn0d0z8
    CIiUOY31YBdk7gwEkTygiK_lb46IO1fzBFoaRTzwvf1JN4qnkGttw3J6L4b
    opRI8hSQmCumM_Cvn3DHZVN.KtrzzOAflcMFSCY.bj1wvruSGQCooTRSSQ"
  IssueInstant="2010-11-23T01:46:41.091Z" Version="2.0">
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
>https://myidp.my.salesforce.com</saml:Issuer>
−
<ds:Signature>
−
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
−
<ds:Reference URI="#_0f551f9288c8b76f21c3d4d15c9cd1df1290476801091">
−
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
−
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
<ec:InclusiveNamespaces PrefixList="ds saml samlp xs"/>
</ds:Transform>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>4NVTbQ2WavD+ZBiyQ7ufc8EhtZw=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
−
<ds:SignatureValue>

ExampleSamlSignature</ds:SignatureValue>
−
<ds:KeyInfo>
−
<ds:X509Data>
−
<ds:X509Certificate>ExampleX509 Certificate</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
−
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
−
<saml:Assertion ID="_e700bf9b25a5aebdb9495fe40332ef081290476801092" IssueInstant="2010-11-23T01:46:41.092Z" Version="2.0">
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://exampleidp.com</saml:Issuer>
−
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">exampleuser@salesforce.com</saml:NameID>
−
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2010-11-23T01:51:41.093Z" Recipient="https://MyDomainName.my.salesforce.com?so=00Dx00000000001"/>
</saml:SubjectConfirmation>
</saml:Subject>
−
<saml:Conditions NotBefore="2010-11-23T01:46:41.093Z" NotOnOrAfter="2010-11-23T01:51:41.093Z">
−
<saml:AudienceRestriction>
<saml:Audience>https://exampleserviceprovider.com</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
−
<saml:AuthnStatement AuthnInstant="2010-11-23T01:46:41.092Z">
−
<saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
−
<saml:AttributeStatement>
−
<saml:Attribute Name="userId" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">005D0000001Ayzh</saml:AttributeValue>
</saml:Attribute>
−
<saml:Attribute Name="username" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">admin@identity.org</saml:AttributeValue>
</saml:Attribute>
−
<saml:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">exampleuser@salesforce.com</saml:AttributeValue>
</saml:Attribute>
−
<saml:Attribute Name="is_portal_user" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">false</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
</saml:Assertion>
</samlp:Response>

            Consulte también:

             
            Cargando
            Salesforce Help | Article