Innstillinger for enkeltpÄlogging med SAML
NÄr du konfigurerer enkeltpÄlogging (SSO) med SAML, kan du initiere pÄlogging fra tjenesteleverandÞren eller identitetsleverandÞren. TjenesteleverandÞrinitiert og identitetsleverandÞrinitiert pÄlogging benytter forskjellige flyter, men begge fÞrer til at brukeren blir logget pÄ hos tjenesteleverandÞren.
NĂždvendige utgaver
| Tilgjengelig i bÄde Salesforce Classic og Lightning Experience |
| Tilgjengelig i Developer, Enterprise, Performance, Unlimited og Database.com Edition |
| NĂždvendige brukertillatelser | |
|---|---|
| For Ă„ definere og redigere identitets- og tjenesteleverandĂžrer: | Tilpasse program |
SAML-sikkerhet
For Ä forstÄ hvordan disse SSO-flytene fungerer, er det viktig Ä forstÄ hvordan leverandÞrer bruker SAML til Ä utveksle sikkerhetsinformasjon.
For begge SAML SSO-flytvariantene godkjenner identitetsleverandĂžren brukeren â bekrefter at brukeren er den brukeren hevder Ă„ vĂŠre. NĂ„r identitetsleverandĂžren har godkjent brukeren, bruker den et SAML-svar til Ă„ fortelle tjenesteleverandĂžren hvem brukeren er og hva de har tillatelse til Ă„ gjĂžre. Den lagrer informasjon om brukerens identitet i en bestemt del av svaret kalt SAML-deklarasjonen.
For Ă„ signalisere at tjenesteleverandĂžren kan Trust SAML-svaret, signerer identitetsleverandĂžren svarteksten, deklarasjonen eller begge deler. Om svarteksten eller deklarasjonen er signert, avhenger av identitetsleverandĂžren.
- Hvis du bruker Salesforce som identitetsleverandĂžr, signerer Salesforce SAML-svarteksten og deklarasjonen.
- Hvis du bruker en tredjeparts identitetsleverandĂžr, kontakter du identitetsleverandĂžren for Ă„ se hvordan de signerer SAML-svar.
NĂ„r tjenesteleverandĂžren mottar SAML-svaret, valideres denne signaturen. Hvordan signaturen valideres avhenger av tjenesteleverandĂžren.
- Hvis du bruker Salesforce som identitetsleverandĂžr, kontakter du tjenesteleverandĂžren for Ă„ se hvordan de validerer signaturer. I og med at Salesforce signerer svarteksten og deklarasjonen, er den kompatibel med en rekke tjenesteleverandĂžrer.
- Hvis du bruker Salesforce som en tjenesteleverandÞr, kan Salesforce validere signaturer i svarteksten eller deklarasjonen. Salesforce ser fÞrst etter en signatur i svarteksten. Hvis svarsignaturen mangler eller er ugyldig, prÞver Salesforce deretter Ä validere signaturen i SAML-deklarasjonen. Selv om en angriper fanger opp SAML-svaret fra brukerens nettleser og manipulerer svarteksten, er ikke SSO-pÄloggingen i fare sÄ lenge deklarasjonssignaturen er intakt.
Hvis identitetsleverandÞren stÞtter krypterte SAML-deklarasjoner for ekstra sikkerhet, kan du ogsÄ konfigurere Salesforce til Ä dekryptere og validere disse deklarasjonene.
TjenesteleverandĂžrinitiert SAML-flyt
I en tjenesteleverandÞrinitiert flyt starter tjenesteleverandÞren pÄloggingsprosessen med en SAML-forespÞrsel til identitetsleverandÞren. Slik fungerer flyten:
- Brukeren ber om en sikker Þkt for tilgang til en beskyttet ressurs hos tjenesteleverandÞren. Brukeren klikker for eksempel pÄ en lenke for Ä fylle ut et skjema hos tjenesteleverandÞren. Skjemaet er imidlertid en beskyttet ressurs, slik at brukeren fÞrst fÄr tilgang til det etter Ä ha logget seg pÄ.
- TjenesteleverandÞren initierer pÄlogging ved Ä sende en SAML-forespÞrsel til identitetsleverandÞren, der det bes om godkjenning av brukeren.
- IdentitetsleverandÞren sender brukeren til en pÄloggingsside.
- Brukeren oppgir pÄloggingslegitimasjonen for identitetsleverandÞren og identitetsleverandÞren godkjenner brukeren.
- NĂ„ vet identitetsleverandĂžren hvem brukeren er og sender et kryptografisk signert SAML-svar til tjenesteleverandĂžren. SAML-svaret inneholder en SAML-deklarasjon som forteller tjenesteleverandĂžren hvem brukeren er.
- TjenesteleverandĂžren validerer signaturen i SAML-svaret og identifiserer brukeren.
- NÄ er brukeren logget pÄ hos tjenesteleverandÞren og fÄr tilgang til den beskyttede ressursen.
IdentitetsleverandĂžrinitiert SAML-flyt
I en identitetsleverandÞrinitiert pÄloggingsflyt er det ikke nÞdvendig med en SAML-forespÞrsel fordi identitetsleverandÞren starter flyten med et SAML-svar. En identitetsleverandÞrinitiert flyt er en kortere versjon av en tjenesteleverandÞrinitiert flyt. Slik fungerer flyten:
- Brukeren logger seg pÄ hos identitetsleverandÞren.
- Brukeren klikker pÄ en knapp eller lenke for Ä fÄ tilgang til tjenesteleverandÞren. Brukeren klikker for eksempel pÄ en app pÄ Appstarter-siden i en Salesforce-organisasjon.
- IdentitetsleverandÞren initierer pÄlogging ved Ä sende et kryptografisk signert SAML-svar til tjenesteleverandÞren. SAML-svaret inneholder en SAML-deklarasjon som forteller tjenesteleverandÞren hvem brukeren er.
- TjenesteleverandĂžren validerer signaturen i SAML-svaret og identifiserer brukeren.
- NÄ er brukeren logget pÄ hos tjenesteleverandÞren.
Eksempel pÄ SAML-forespÞrsel og -svar
Her er et eksempel pÄ en SAML-forespÞrsel. I en tjenesteleverandÞrinitiert flyt sender tjenesteleverandÞren en SAML-forespÞrsel for Ä starte pÄloggingsprosessen.
<samlp:AuthnRequest ID="bndkmeemcaamihajeloilkagfdliilbhjjnmlmfo" Version="2.0"
IssueInstant="2010-05-24T22:57:19Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
ProviderName="google.com" IsPassive="false"
AssertionConsumerServiceURL="https://www.google.com/a/resp.info/acs">
<saml:Issuer>google.com</saml:Issuer>
<samlp:NameIDPolicy AllowCreate="true"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</samlp:AuthnRequest>Her er et eksempel pÄ et SAML-svar. I en tjenesteleverandÞrinitiert flyt sender identitetsleverandÞren et SAML-svar etter at tjenesteleverandÞren har sendt en SAML-forespÞrsel. I en identitetsleverandÞrinitiert flyt starter identitetsleverandÞren flyten ved Ä sende et SAML-svar.
I dette eksemplet er svarteksten signert, men selve deklarasjonen er ikke signert.
<samlp:Response Destination="https://MyDomainName.my.salesforce.com?so=00Dx00000000001"
ID="_0f551f9288c8b76f21c3d4d15c9cd1df1290476801091"
InResponseTo="_2INwHuINDJTvjo8ohcM.Fpw_uLukYi0WArVx2IJD569kZYL
osBwuiaSbzzxOPQjDtfw52tJB10VfgPW2p5g7Nlv5k1QDzR0EJYGgn0d0z8
CIiUOY31YBdk7gwEkTygiK_lb46IO1fzBFoaRTzwvf1JN4qnkGttw3J6L4b
opRI8hSQmCumM_Cvn3DHZVN.KtrzzOAflcMFSCY.bj1wvruSGQCooTRSSQ"
IssueInstant="2010-11-23T01:46:41.091Z" Version="2.0">
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
>https://myidp.my.salesforce.com</saml:Issuer>
â
<ds:Signature>
â
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
â
<ds:Reference URI="#_0f551f9288c8b76f21c3d4d15c9cd1df1290476801091">
â
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
â
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
<ec:InclusiveNamespaces PrefixList="ds saml samlp xs"/>
</ds:Transform>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>4NVTbQ2WavD+ZBiyQ7ufc8EhtZw=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
â
<ds:SignatureValue>
ExampleSamlSignature</ds:SignatureValue>
â
<ds:KeyInfo>
â
<ds:X509Data>
â
<ds:X509Certificate>ExampleX509 Certificate</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
â
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
â
<saml:Assertion ID="_e700bf9b25a5aebdb9495fe40332ef081290476801092" IssueInstant="2010-11-23T01:46:41.092Z" Version="2.0">
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://exampleidp.com</saml:Issuer>
â
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">exampleuser@salesforce.com</saml:NameID>
â
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2010-11-23T01:51:41.093Z" Recipient="https://MyDomainName.my.salesforce.com?so=00Dx00000000001"/>
</saml:SubjectConfirmation>
</saml:Subject>
â
<saml:Conditions NotBefore="2010-11-23T01:46:41.093Z" NotOnOrAfter="2010-11-23T01:51:41.093Z">
â
<saml:AudienceRestriction>
<saml:Audience>https://exampleserviceprovider.com</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
â
<saml:AuthnStatement AuthnInstant="2010-11-23T01:46:41.092Z">
â
<saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
â
<saml:AttributeStatement>
â
<saml:Attribute Name="userId" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">005D0000001Ayzh</saml:AttributeValue>
</saml:Attribute>
â
<saml:Attribute Name="username" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">admin@identity.org</saml:AttributeValue>
</saml:Attribute>
â
<saml:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">exampleuser@salesforce.com</saml:AttributeValue>
</saml:Attribute>
â
<saml:Attribute Name="is_portal_user" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue xsi:type="xs:anyType">false</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
</saml:Assertion>
</samlp:Response>Se ogsÄ:
- Aktivere Salesforce som SAML-identitetsleverandĂžr
- FullfĂžrte forutsetninger for SAML-tjenesteleverandĂžrintegrering
- Integrere tjenesteleverandĂžrer som SAML-aktiverte apper
- Tilordne Salesforce-brukere til SAML-tjenesteleverandĂžren
- Eksempler pÄ SSO-konfigurering med Salesforce som SAML-identitetsleverandÞr
