Habilitar Salesforce como proveedor de identidad de SAML

Determine qué certificado desea utilizar para habilitar su organización para comunicarse con el proveedor de servicio. Puede utilizar el certificado predeterminado o crear el suyo propio. Consulte Certificados y claves.

• De forma predeterminada, un proveedor de identidad de Salesforce utiliza un certificado autofirmado generado con el algoritmo de firma SHA-256. Si desea utilizar el certificado predeterminado, continúe en el paso 1.
• Para crear un certificado autofirmado, siga las instrucciones de Generar un certificado autofirmado y luego continúe en el paso 1.
• Para crear un certificado firmado por CA, siga las instrucciones de Generar un certificado por una autoridad de certificados, y luego siga en el paso 1.

Para revisar la información de su proveedor de identidad, en Configuración, en el cuadro Búsqueda rápida, escriba Proveedor de identidad y luego seleccione Proveedor de identidad.

En esta página, puede realizar estas acciones.

• Para cargar su certificado del proveedor de identidad, haga clic en Modificar.
  

  Advertencia Si cambia el certificado, podría desactivar el acceso a las aplicaciones externas. Para validar la información del nuevo certificado, puede actualizar todas las aplicaciones externas.
• Para desactivar su organización como un proveedor de identidad, haga clic en Desactivar.
  

  Advertencia Si desactiva su organización como proveedor de identidad, los usuarios ya no podrán acceder a aplicaciones externas con SSO.
• Para descargar su certificado del proveedor de identidad, haga clic en Descargar certificado. Su proveedor de servicio puede el certificado para conectar con Salesforce.
• Para descargar un archivo XML con metadatos sobre su proveedor de identidad, haga clic en Descargar metadatos. Su proveedor de servicio puede utilizar los metadatos para conectar con Salesforce.
• En la sección detalles, vea el Emisor, que es el identificador exclusivo para su proveedor de identidad de Salesforce.
• En la sección Extremos de descubrimiento de los metadatos de SAML, acceda a los metadatos del proveedor de identidad para su dominio personalizado y en cualquier sitio de Experience Cloud. Algunos proveedores de servicio utilizan estas URL para configurar SSO para conectar con Salesforce. Por ejemplo, cuando configura Amazon Web Services (AWS) como proveedor de servicio, carga sus metadatos de proveedor de identidad de Salesforce en AWS.

  Puede encontrar los metadatos del proveedor de identidad para un dominio personalizado o sitio en estos campos:

  • Salesforce Identity: URL de los metadatos del proveedor de identidad para su dominio personalizado.
  • Community Identity: URL de metadatos de proveedor de identidad para un sitio específico de Experience Cloud. Por ejemplo, si configura un sitio denominado XYZ, verá XYZ Community Identity.

Salesforce también define un tiempo de vida para afirmaciones SAML enviadas a su proveedor de servicio. Una afirmación SAML enviada por un proveedor de identidad de Salesforce es válida durante 5 minutos después de su emisión, con un margen de 30 segundos para tener en cuenta el sesgo del reloj. Por ejemplo, si la afirmación se emite a las 12:00:00 GMT, será válida entre las 11:59:30 GMT y las 12:05:00 GMT. Si el proveedor de servicio recibe la respuesta SAML fuera de este intervalo, habitualmente rechaza la afirmación.

Tras activar Salesforce como proveedor de identidad, complete estos pasos.

• Complete los requisitos previos para integrar proveedores de servicio.
• Integre su proveedor de servicio como una aplicación activada por SAML.
• Asigne usuarios de Salesforce al proveedor de servicio.