配置从 Salesforce 到 Office 365 的 SSO
允许用户使用单点登录 (SSO) 从配置为身份提供商的 Salesforce 组织登录 Office 365。
所需的 Edition
| 适用于:Lightning Experience 和 Salesforce Classic |
| 适用于:Enterprise、Performance、Unlimited 和 Developer Editions |
将 Salesforce 配置为 Office 365 的身份提供商包含这些高级别步骤。
- 在 Salesforce 中获取 SSL 证书。
- 在 Office 365 上,配置域的 Salesforce 身份信息。
- 在 Salesforce 中,创建并配置连接的应用程序,以在 Salesforce 中运行 Office 365。
您需要以下内容来完成这些步骤。
- Office 365 的管理员帐户
- Windows PowerShell for Azure Active Directory
另请参阅:
下载元数据文档
- 从“设置”中,在快速查找框中输入身份,然后选择身份提供商。
- 单击下载元数据。
在 SAML 元数据发现端点下的相同页面上,请注意 Salesforce 身份,例如 https://MyDomainName.my.salesforce.com/.well-known/samlidp.xml。
配置域的 Salesforce 标识信息
- 启动 Windows PowerShell 的 Windows Azure Active Directory 模块。
-
运行 $cred=Get-Credential cmdlet,并提供管理员帐户的 Windows Azure AD 凭据。
PS C:\Windows\system32> $cred=Get-Credential Cmdlet Get-Credential at command pipeline position 1 Supply values for the following parameters: Credential -
运行 Connect-MsolService –Credential $cred cmdlet。
PS C:\Windows\system32> Connect-MsolService –Credential $cred -
提供所需的参数值。
- 您的域,例如 $dom = salesidentity.info
- Salesforce IdP 的 POST 端点 URL,例如 $url = https://MyDomainName.my.salesforce.com/idp/endpoint/HttpPost
- IdP 发行人,例如,$uri = https://MyDomainName.my.salesforce.com
- IdP 注销 URL,例如 $logouturl = https://MyDomainName.my.salesforce.com
- IdP 证书,例如,$cert = <your certificate content>
备注 在一行中输入证书而不换行。PS C:\Windows\system32> $dom = salesidentity.info PS C:\Windows\system32> $url = https://MyDomainName.my.salesforce.com/idp/endpoint/HttpPost PS C:\Windows\system32> $uri = https://MyDomainName.my.salesforce.com PS C:\Windows\system32> $logouturl = https://MyDomainName.my.salesforce.com PS C:\Windows\system32> $cert = <your certificate content> -
运行 Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP cmdlet 建立信任。
PS C:\Windows\system32> Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP -
运行 Get-MsolDomain cmdlet 检查联合是否启用。
Name Status Authentication ---- ------ -------------- salesforceidentity.info Verified Federated sfidentity.mail.onmicrosoft.com Verified Managed sfidentity.onmicrosoft.com Verified Managed - 运行 Get-MsolDomainFederationSettings cmdlet 验证配置。
在 Salesforce 上创建并配置连接的应用程序
- 从“设置”中,在“快速查找”框中输入应用程序。如果您正在使用 Lightning Experience,则选择管理连接的应用程序。如果您正在使用 Salesforce Classic,则在管理应用程序中,选择连接的应用程序。
-
在基本信息中:
- 为应用程序 Office 365 命名。
- 输入自己的电子邮件地址。
-
在 Web 应用程序设置中:
-
对于“开始 URL”,请输入 URL 并包含您的域名的 URL。
https://login.microsoftonline.com/PostToIDP.srf?msg=AuthnReq&realm= MyDomainName.my.salesforce.com&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline& wctx=bk%3D1367916313%26LoginOptions%3D3 - 选择启用 SAML。
- 对于实体 ID,输入 urn:federation:MicrosoftOnline。
- 对于 ACS URL,输入 https://login.microsoftonline.com/login.srf。
-
对于主题类型,选择联合 ID或自定义属性。
备注 主题类型携带 UPN 的 ObjectGUID。
- 对于名称 ID 格式,保持默认选择(不明)。
- 对于颁发人,请保留默认值(您的子域)。
- 对于确认请求签名,保留默认值(未选中)。
- 对于 IdP 提供商证书,保留默认值(未选中)。
- 单击保存。
备注 Salesforce 需要几分钟时间,才能创建连接的应用程序。 -
对于“开始 URL”,请输入 URL 并包含您的域名的 URL。
-
从“设置”中,在“快速查找”框中输入应用程序。如果您正在使用 Lightning Experience,则选择管理连接的应用程序。如果您正在使用 Salesforce Classic,则在管理应用程序中,选择连接的应用程序。
- 选择 Office 365 连接的应用程序。
- 单击管理简档或管理权限集,并为可以访问此应用程序的用户添加简档和权限集。
-
在自定义属性中,单击新建。
- 为属性键输入 IDPEmail ,为属性值输入 $User.Email。
- 单击保存。
- 要测试访问权限,以用户身份运行连接的应用程序。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
