Inicio de sesión desatendido sin nombre de usuario

Por ejemplo, tiene una aplicación de comercio electrónico desatendida que utiliza Identidad desatendida de Salesforce para la autenticación. Cuando un usuario realiza una compra, le envía un email con su número de pedido. Si un usuario desea comprobar el estado de su pedido, puede seguir un vínculo en el email para iniciar sesión en su aplicación con su nombre de usuario y contraseña. Pero sabe que la mayoría de los usuarios tienen demasiados nombres de usuario y contraseñas para realizar un seguimiento entre todas las aplicaciones diferentes que utilizan. Desea facilitar a los usuarios el acceso a la información que desean de inmediato, con una fricción mínima. Desea desarrollar un proceso donde los usuarios inicien sesión con su número de pedido en su lugar.

O bien tiene una función en su aplicación desatendida donde los usuarios pueden gestionar casos y comunicarse con su equipo de asistencia. Para notificar a los usuarios sobre cambios en sus casos, les envía mensajes de email o SMS. En estas notificaciones, incluye un número de caso. Para que los usuarios puedan acceder a su información de caso de inmediato, desea proporcionar a los usuarios una forma de iniciar sesión con su número de caso.

Con el descubrimiento de usuarios desatendidos, existen algunas formas diferentes de entregar experiencias como estas. Los usuarios pueden iniciar sesión con el identificador, como un número de pedido o caso, y su contraseña. También pueden iniciar sesión con un identificador y luego obtener una contraseña simultánea que se envía a su dirección de email o número de teléfono, que luego utilizan para completar el inicio de sesión. Para entregar experiencias de identidad coherentes en su aplicación, puede desarrollar un flujo similar para el restablecimiento de contraseñas.

Iniciar sesión con cualquier identificador y una contraseña

Puede entregar esta experiencia con dos flujos diferentes: el flujo Código de autorización y credenciales y el flujo de inicio de sesión de OAuth 2.0 para aplicaciones de primera parte.

Este es un desglose de un flujo Código de autorización y credenciales donde los usuarios inician sesión con su número de pedido.

• En su aplicación desatendida, un usuario ingresa su número de pedido y contraseña.
• Su aplicación envía una solicitud POST desatendida al extremo Salesforce /services/oauth2/authorize. Entre otros parámetros, la solicitud incluye un parámetro login_hint. Este parámetro almacena el número de pedido del usuario. La solicitud también incluye un parámetro customdata con más información para identificar al usuario, incluyendo cookies de la última vez que el usuario inició sesión.
• En el lado de Salesforce, un controlador de descubrimiento de inicio de sesión desatendido de Apex utiliza la información de los parámetros login_hint y customdata para encontrar la dirección de email asociada con esta información. El controlador comprueba que la dirección de email del usuario está verificada.
• Si el gestor encuentra un usuario y puede verificar las credenciales, Salesforce devuelve un código de autorización. Desde aquí, el flujo continúa como un flujo de código de autorización y credenciales típico, donde la aplicación intercambia el código por un token que otorga acceso a datos de Salesforce protegidos.
• Al final del flujo, el usuario inicia sesión y puede acceder al instante a sus datos de pedido. No se requieren nombres de usuario o navegación innecesaria.

Para el flujo de inicio de sesión de OAuth 2.0 para aplicaciones propias, la experiencia del usuario final es similar.

• En su aplicación desatendida, un usuario ingresa su número de pedido y contraseña.
• Su aplicación acuña un JWT de certificado de cliente.
• Su aplicación envía una solicitud POST desatendida al extremo Salesforce /services/oauth2/authorize. La solicitud incluye parámetros login_hint y customdata.
• Salesforce valida el JWT de la certificación de cliente.
• El controlador de descubrimiento de inicio de sesión desatendido Apex utiliza la información de los parámetros login_hint y customdata para encontrar la dirección de email asociada con esta información. El controlador comprueba que la dirección de email del usuario está verificada.
• Si el gestor encuentra un usuario y puede verificar las credenciales, Salesforce devuelve un código de autorización. Desde aquí, el flujo continúa con su aplicación intercambiando el código por un token de acceso.
• Al final del flujo, el usuario inicia sesión y puede acceder al instante a sus datos de pedido.

Iniciar sesión con cualquier identificador y una contraseña simultánea (OTP)

Quizás desee hacer que esta experiencia sea aún más sencilla para los usuarios ahorrándoles la molestia de recordar sus contraseñas. Puede entregar esta experiencia con el inicio de sesión sin contraseña desatendido. Utilice el flujo Inicio de sesión sin contraseña desatendido, que llama a la API de inicio de sesión sin contraseña desatendido. O bien, utilice el flujo de inicio de sesión sin contraseña de OAuth 2.0 para aplicaciones de primera parte.

Este es el funcionamiento del flujo cuando llama a la API de inicio de sesión sin contraseña desatendida.

• En su aplicación desatendida, un usuario ingresa su número de pedido.
• Su aplicación envía una solicitud POST desatendida al extremo Salesforce services/auth/headless/init/passwordless/login. Entre otros parámetros, la solicitud incluye parámetros login_hint y customdata.
• En el lado de Salesforce, un controlador de descubrimiento de inicio de sesión desatendido de Apex utiliza la información de los parámetros login_hint y customdata para encontrar el usuario asociado con esta información. El controlador comprueba que la dirección de email del usuario está verificada.
• Si el gestor encuentra un usuario, Salesforce devuelve un mensaje de operación correcta a su aplicación junto con un identificador de solicitud.
• Salesforce envía una contraseña simultánea (OTP) a la dirección de email del usuario.
• En su aplicación, el usuario ingresa la OTP.
• Desde aquí, el flujo continúa iniciando el flujo Código de autorización y credenciales.
• Al final del flujo, se inicia la sesión del usuario y puede acceder a sus datos de pedido.

Este es un desglose del flujo utilizando el estándar borrador de OAuth 2.0 para aplicaciones de primera parte.

• En su aplicación desatendida, un usuario ingresa su número de pedido.
• Su aplicación envía una solicitud POST desatendida al extremo Salesforce services/auth/headless/init/passwordless/login. Entre otros parámetros, la solicitud incluye parámetros login_hint y customdata.
• En el lado de Salesforce, un controlador de descubrimiento de inicio de sesión desatendido de Apex utiliza la información de los parámetros login_hint y customdata para encontrar el usuario asociado con esta información. El controlador comprueba que la dirección de email del usuario está verificada.
• Si el gestor encuentra un usuario, Salesforce devuelve un mensaje de operación correcta a su aplicación junto con un identificador de solicitud.
• Salesforce envía una contraseña simultánea (OTP) a la dirección de email del usuario.
• En su aplicación, el usuario ingresa la OTP.
• Desde aquí, el flujo continúa iniciando el flujo Código de autorización y credenciales.
• Al final del flujo, se inicia la sesión del usuario y puede acceder a sus datos de pedido.

Restablecer una contraseña olvidada con cualquier identificador

Cuando proporciona a los usuarios la capacidad de iniciar sesión sin un nombre de usuario, entregue la misma experiencia para el restablecimiento de contraseñas. Con el restablecimiento de contraseña sin nombre de usuario, puede aliviar la frustración de los usuarios dándoles una cosa menos que recordar.

• En su aplicación desatendida, un usuario hace clic en un botón de contraseña olvidada.
• Su aplicación muestra un formulario donde el usuario ingresa su número de pedido.
• Su aplicación envía una solicitud POST desatendida al extremo Salesforce /services/auth/headless/forgot_password. Entre otros parámetros, la solicitud incluye parámetros login_hint y customdata.
• En el lado de Salesforce, un controlador de descubrimiento de inicio de sesión desatendido de Apex utiliza la información de los parámetros login_hint y customdata para encontrar el usuario asociado con esta información. El controlador comprueba que la dirección de email del usuario está verificada.
• Si el gestor encuentra un usuario, Salesforce devuelve un mensaje de operación correcta a su aplicación.
• Salesforce envía una contraseña simultánea (OTP) a la dirección de email del usuario.
• En su aplicación, el usuario ingresa la OTP.
• Desde aquí, el flujo continúa como un flujo de contraseña olvidada desatendida habitual. El usuario ingresa su nueva contraseña y Salesforce la comprueba con las políticas de contraseña de su organización.
• Al final del flujo, el usuario tiene una nueva contraseña y ahora puede iniciar sesión.

Configurar Descubrimiento de usuarios desatendidos

El descubrimiento de usuarios desatendidos se basa en un controlador de Apex que implementa la interfaz Auth.HeadlessUserDiscoveryHandler. Para simplificar la configuración, su implementación utiliza el mismo controlador para todos los flujos donde utiliza descubrimiento de usuarios desatendidos.

En primer lugar, desarrolle su controlador de Apex para incluir lógica personalizada para encontrar el usuario basándose en la información en los parámetros login_hint y customdata. Por seguridad, asegúrese de que su controlador comprueba si la dirección de email o el número de teléfono del usuario están verificados. Para obtener más información acerca del desarrollo de su controlador, consulte Auth.HeadlessUserDiscoveryHandler en la Guía de referencia Apex.

A continuación, agregue su controlador a su configuración de Experience Cloud. Para flujos de inicio de sesión sin contraseña desatendidos, el descubrimiento de usuarios desatendidos se activa cuando agrega el controlador. Para el flujo Código de autorización y credenciales, el flujo de inicio de sesión de OAuth 2.0 para aplicaciones de primera parte y los flujos de contraseña olvidada desatendida, active una configuración adicional para utilizar el controlador que agrega.

Para flujos que utilizan las API de identidad desatendida, consulte estos pasos.

• Configurar los parámetros de Experience Cloud para el inicio de sesión sin contraseña desatendido
• Configurar parámetros de Experience Cloud para activar el flujo Contraseña olvidada desatendida

Para flujos que utilizan el estándar OAuth 2.0 para aplicaciones de primera parte, consulte OAuth 2.0 para aplicaciones de primera parte: Configurar ajustes de Experience Cloud.

Finalmente, configure los flujos desatendidos. Cada flujo es diferente, pero todos los flujos incluyen una solicitud donde envía los parámetros login_hint y customdata. El parámetro customdata es opcional, pero si lo incluye con un flujo, utilícelo con todos los flujos porque todos utilizan el mismo controlador.

Para flujos que utilizan las API de identidad desatendida, consulte estos recursos.

• Inicie sesión con identificador y contraseña: Flujo Código de autorización y credenciales para clientes públicos o flujo Código de autorización y credenciales para clientes privados
• Inicie sesión con identificador y OTP: Flujo de inicio de sesión sin contraseña desatendido para clientes públicos o Flujo de inicio de sesión sin contraseña desatendido para clientes privados
• Restablecimiento de contraseña: Flujo de contraseña olvidada desatendida

Para flujos que utilizan el estándar OAuth 2.0 para aplicaciones de primera parte, consulte estos recursos.

• Inicie sesión con identificador y contraseña: OAuth 2.0 para aplicaciones de primera parte: Flujo de nombre de usuario-contraseña desatendido para clientes privados
• Inicie sesión con identificador y OTP: OAuth 2.0 para aplicaciones de primera parte: Inicio de sesión sin contraseña desatendido para clientes privados