Configurar el cierre de sesión único de SAML con Salesforce como proveedor de servicio
Configure el cierre de sesión único (SLO) de un proveedor de identidad de SAML. Con SLO de SAML, los usuarios pueden cerrar sesión en Salesforce o el proveedor de Identidad para cerrar la sesión en ambas partes.
Ediciones necesarias
| Disponible en: Salesforce Classic y Lightning Experience |
La autenticación federada está disponible en: todas las ediciones La autenticación delegada está disponible en: Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition, Developer Edition y Database.com Edition Los proveedores de autenticación están disponibles en: Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition y Developer Edition |
| Permisos de usuario necesarios | |
|---|---|
| Para ver la configuración: | Ver parámetros y configuración |
| Para modificar la configuración: | Personalizar aplicación Y Modificar todos los datos |
Antes de configurar SLO de SAML, revise esta información.
- Si el proveedor de identidad envía más de un parámetro de índice de sesión, Salesforce almacena únicamente el primero que recibe. El parámetro de índice de sesión no puede tener más de 512 caracteres.
- Puede configurar una URL de cierre de sesión personalizada y una URL de SLO de proveedor de identidad. Si Salesforce es el proveedor del servicio e inicia la solicitud de cierre de sesión, el proveedor de identidad puede publicar una respuesta de cierre de sesión para redireccionar de nuevo el usuario a Salesforce. En este escenario, Salesforce envía al usuario a la URL personalizada al cerrar sesión. Si el proveedor de identidad no redirecciona de nuevo al usuario a Salesforce en una respuesta de cierre de sesión, el proveedor de identidad determina la URL de redireccionamiento de SLO al cerrar sesión.
- Algunos proveedores de identidad no admiten el cierre de sesión iniciado por el proveedor de servicios. En este caso, salte al paso 6 en la configuración. La sesión de los usuarios de Salesforce se cierra cuando se inicia por el proveedor de identidad. No obstante, el cierre de sesión de Salesforce no necesariamente cerrará la sesión del proveedor de identidad.
- Salesforce actualmente solo admite SLO de canal anterior, lo que significa que los redireccionamientos de SLO deben producirse en el mismo navegador. Salesforce no admite SLO en navegadores diferentes.
Antes de configurar SLO de SAML, prepárese recopilando esta información.
- Obtenga la URL del emisor del proveedor de identidad. Esta URL identifica de manera única el proveedor de identidad SAML. Las afirmaciones SAML que envíe a Salesforce deben utilizar exactamente este valor en el atributo <saml:Issuer> de las afirmaciones SAML.
- Obtenga y guarde el certificado para validar las firmas del proveedor de identidad.
- Obtenga la URL de SLO del proveedor de identidad.
- En Configuración, vaya al cuadro Búsqueda rápida, ingrese Configuración de inicio de sesión único y, a continuación, seleccione Configuración de inicio de sesión único.
- En Configuración de inicio de sesión único de SAML, seleccione Nuevo.
- En la página Configuración de inicio de sesión único de SAML, ingrese la información de inicio de sesión único (SSO) de SAML y seleccione Cierre de sesión único activado.
-
Para aplicar el Método de firma de solicitudes (RSM) seleccionado durante el SLO, seleccione Utilizar método de firma de solicitudes seleccionado para cierre de sesión único. Este parámetro utiliza el RSM que seleccionó durante SSO para determinar el algoritmo de resumen y el RSM para SLO. Si no selecciona esta opción, se aplican el RSM predeterminado (
RSA-SHA1) y el algoritmo de resumen (SHA1).
Nota Para configuraciones creadas antes de Spring ’22, que le permiten utilizar un algoritmo de resumen y RSM diferente para SSO, este ajuste de SLO es independiente del algoritmo de resumen de SSO. En última instancia, solo el algoritmo de RSM utilizado para SSO determina qué RSM y algoritmo de resumen se utilizan si selecciona Utilizar Método de firma de solicitud seleccionado para cierre de sesión único. Para obtener más información, consulte Configurar Salesforce como proveedor de servicio con para inicio de sesión único de SAML. -
En URL de cierre de sesión único de proveedor de identidad, ingrese el extremo del SLO de SAML del proveedor de identidad.
- Cuando Salesforce inicia el cierre de sesión, envía la solicitud de cierre de sesión con el parámetro de índice de sesión a este extremo de SLO.
- Cuando el proveedor de identidad inicia la solicitud de cierre de sesión, Salesforce envía la respuesta de cierre de sesión a este extremo de SLO.
- Además de la URL de SLO del proveedor de identidad, puede definir una URL personalizada. Si Salesforce inicia el de cierre de sesión, el proveedor de identidad puede publicar una respuesta de cierre de sesión para redireccionar de nuevo el usuario a Salesforce. En este escenario, Salesforce envía al usuario a la URL personalizada al cerrar sesión.
-
Seleccione el tipo de vinculación de solicitudes de Cierre de sesión único para utilizar para SLO cuando se inicia por el proveedor de servicio. El tipo de enlace determina dónde se sitúan los objetos LogoutRequest o LogoutResponse en la solicitud de SAML. El valor está codificado como base64.
- Para POST HTTP, LogoutRequest o LogoutResponse está en el cuerpo de solicitud de la solicitud SAML.
- Para Redireccionamiento HTTP, ponga LogoutRequest o LogoutResponse descomprimidos en la cadena de consulta de la solicitud SAML.
-
Proporcione al proveedor de servicio el extremo de SLO del proveedor de identidad de Salesforce para su organización de Salesforce. El proveedor de servicio utiliza este extremo para iniciar SLO. El extremo tiene el formato https://NombreMiDominio.my.salesforce.com/services/auth/idp/saml2/logout donde NombreMiDominio es su dominio de Salesforce.
Si la organización es un sitio de Experience Cloud, la URL de cierre de sesión para el sitio aparece en la misma página.
¿Resolvió este artículo su problema?
¡Háganos saber cómo podemos mejorar!
