Completar los requisitos previos para la integraciĆ³n de proveedores de servicio SAML
Antes de integrar un proveedor de servicio con Salesforce, habilite su organizaciĆ³n como un proveedor de identidad e intercambie informaciĆ³n de inicio de sesiĆ³n Ćŗnico (SSO) de SAML con su proveedor de servicio.
Ediciones necesarias
| Disponible en: Salesforce Classic y Lightning Experience |
| Disponible en: Developer Edition, Enterprise Edition, Performance Edition, Unlimited Edition y Database.com Edition |
| Permisos de usuario necesarios | |
|---|---|
| Definir y modificar los proveedores de identidad y los proveedores de servicio: | Personalizar aplicaciĆ³n |
Antes de empezar, active Salesforce como proveedor de identidad.
-
Proporcione la informaciĆ³n de su proveedor de servicio sobre su configuraciĆ³n de Salesforce como proveedor de identidad. Dependiendo del formato que admita su proveedor de servicio, puede compartir esta informaciĆ³n como metadatos en un archivo XML o como un certificado. Para acceder a esta informaciĆ³n, realice estos pasos.
- Desde ConfiguraciĆ³n, en el cuadro BĆŗsqueda rĆ”pida, ingrese Proveedor de identidad y luego seleccione Proveedor de identidad.
- Si su proveedor de servicio admite metadatos, haga clic en Descargar metadatos. Si su proveedor de servicio admite certificados, haga clic en Descargar certificado.
Nota Salesforce tambiĆ©n define un tiempo de vida para afirmaciones SAML enviadas a su proveedor de servicio. Una afirmaciĆ³n SAML enviada por un proveedor de identidad de Salesforce es vĆ”lida durante 5 minutos despuĆ©s de su emisiĆ³n, con un margen de 30 segundos para tener en cuenta el sesgo del reloj. Por ejemplo, si la afirmaciĆ³n se emite a las 12:00:00 GMT, serĆ” vĆ”lida entre las 11:59:30 GMT y las 12:05:00 GMT. Si el proveedor de servicio recibe la respuesta SAML fuera de este intervalo, habitualmente rechaza la afirmaciĆ³n. Trabaje con su proveedor de servicio para asegurarse de que cumple este requisito. -
Obtenga esta informaciĆ³n de configuraciĆ³n de su proveedor de servicio.
- URL de servicio de consumidor de afirmaciĆ³n (ACS): la URL donde el proveedor de identidad envĆa respuestas de SAML.
- Id. de Entidad: El identificador exclusivo del proveedor de servicio.
- Tipo de asunto: especifica dĆ³nde espera el proveedor de servicio que Salesforce envĆe la informaciĆ³n de identidad de usuario en afirmaciones SAML. Salesforce puede enviar informaciĆ³n de usuario en el asunto de la afirmaciĆ³n o en un atributo personalizado.
- Certificado de seguridad: Se requiere cuando el proveedor de servicio comienza el inicio de sesiĆ³n en Salesforce y firma sus solicitudes de SAML.
-
Para agregar protecciĆ³n adicional para recursos confidenciales, configure autenticaciĆ³n forzada en el proveedor de servicio. Con autenticaciĆ³n forzada, los usuarios que ya iniciaron sesiĆ³n en Salesforce deben volver a ingresar sus credenciales cuando intenten acceder al proveedor de servicio.
Para configurar la autenticaciĆ³n forzada, trabaje con su proveedor de servicio para agregar un parĆ”metro
ForceAuthna la solicitud SAML. Puede compartir esta solicitud SAML de autenticaciĆ³n forzada de ejemplo. Durante SSO, el proveedor de servicio utiliza este parĆ”metro para indicar a Salesforce que el usuario debe volver a autenticarse. No existe configuraciĆ³n adicional en su organizaciĆ³n. Cuando Salesforce actĆŗa como el proveedor de identidad, la autenticaciĆ³n forzada se admite automĆ”ticamente.A continuaciĆ³n se incluye un ejemplo de solicitud SAML que Salesforce acepta para autenticaciĆ³n forzada.
<?xml version="1.0" encoding="UTF-8"?> <samlp:AuthnRequest AssertionConsumerServiceURL="ACS_URL" Destination="IDP_INIT_LOGIN_URL" Version="2.0" IssueInstant="2011-05-20T13:01:00.000Z' ProviderName="https://saml.salesforce.com" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ForceAuthn = "true"> <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">ENTITY_ID</saml:Issuer> </samlp:AuthnRequest>
DespuƩs de completar estos requisitos previos, complete estos pasos.
