完成 SAML 服务提供商集成的先决条件
在将服务提供商与 Salesforce 集成之前,请将您的组织启用为身份提供商,并与您的服务提供商交换 SAML 单点登录 (SSO) 信息。
所需的 Edition
| 适用于 Salesforce Classic 和 Lightning Experience |
| 适用于:Developer、Enterprise、Performance、Unlimited 和 Database.com Edition |
| 所需用户权限 | |
|---|---|
| 定义和修改身份提供商和服务提供商: | 自定义应用程序 |
开始之前,请启用 Salesforce 作为身份提供商。
-
为您的服务提供商提供您对身份提供商 Salesforce 的配置信息。根据您的服务提供商支持的格式,您可以将此信息作为元数据在 XML 文件中共享,或者作为证书共享。要访问此信息,请执行以下步骤。
- 从“设置”中,在快速查找框中,输入身份提供商,然后选择身份提供商。
- 如果您的服务提供商支持元数据,请单击下载元数据。如果您的服务提供商支持证书,请单击下载证书。
备注 Salesforce 还为发送到服务提供商的 SAML 声明定义生命周期。由 Salesforce 身份提供商发送的 SAML 声明在发出后的 5 分钟内有效,并有 30 秒的缓存来解决时钟偏差。例如,如果声明在 12:00:00 GMT 发出,则它在 11:59:30 GMT 和 12:05:00 GMT 之间有效。如果服务提供商收到该间隔之外的 SAML 响应,通常会拒绝该声明。与您的服务提供商合作,确保它符合此要求。 -
从服务提供商处获取此配置信息。
- 声明消费者服务 (ACS) URL - 身份提供商发送 SAML 响应的 URL
- 实体 ID - 服务提供商的唯一标识符。
- 主题类型 — 指定服务提供商希望 Salesforce 在 SAML 声明中发送用户身份信息的位置。Salesforce 可以发送声明主题或自定义属性中的用户信息。
- 安全性证书 - 当服务提供商通过 Salesforce 发起登录并签署其 SAML 请求时需要。
-
要为敏感资源添加额外保护,请在服务提供商上配置强制身份验证。通过强制身份验证,已经登录到 Salesforce 的用户在尝试访问服务提供商时必须重新输入他们的凭据。
要配置强制身份验证,请与服务提供商合作,将
ForceAuthn参数添加到 SAML 请求。您可以共享此示例强制身份验证 SAML 请求。在 SSO 期间,服务提供商使用此参数告诉 Salesforce 用户必须重新进行身份验证。您的组织中没有其他设置。当 Salesforce 充当身份提供商时,会自动支持强制身份验证。下面是 Salesforce 接受强制身份验证的 SAML 请求示例。
<?xml version="1.0" encoding="UTF-8"?> <samlp:AuthnRequest AssertionConsumerServiceURL="ACS_URL" Destination="IDP_INIT_LOGIN_URL" Version="2.0" IssueInstant="2011-05-20T13:01:00.000Z' ProviderName="https://saml.salesforce.com" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ForceAuthn = "true"> <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">ENTITY_ID</saml:Issuer> </samlp:AuthnRequest>
完成这些先决条件后,请完成这些步骤。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
