Campos de afirmación SAML Just-in-Time para Experience Cloud

Configuración de inicio de sesión único de SAML

Configure el inicio de sesión único (SSO) de SAML con Salesforce como el proveedor de servicio y active el aprovisionamiento JIT. Establezca los valores para su configuración, según sea necesario, e incluya estos valores específicos a su sitio para el aprovisionamiento JIT.

• Marque Aprovisionamiento de usuario activada.
  • El aprovisionamiento Just-in-Time requiere un Id. de federación en el tipo de usuario. En Tipo de Id. de usuario SAML, seleccione La afirmación contiene el Id. de federación del objeto de usuario.
  • Si su proveedor de identidad ha utilizado previamente el nombre de usuario de Salesforce, comuníqueles que deben utilizar el Id. de federación.
• El Id. de Entidad debe ser exclusivo en su organización y comenzar por https. No puede tener dos configuraciones de SAML con el mismo Id. de Entidad en una sola organización. Especifique si desea utilizar el dominio base (https://saml.salesforce.com) o la URL del sitio (https://acme.my.site.com/customers) para el Id. de entidad. Comparta esta información con su proveedor de identidad.
  

  Sugerencia Generalmente, utilice la URL del sitio como el Id. de entidad. Si está ofreciendo servicios de Salesforce a Salesforce, debe especificar la URL del sitio.

  Si no está utilizando dominios mejorados, la URL de sitios de Experience Cloud de su organización es diferente. Para obtener detalles, consulte Formatos de URL de Mi dominio en Ayuda de Salesforce.

• En Tipo de Id. de usuario SAML, seleccione La afirmación contiene el Id. de federación del objeto de usuario. Si su proveedor de identidad ha utilizado previamente el nombre de usuario de Salesforce, comuníqueles que deben utilizar el Id. de federación.

URL de destinatario

https://domainName/login?so=orgID

Si se cargó un Certificado de descifrado de afirmación en la Configuración de inicio de sesión único de SAML de la organización, incluya el Id. del certificado en la URL empleando el parámetro sc. Por ejemplo, Recipient="https://acme.my.site.com/customers/login?so=00DD0000000JsCM&sc=0LE000000Dp" donde 0LE000000Dp es el Id. de certificado.

Id. de federación

Salesforce intenta hacer coincidir el Id. de federación en el asunto de la afirmación de SAML con el campo User.FederationIdentifier de un registro de usuario existente. Salesforce también puede utilizar el elemento de atributo que debe coincidir, dependiendo de cómo esté definida Ubicación de identidad de SAML en la Configuración de inicio de sesión único de SAML.

Si se encuentra un registro de usuario coincidente, Salesforce utiliza los atributos en la afirmación de SAML para actualizar los campos especificados. Si no se encuentra un usuario con un registro de usuario coincidente, Salesforce busca los contactos para una coincidencia basándose en el Id. de Contacto (User.Contact) o email (Contact.Email). Contact.Email y Contact.LastName son propiedades obligatorias cuando no se especifica User.Contact, pero la coincidencia solo se basa en Contact.Email cuando existen ambas propiedades.

Si se encuentra un registro de contacto coincidente Salesforce utiliza los atributos en la afirmación de SAML para actualizar los campos de contacto especificados e inserta luego un nuevo registro de usuario. Si no se encuentra un registro de contacto coincidente, Salesforce busca en las cuentas una coincidencia en función de la Contact.Account o Account.AccountNumber especificada en la afirmación SAML. Account.AccountNumber y Account.Name son propiedades obligatorias cuando no se especifica Contact.Account, pero la coincidencia solo se basa en Account.AccountNumber cuando existen ambas propiedades.

Si se encuentra un registro de cuenta coincidente, Salesforce inserta un nuevo registro de usuario y actualiza los registros de cuenta basándose en los atributos proporcionados en la afirmación de SAML. Si no se encuentra un registro de cuenta coincidente, Salesforce inserta nuevos registros de cuenta, contacto y usuario basándose en los atributos proporcionados en la afirmación de SAML.

Si la cuenta de usuario está inactiva, la cuenta de usuario se actualiza pero se mantiene inactiva a menos que User.IsActive en la afirmación JIT esté establecida como verdadera. Si no existe ninguna cuenta de usuario con ese Id. de federación, el sistema creará un usuario.

Nombre e Id. de perfil

Si el sitio no tiene la inscripción automática activada y no se especifica un perfil y una función de nuevo usuario predeterminado, el campo User.ProfileId debe contener un Id. o nombre de perfil válido.

Campos admitidos para la afirmación SAML del sitio

Para identificar correctamente qué objeto crear en Salesforce, debe utilizar un prefijo. En la afirmación SAML, utilice el prefijo Account para todos los campos del esquema Account, como por ejemplo Account.AccountId. Utilice también el prefijo Contact para todos los campos en el esquema Contact. En este ejemplo, el prefijo Contacto se agregó al nombre de campo Email.

<saml:Attribute 
   Name="Contact.Email" 
   NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
      <saml:AttributeValue xsi:type="xs:anyType">testuser@123.org</saml:AttributeValue>
</saml:Attribute>

Nota Salesforce también admite campos personalizados en el objeto Usuario en la afirmación de SAML. Cualquier atributo en la afirmación que comience con User se analiza como un campo personalizado. Por ejemplo, el atributo User.NumberOfProductsBought__c en la afirmación está ubicado en el campo NumberOfProductsBought para el usuario asignado. No se admiten los campos personalizados para Contactos o Cuentas.

Campos de cuentas admitidos

Además de los atributos de usuario estándar compatibles para usuarios JIT normales de SAML, estos atributos de Cuenta también son compatibles. Por ejemplo, especificar un atributo Account.Phone en la afirmación actualiza el campo Teléfono de la cuenta en el objeto Cuenta correspondiente.

• Nombre
• AccountNumber
• BillingCity
• BillingCountry
• BillingPostalCode
• BillingState
• BillingStreet
• Owner (El campo Propietario en el objeto Cuenta es Account.OwnerId en la API).
• Ingresos anuales
• Descripción
• Número de empleados
• Fax
• Industria
• Propiedad
• Teléfono
• Puntuaje
• ShippingAddress (El campo Dirección de envío es un campo compuesto).
• ShippingCity
• ShippingCountry
• ShippingPostalCode
• ShippingState
• ShippingStreet
• Sic
• Símbolo del teletipo (ticker)
• Sitio Web

Campos de Contacto admitidos

Estos campos de Contacto son admitidos.

• Account (Este valor es el campo Nombre de cuenta en el objeto Contacto y Account.Name en la API.)
• Email
• Nombre
• Apellido
• Teléfono
• Permite inscripción automática del portal
• AssistantName
• AssistantPhone
• Fecha de nacimiento
• Owner (Este valor es el campo Propietario de contacto en el objeto Contacto y Contact.OwnerId en la API.)
• Departamento
• Descripción
• No llamar
• HasOptedOutOfEmail
• Fax
• HasOptedOutOfFax
• Teléfono particular
• LastCUUpdatetDate (Este valor es el campo Autor de última modificación en el objeto Contacto y Contact.LastModifiedDate en la API.)
• Origen del prospecto
• MailingAddress (El campo Dirección de correo postal es un campo compuesto.)
• MailingCity
• MailingCountry
• MailingPostalCode
• MailingState
• MailingStreet
• Móvil
• Saludo
• OtherAddress (el campo OtherAddress es un campo compuesto.)
• OtherCity
• OtherCountry
• OtherPostalCode
• OtherState
• OtherStreet
• Otro teléfono
• Título