启用即时配置
在 Salesforce 中启用即时 (JIT) 配置,以便在用户使用 SAML 单点登录 (SSO) 首次登录 Salesforce 时自动创建或更新用户帐户。
所需的 Edition
| 适用于 Salesforce Classic 和 Lightning Experience |
联盟验证在以下版本中可用:所有版本 委派验证在以下版本中可用:Professional、Enterprise、Performance、Unlimited、Developer 和 Database.com Edition 验证提供商适用于:Professional、Enterprise、Performance、Unlimited 和 Developer Edition |
| 所需用户权限 | |
|---|---|
| 查看设置: | 查看设置和配置 |
| 编辑设置: | 自定义应用程序 与 修改所有数据 |
在启用 JIT 配置之前,请以 Salesforce 为服务提供商配置 SAML SSO。
在 Salesforce 设置中启用 JIT。
- 在“设置”中,在快速查找框中输入单点登录设置,然后选择单点登录设置。
- 对于要启用 JIT 的 SAML 单点登录设置,选择编辑。
- 在“单点登录设置”中,选择“即时用户配置”部分中的启用用户配置。
-
选择用户配置类型。
- 标准—使用 SAML 声明中的属性自动配置用户。
- 使用 Apex 处理器自定义 SAML JIT—根据 Apex 类中的逻辑配置用户。
备注 如果您使用的是 Professional Edition,则只能启用标准 JIT 配置。
- 如果您已选择标准,请保存更改,然后测试 SSO 连接。如果您选择了使用 Apex 处理器自定义 SAML JIT,则继续进行下一步。
-
对于 SAML JIT 处理器,选择一个现有的 Apex 类作为 SAML JIT 处理器类。
该类必须实施 SamlJitHandler 界面。如果您没有 Apex 类,可通过单击自动创建 SAML JIT 处理器模板来生成一个类。使用前,需要编辑该类并更改默认内容。有关更多信息,请参阅“编辑即时处理器”。
- 对于处理器的执行身份,选择运行 Apex 类的用户。用户必须具有管理用户权限。
- 对于SAML 身份类型,选择声明包含来自用户对象的联盟 ID。如果您的身份提供商以前使用过 Salesforce 用户名,请告诉他们使用联盟 ID。JIT 配置需要联盟 ID 作为用户类型。
- 保存更改。
在启用 JIT 后,如果您已配置使用 Apex 处理器自定义 SAML JIT,请编辑 SAML JIT 处理器 Apex 类,然后测试 SSO 连接。
如果您配置了标准 JIT 用户配置类型,请通过尝试访问身份提供商的应用程序来测试您的 SSO 连接。您的身份提供商会指引用户的浏览器将包含 SAML 声明的表格发布到 Salesforce 登录页面。每个声明都会受到验证,如果验证成功,用户可以进行 SSO 登录。
如果您使用 SSO 有困难,请使用SAML 声明验证器。
如果您的用户在使用 SSO 时遇到问题,请查看 SAML 登录历史以确定问题,并与您的身份提供商分享您的发现。
如果您使用的是 SAML 2.0 版,则在您配置 SAML 后,会填充 OAuth 2.0 令牌端点字段。将令牌用于 OAuth 2.0 Web 服务器流。
