Configurar un proveedor de autenticación gestionado de Salesforce
Para simplificar la configuración del proveedor de autenticación para casos de uso de sandbox, utilice aplicaciones externas gestionadas por Salesforce. Este proceso le ahorra tiempo y esfuerzo de crear su propia aplicación externa y gestionar sus credenciales. Salesforce proporciona aplicaciones externas para varios proveedores comunes, como Google, Microsoft y Slack.
Ediciones necesarias
| Disponible en: Lightning Experience y Salesforce Classic |
| Disponible en: Enterprise Edition, Performance Edition, Unlimited Edition y Developer Edition |
| Permisos de usuario necesarios | |
|---|---|
| Para ver la configuración: | Ver parámetros y configuración |
| Para modificar la configuración: | Personalizar aplicación Y Gestionar proveedores de autorización |
Las aplicaciones gestionadas por Salesforce hacen que la configuración de inicio de sesión único (SSO) sea rápida y sencilla, pero pueden experimentar tiempos de inactividad que interrumpen el servicio de SSO. Para casos de uso de producción, cree siempre sus propias aplicaciones externas.
Salesforce gestiona aplicaciones externas para estos proveedores.
- GitHub
- Microsoft
- Salesforce
- Slack
Para utilizar un proveedor de autenticación para el inicio de sesión único, debe crear un controlador de registro. El controlador de registro crea usuarios y actualiza usuarios existentes que acceden a Salesforce a través del proveedor de identidad. Puede configurar un controlador de registro con Apex o Flow Builder. Para obtener más información, consulte Crear un gestor de registro de proveedor de autenticación.
- Desde Configuración, en el cuadro Búsqueda rápida, ingrese Proveedores de autenticación, seleccione Proveedores de autenticación, y luego haga clic en Nuevo.
- Seleccione el tipo de proveedor de autenticación.
- Asigne un nombre a su proveedor.
-
Deje estos campos en blanco de modo que Salesforce pueda gestionar los valores:
- Clave de consumidor
- Pregunta secreta de consumidor
- Autorizar URL de extremo
- URL de extremo de token
- URL de extremo de información de usuario
- Ámbitos predeterminados
Nota Especificar un valor para cualquiera de estos campos implica que está creando su propio proveedor de autenticación. Si proporciona un valor para uno de estos campos, debe proporcionar también un valor para la clave de consumidor y el secreto de consumidor. -
Si ingresa una clave de consumidor y un secreto de consumidor, el secreto de consumidor se incluye en respuestas de API de SOAP de forma predeterminada. Para ocultar el secreto en respuestas de API de SOAP, anule la selección de Incluir secreto de consumidor en respuestas de API de SOAP.
A partir de noviembre de 2022, el secreto se sustituye siempre en respuestas de la API de metadatos por un valor de marcador. En la implementación, sustituya el marcador de posición por su secreto de consumidor como texto normal, o modifique el valor más adelante a través de la interfaz de usuario.
-
Para utilizar un controlador de registro Apex, siga estos pasos.
- Para Tipo de controlador de registro, seleccione Apex.
-
Para Registration Handler, seleccione una clase Apex existente que implemente la interfaz de
Auth.RegistrationHandler. O bien, para crear una plantilla para el controlador de registro, haga clic en Crear automáticamente una plantilla de controlador de registro. Modifique esta clase más adelante y modificar el contenido predeterminado antes de utilizarla.
-
Para utilizar un flujo para su controlador de registro, siga estos pasos.
- Para Tipo de controlador de registro, seleccione Flujo.
- Para Controlador de registro, seleccione un flujo existente del tipo de flujo Registro de usuario de identidad.
-
Seleccione un perfil predeterminado. Se requiere un perfil predeterminado para ejecutar el controlador de registro. Si no especifica un perfil predeterminado aquí, establezca el perfil predeterminado en el flujo en sí.
Si utiliza la plantilla de flujo Registro de usuario de proveedor de autenticación, el perfil que establece aquí se almacena automáticamente en la variable defaultProfileId.
-
Seleccione una cuenta predeterminada. Si utiliza su proveedor de autenticación para sitios de Experience Cloud, esta cuenta almacena nuevos usuarios internos.
Si utiliza la plantilla de flujo Registro de usuario de proveedor de autenticación, el perfil que establece aquí se almacena automáticamente en la variable defaultAccountId.
-
Para Ejecutar registro como, seleccione un usuario de ejecución para ejecutar la clase o el flujo Apex. El usuario debe tener el permiso Gestionar usuarios.
Ejecutar registro como proporciona el contexto en que se ejecuta el controlador de registro. En producción, habitualmente crea un usuario del sistema para el usuario Ejecutar registro como. De este modo, las operaciones realizadas por el controlador se pueden seguir fácilmente de vuelta al proceso de registro. Por ejemplo, si se crea un contacto, el usuario del sistema lo crea.
-
Para utilizar la función de autenticación de múltiples factores (MFA) de Salesforce en vez del servicio MFA de su proveedor de identidad, seleccione Utilizar MFA de Salesforce para este proveedor de SSO.
Este parámetro desencadena MFA únicamente para usuarios que tienen MFA aplicada a ellos directamente. Consulte Utilizar Salesforce MFA para SSO.
- Guarde su trabajo.
Supongamos que desea configurar el inicio de sesión único (SSO) para un entorno sandbox utilizando un proveedor de autenticación de LinkedIn. En la página Configuración de proveedor de autenticación, deje los campos en blanco de modo que Salesforce pueda gestionar estos valores. Puede omitir la creación de una aplicación de LinkedIn. A continuación, define el proveedor de autenticación de LinkedIn en su organización y prueba la conexión utilizando el procedimiento de Configurar un proveedor de autenticación de LinkedIn.
Después de configurar un proveedor de autenticación, Salesforce genera estas URL de configuración de cliente.
- URL de inicialización sólo de prueba: Utilice esta URL para probar si configuró el proveedor externo correctamente. Abra la URL e inicie sesión en el proveedor externo. A continuación se le redirigirá de vuelta a su organización de Salesforce con un mapa de atributos.
- URL de inicialización de inicio de sesión único: Utilice esta dirección URL para dirigir a los usuarios a realizar un SSO en su organización desde el proveedor externo. El usuario abre la URL e inicia sesión en el proveedor externo. El proveedor externo crea o actualiza una cuenta de usuario y luego inicia la sesión del usuario en Salesforce con esa cuenta.
- URL de vinculación de usuario existente: Utilice esta URL para vincular usuarios de su organización con una cuenta existente en el proveedor externo. El usuario abre esta URL, inicia sesión en el proveedor externo e inicia sesión en Salesforce, creando un vínculo entre cuentas.
- URL de inicialización solo de OAuth: Utilice esta URL para obtener tokens de acceso de OAuth para un después de que se autentique el usuario. Este flujo proporciona acceso a datos de terceros pero no SSO.
- URL de devolución de llamada: Para cada una de las direcciones URL de configuración de cliente, el proveedor de autenticación envía información de vuelta a la URL de devolución de llamada.
Puede probar su conexión de SSO abriendo la URL de inicialización solo de prueba en un navegador. La URL le redirige al proveedor de OpenID y le solicita iniciar sesión. A continuación, se le solicitará autorizar su aplicación. Cuando la autorice, se le redirigirá a Salesforce.
Configure su página de inicio de sesión para mostrar el proveedor de autenticación como opción de inicio de sesión. Dependiendo de que esté configurando SSO para una organización o para un sitio de Experience Cloud, este paso es diferente.
