Configurar un proveedor de autenticación de LinkedIn
Configure un proveedor de autenticación de LinkedIn de modo que sus usuarios puedan iniciar sesión en Salesforce utilizando sus credenciales de LinkedIn.
Ediciones necesarias
| Disponible en: Lightning Experience y Salesforce Classic |
| Disponible en: Enterprise Edition, Performance Edition, Unlimited Edition y Developer Edition |
| Permisos de usuario necesarios | |
|---|---|
| Para ver la configuración: | Ver parámetros y configuración |
| Para modificar la configuración: | Personalizar aplicación Y Gestionar proveedores de autorización |
Para configurar LinkedIn como un proveedor de autenticación, complete estas tareas.
- Configure un controlador de registro.
- Visualice ámbitos de LinkedIn.
- Configure una aplicación LinkedIn.
- Defina un proveedor de LinkedIn en Salesforce.
- Actualice su aplicación LinkedIn para utilizar la URL de devolución de llamada generada por Salesforce como una entrada en las Direcciones URL de redireccionamiento de OAuth 2.0 de LinkedIn.
- Pruebe la conexión de inicio de sesión único (SSO).
- Agregue el proveedor de autenticación de LinkedIn a su página de inicio de sesión.
Para casos de uso de sandbox, puede omitir algunos de estos pasos y utilizar la aplicación LinkedIn gestionada por Salesforce. Para casos de uso de producción, cree siempre su propia aplicación LinkedIn y utilice sus credenciales para su proveedor de autenticación. La aplicación gestionada por Salesforce puede experimentar tiempo de inactividad y no se recomienda para producción.
Configurar un controlador de registro
Para utilizar un proveedor de autenticación para el inicio de sesión único, debe crear un controlador de registro. El controlador de registro crea usuarios y actualiza usuarios existentes que acceden a Salesforce a través del proveedor de identidad. Puede configurar un controlador de registro con Apex o Flow Builder. Para obtener más información, consulte Crear un gestor de registro de proveedor de autenticación.
Este es un controlador de registro Apex de ejemplo para el proveedor de autenticación LinkedIn. Este controlador de registro asume que los ámbitos solicitados incluyen r_liteprofile y r_emailaddress. También asume que los usuarios están iniciando sesión en un portal de clientes.
GET
https://api.linkedin.com/v2/emailAddress?q=members&projection=(elements*(handle~)).
//TODO:This auto-generated class includes the basics for a Registration
//Handler class. You will need to customize it to ensure it meets your needs and
//the data provided by the third party.
global class LinkedInRegHandler implements Auth.RegistrationHandler {
//Creates a Standard salesforce or a community user
global User createUser(Id portalId, Auth.UserData data) {
if (data.attributeMap.containsKey('sfdc_networkid')) {
//We have a community id, so create a user with community access
//TODO: Get an actual account
Account a =[SELECT Id FROM account WHERE name = 'LinkedIn Account'];
Contact c = new Contact();
c.accountId = a.Id;
c.email = data.email;
c.firstName = data.firstName;
c.lastName = data.lastName;
insert(c);
//TODO: Customize the username and profile. Also check that the username
//doesn't already exist and possibly ensure there are enough org licenses
//to create a user. Must be 80 characters or less.
User u = new User();
Profile p =[SELECT Id FROM profile WHERE name = 'Customer Portal Manager'];
u.username = data.firstName + '@sfdc.linkedin.com';
u.email = data.email;
u.lastName = data.lastName;
u.firstName = data.firstName;
String alias = data.firstName;
//Alias must be 8 characters or less
if (alias.length() > 8) {
alias = alias.substring(0, 8);
}
u.alias = alias;
u.languagelocalekey = UserInfo.getLocale();
u.localesidkey = UserInfo.getLocale();
u.emailEncodingKey = 'UTF-8';
u.timeZoneSidKey = 'America/Los_Angeles';
u.profileId = p.Id;
u.contactId = c.Id;
return u;
} else {
//This is not a community, so create a regular standard user
User u = new User();
Profile p =[SELECT Id FROM profile WHERE name = 'Standard User'];
//TODO: Customize the username. Also check that the username doesn't
//already exist and possibly ensure there are enough org licenses
//to create a user. Must be 80 characters or less
u.username = data.firstName + '@salesforce.com';
u.email = data.email;
u.lastName = data.lastName;
u.firstName = data.firstName;
String alias = data.firstName;
//Alias must be 8 characters or less
if (alias.length() > 8) {
alias = alias.substring(0, 8);
}
u.alias = alias;
u.languagelocalekey = UserInfo.getLocale();
u.localesidkey = UserInfo.getLocale();
u.emailEncodingKey = 'UTF-8';
u.timeZoneSidKey = 'America/Los_Angeles';
u.profileId = p.Id;
return u;
}
}
//Updates the user's first and last name
global void updateUser(Id userId, Id portalId, Auth.UserData data) {
User u = new User(id = userId);
u.lastName = data.lastName;
u.firstName = data.firstName;
update(u);
}
}Ver ámbitos de LinkedIn
Un ámbito determina la información que obtiene de LinkedIn sobre un usuario durante el proceso de autorización. Debido a problemas de seguridad, LinkedIn actualizó su API a v2 para reducir la cantidad de información de miembros devuelta aplicaciones de desarrollador cuando los miembros inician sesión. En v2, LinkedIn devuelve únicamente las partes claves de datos de miembros necesaria para su identificación. El Perfil de Lite de LinkedIn v2 sustituye el Perfil Básico de v1. Los Perfiles de Lite están compuestos del Id., el nombre, los apellidos, los apellidos de soltera y la foto de perfil de un miembro. Como en v1, un usuario debe primero proporcionar la aprobación de LinkedIn para compartir la información.
Cuando configura LinkedIn como un proveedor de autenticación, puede ver los ámbitos en la configuración de la aplicación LinkedIn y la configuración del proveedor de autenticación de Salesforce. También puede ver los ámbitos en una consulta al extremo de información de usuario de LinkedIn mediante los selectores de campos.
- Puede dejar el valor de ámbito en blanco en la configuración de LinkedIn y Salesforce. Salesforce contiene r_basicprofile, que proporciona solo la información de usuario más básica. También proporciona r_emailaddress, que contiene la dirección de email del usuario.
- Esta es una solicitud para recuperar el perfil del miembro en LinkedIn v2:
GEThttps://api.linkedin.com/v2/me. - Salesforce requiere la dirección de email de un usuario. Puede realizar una solicitud separada para recuperar la dirección de email del usuario utilizando r_emailaddress. Esta es una solicitud para recuperar la dirección de email del miembro.
GET https://api.linkedin.com/v2/emailAddress?q=members&projection=(elements*(handle~))
Configurar una aplicación LinkedIn
Antes de poder configurar LinkedIn para Salesforce, configure una aplicación en LinkedIn.
- Inicie sesión en su cuenta de desarrollador en LinkedIn.
- Desde LinkedIn, haga clic en su imagen de perfil en la parte superior y seleccione Mis aplicaciones.
- Haga clic en Crear aplicación.
- Ingrese los ajustes de la aplicación.
- Anote el Id. de cliente y la Pregunta secreta del cliente.
Definir un proveedor de LinkedIn en su organización de Salesforce
Para configurar un proveedor de LinkedIn, necesita el Id. de cliente y el secreto de cliente de LinkedIn.
- Desde Configuración, en el cuadro Búsqueda rápida, ingrese Proveedores de autenticación, haga clic en Proveedores de autenticación, y luego haga clic en Nuevo.
- Para el tipo de proveedor, seleccione LinkedIn.
- Ingrese un nombre para el proveedor.
- Ingrese el Sufijo de URL, que se utiliza en las direcciones URL de configuración de cliente. Por ejemplo, si el sufijo de URL de su proveedor es MyLinkedInProvider, su URL de SSO tendrá una apariencia similar a https://mydomain_url or community_url/services/auth/sso/MyLinkedInProvider.
- Para Pregunta secreta de consumidor, utilice el secreto del cliente de LinkedIn.
-
Para utilizar un controlador de registro Apex, siga estos pasos.
- Para Tipo de controlador de registro, seleccione Apex.
-
Para Registration Handler, seleccione una clase Apex existente que implemente la interfaz de
Auth.RegistrationHandler. O bien, para crear una plantilla para el controlador de registro, haga clic en Crear automáticamente una plantilla de controlador de registro. Modifique esta clase más adelante y modificar el contenido predeterminado antes de utilizarla.
-
Para utilizar un flujo para su controlador de registro, siga estos pasos.
- Para Tipo de controlador de registro, seleccione Flujo.
- Para Controlador de registro, seleccione un flujo existente del tipo de flujo Registro de usuario de identidad.
-
Seleccione un perfil predeterminado. Se requiere un perfil predeterminado para ejecutar el controlador de registro. Si no especifica un perfil predeterminado aquí, establezca el perfil predeterminado en el flujo en sí.
Si utiliza la plantilla de flujo Registro de usuario de proveedor de autenticación, el perfil que establece aquí se almacena automáticamente en la variable defaultProfileId.
-
Seleccione una cuenta predeterminada. Si utiliza su proveedor de autenticación para sitios de Experience Cloud, esta cuenta almacena nuevos usuarios internos.
Si utiliza la plantilla de flujo Registro de usuario de proveedor de autenticación, el perfil que establece aquí se almacena automáticamente en la variable defaultAccountId.
-
Para Ejecutar registro como, seleccione un usuario de ejecución para ejecutar la clase o el flujo Apex. El usuario debe tener el permiso Gestionar usuarios.
Ejecutar registro como proporciona el contexto en que se ejecuta el controlador de registro. En producción, habitualmente crea un usuario del sistema para el usuario Ejecutar registro como. De este modo, las operaciones realizadas por el controlador se pueden seguir fácilmente de vuelta al proceso de registro. Por ejemplo, si se crea un contacto, el usuario del sistema lo crea.
-
Opcionalmente, establezca estos campos:
- Para Autorizar URL de extremo, ingrese https://www.linkedin.com/oauth/v2/authorization.
- Para URL de extremo de token, ingrese la URL de token de autorización de LinkedIn. Por ejemplo, https://www.linked.com/oauth/v2/accessToken. Para obtener más información, consulte Descripción general de Autenticación con OAuth 2.0.
- Para cambiar los valores solicitados desde API de perfil de LinkedIn, ingrese la URL de extremo de información de usuario. Para obtener más información, consulte API de perfil. La URL debe comenzar con https://api.linkedin.com/v2/me, y los campos solicitados deben corresponder a los ámbitos solicitados.
- Para Ámbitos predeterminados, ingrese un valor compatible o valores separados por espacio que representan la información que obtiene de LinkedIn.
- Si ingresa una clave de consumidor y un secreto de consumidor, el secreto de consumidor se incluye en respuestas de API de SOAP de forma predeterminada. Para ocultar el secreto en respuestas de API de SOAP, anule la selección de Incluir secreto de consumidor en respuestas de API de SOAP. A partir de noviembre de 2022, el secreto se sustituye siempre en respuestas de la API de metadatos por un valor de marcador. En la implementación, sustituya el marcador de posición por su secreto de consumidor como texto normal, o modifique el valor más adelante a través de la interfaz de usuario.
- Para URL personalizada del error, ingrese la URL para que la utilice el proveedor para informar sobre cualquier error.
- Para URL de icono, agregue una ruta a un icono para que se muestre como un botón en la página de inicio de sesión para un sitio. Este icono se aplica únicamente a un sitio de Experience Cloud. No aparece en su página de inicio de sesión de Salesforce ni en su URL de inicio de sesión de Mi dominio. Los usuarios hacen clic en el botón para iniciar sesión con el proveedor de autenticación asociado para el sitio. Especifique una ruta a su propia imagen, o copiar la dirección URL de uno de nuestros iconos de muestra en el campo.
- Para utilizar un portal para usuarios de LinkedIn, seleccione el portal en la lista desplegable Portal.
- Para utilizar la función de autenticación de múltiples factores (MFA) de Salesforce en vez del servicio MFA de su proveedor de identidad, seleccione Utilizar MFA de Salesforce para este proveedor de SSO. Este parámetro desencadena MFA únicamente para usuarios que tienen MFA aplicada a ellos directamente. Para obtener más información, consulte Utilizar Salesforce MFA para SSO.
- Guarde su trabajo.
Después de definir el proveedor de autenticación, Salesforce genera estas URL de configuración de cliente.
- URL de inicialización sólo de prueba: Utilice esta opción para garantizar que el proveedor externo se configura correctamente. El administrador abre esta URL en un navegador, inicia sesión en el proveedor externo y se le redirige a Salesforce con un mapa de atributos.
- URL de inicialización de inicio de sesión único: Utilice esta dirección URL para realizar un SSO en Salesforce desde un proveedor externo empleando credenciales externas. El usuario final abre esta URL en un navegador e inicia sesión en el proveedor externo. El proveedor externo crea un usuario o actualiza un usuario existente. A continuación, el proveedor externo inicia sesión del usuario en Salesforce como ese usuario.
- URL de vinculación de usuario existente: Utilice esta URL para vincular usuarios de Salesforce existentes a una cuenta externa. El usuario abre esta URL en un navegador, inicia sesión en el proveedor externo, inicia sesión en Salesforce y aprueba el vínculo.
- URL de inicialización solo de OAuth: Utilice esta URL para obtener tokens de acceso de OAuth para un tercero. Los usuarios deben autenticarse con Salesforce para el servicio externo para obtener un token. Este flujo no proporciona funciones SSO en el futuro.
- URL de devolución de llamadas: Utilice esta URL para el extremo al que el proveedor de autenticación devuelve la llamada para la configuración. El proveedor de autenticación debe redirigir a la URL de devolución de llamada con información para cada URL de configuración de cliente.
Las direcciones URL de configuración del cliente admiten más parámetros de solicitud que le permiten:
- Dirigir los usuarios a iniciar sesión en sitios específicos.
- Obtener permisos personalizados de terceros.
- Ir a una ubicación específica tras la autenticación.
Actualizar su aplicación de LinkedIn
Después de definir el proveedor de autenticación de LinkedIn en Salesforce, vuelva a LinkedIn. Actualice su aplicación para utilizar la dirección URL de devolución de llamada generada por Salesforce como el valor Direcciones URL de redireccionamiento de OAuth 2.0 de LinkedIn.
Probar la conexión SSO
En un navegador, abra la URL de inicialización sólo de prueba en la página Configuración del proveedor de autorización. Le redirige a LinkedIn y le solicita iniciar sesión. A continuación, se le solicitará autorizar su aplicación. Cuando la autorice, se le redirigirá a Salesforce.
Agregar el proveedor de autenticación a su página de inicio de sesión
Configure su página de inicio de sesión para mostrar el proveedor de autenticación como opción de inicio de sesión. Dependiendo de que esté configurando SSO para una organización o un sitio de Experience Cloud, este paso es diferente.
- Para las organizaciones, consulte Agregar un proveedor de autenticación a la página de inicio de sesión de su organización.
- Para sitios de Experience Cloud, consulte Agregar un proveedor de autenticación a la página de inicio de sesión de su sitio de Experience Cloud.
