Configuration d'un fournisseur d'authentification Microsoft
Configurez un fournisseur d'authentification Microsoft afin de permettre aux utilisateurs de se connecter à Salesforce avec leurs identifiants Microsoft. Ce fournisseur prend en charge l'authentification avec tous les services fournis par Microsoft Azure Active Directory (AD).
Éditions requises
| Disponible avec : Lightning Experience et Salesforce Classic |
| Disponible avec : Enterprise Edition, Performance Edition, Unlimited Edition et Developer Edition |
| Autorisations utilisateur requises | |
|---|---|
| Pour afficher les paramètres : | Afficher la configuration |
| Pour modifier les paramètres : | Personnaliser l'application ET Gérer les fournisseurs d'authentification |
Pour configurer Microsoft en tant que fournisseur d'authentification, suivez les étapes ci-dessous.
- Configurez un gestionnaire d'enregistrement.
- Configurez une application dans Microsoft Azure AD.
- Définissez un fournisseur d'authentification Microsoft dans Salesforce.
- Mettez votre application Microsoft à jour pour utiliser l'URL de rappel générée par Salesforce en tant qu'URI de redirection dans Microsoft.
- Testez la connexion par authentification unique (SSO).
- Ajoutez le fournisseur d'authentification Microsoft à votre page de connexion.
Configuration d'un gestionnaire d'enregistrement
Pour utiliser un fournisseur d'authentification pour l'authentification unique, vous devez créer un gestionnaire d'enregistrement. Le gestionnaire d'inscription crée des utilisateurs et met à jour les utilisateurs existants qui accèdent à Salesforce via le fournisseur d'identité. Vous pouvez configurer un gestionnaire d'enregistrement avec Apex ou Flow Builder. Pour plus d'informations, consultez Création d'un gestionnaire d'enregistrement de fournisseur d'authentification.
Configuration d'une application Microsoft
- Connectez-vous à Microsoft Azure et accédez à Azure AD.
- Créez une application et générez un secret client. Pour plus d'informations, consultez la documentation Microsoft.
- Modifiez les paramètres de l’application, y compris les étendues.
- Notez l'ID d'application et le secret client.
Définition d'un fournisseur Microsoft dans Salesforce
Pour configurer un fournisseur Microsoft dans Salesforce, l'ID d'application et le secret client Microsoft sont requis.
- Dans Configuration, saisissez Authentification dans la case Recherche rapide, puis sélectionnez Fournisseurs d’authentification.
- Cliquez sur Nouveau.
- Pour le type de fournisseur, sélectionnez Microsoft.
- Saisissez le nom du fournisseur.
- Saisissez le suffixe d'URL, qui est utilisé dans les URL de configuration client. Par exemple, si le suffixe de votre fournisseur est MyMicrosoftProvider, votre URL d'authentification unique est similaire à https://mondomaine_url ou site_url/services/auth/sso/MyMicrosoftProvider.
- Pour Clé consommateur, utilisez l'ID d'application Microsoft.
- Dans Secret consommateur, utilisez le secret client Microsoft.
-
Vous pouvez compléter les champs facultatifs ci-dessous.
- Dans URL de point de terminaison d'autorisation, saisissez l'URL de base de Microsoft, Par exemple,
https://login.microsoftonline.com/common/oauth2/v2.0/authorize. Si vous laissez ce champ vide, Salesforce utilise la version de l'API Microsoft que votre application utilise. - Dans URL de point de terminaison de jeton, saisissez l'URL de Microsoft, Par exemple,
https://login.microsoftonline.com/common/oauth2/v2.0/token. Si vous laissez ce champ vide, Salesforce utilise la version de l'API Microsoft que votre application utilise. - Pour changer les valeurs demandées depuis l'API de profil Microsoft, saisissez l'URL de point de terminaison des informations utilisateur, Par exemple,
https://graph.microsoft.com/oidc/userinfo. Les champs demandés doivent correspondre aux étendues demandées. Si vous laissez ce champ vide, Salesforce utilise la version de l'API Microsoft que votre application utilise. - Pour activer automatiquement l'extension Clé de vérification pour l'échange de code (PKCE) OAuth 2.0, qui renforce la sécurité, sélectionnez Utiliser l'extension Clé de vérification pour l'échange de code (PKCE). Pour plus d'informations sur la sécurité de votre fournisseur avec ce paramètre, consultez Extension Clé de vérification pour l'échange de code (PKCE).
-
Pour Émetteur du jeton, saisissez la source du jeton d'authentification sous le format
https://URL. Pour un flux d'authentification d'un serveur Web OAuth 2.0, le fournisseur doit inclure un jeton d'identification dans la réponse au point de terminaison du jeton. Éventuellement, le fournisseur peut inclure un jeton d'identification dans la réponse d'un flux de jeton d'actualisation. Le jeton d’identification est validé par rapport à la valeur du champ Émetteur du jeton et aux informations du point de terminaison UserInfo. La signature du jeton l'identification n'est pas validée. L'audience du jeton d'identification est la clé consommateur enregistrée avec votre fournisseur d'authentification. N'incluez aucune autre valeur d'audience. - Dans Étendues par défaut, saisissez les étendues à envoyer avec la requête au point de terminaison d'autorisation. Sinon, les paramètres codés en dur du type de fournisseur par défaut sont utilisés.
- Si vous saisissez une clé consommateur et un secret consommateur, le secret consommateur est inclus par défaut dans les réponses de l'API SOAP. Pour masquer le secret dans les réponses de l'API SOAP, désélectionnez Inclure le secret consommateur dans les réponses de l'API SOAP. Depuis novembre 2022, le secret est toujours remplacé par une valeur d'espace réservé dans les réponses de l'API de métadonnées. Lors du déploiement, remplacez l'espace réservé par votre secret consommateur en texte brut ou modifiez la valeur ultérieurement via l'interface utilisateur.
- Dans URL d'erreur personnalisée, saisissez l'URL du fournisseur à utiliser pour signaler les erreurs.
-
Dans URL de déconnexion personnalisée, saisissez une URL de destination spécifique pour les utilisateurs qui se déconnectent après s'être authentifiés via un flux d'authentification unique. Utilisez ce champ pour orienter les utilisateurs vers une page de déconnexion sous votre marque ou une destination différente de la page de déconnexion de Salesforce. L'URL doit être entièrement qualifiée avec un préfixe http ou https, par exemple https://acme.my.salesforce.com.Configurez la déconnexion unique (SLO) pour déconnecter automatiquement un utilisateur de Salesforce et du fournisseur d'identité. En tant que partie de confiance, Salesforce prend en charge la SLO OpenID Connect lorsque l'utilisateur se déconnecte depuis le fournisseur d'identité ou Salesforce.
- Dans URL de point de terminaison d'autorisation, saisissez l'URL de base de Microsoft, Par exemple,
-
Pour utiliser un gestionnaire d'inscription Apex, procédez comme suit.
- Sélectionnez Apex dans Type de gestionnaire d'enregistrement.
-
Dans Gestionnaire d'enregistrement, sélectionnez une classe Apex existante qui implémente l'interface de
Auth.RegistrationHandler. Alternativement, pour créer un modèle pour le gestionnaire d'inscription, cliquez sur Créer automatiquement un modèle de gestionnaire d'inscription. Modifiez cette classe plus tard, et modifiez le contenu par défaut avant de l'utiliser.
-
Pour utiliser un flux pour votre gestionnaire d'enregistrement, procédez comme suit.
- Dans Type de gestionnaire d'enregistrement, sélectionnez Flux.
- Dans Gestionnaire d'inscription, sélectionnez un flux existant de type Enregistrement d'utilisateur de l'identité.
-
Sélectionnez un profil par défaut. Un profil par défaut est requis pour exécuter le gestionnaire d'enregistrement. Si vous ne spécifiez pas de profil par défaut ici, définissez le profil par défaut dans le flux lui-même.
Si vous utilisez le modèle de flux Inscription des utilisateurs fournisseurs d’authentification, le profil que vous définissez ici est automatiquement stocké dans la variable defaultProfileId.
-
Sélectionnez un compte par défaut. Si vous utilisez votre fournisseur d'authentification pour des sites Experience Cloud, ce compte stocke les nouveaux utilisateurs internes.
Si vous utilisez le modèle de flux Enregistrement d'utilisateur fournisseur d'authentification, le profil que vous définissez ici est automatiquement stocké dans la variable defaultAccountId.
-
Dans Exécuter l'inscription en tant que, sélectionnez un utilisateur d'exécution pour exécuter la classe ou le flux Apex. L'utilisateur doit disposer de l'autorisation Gérer les utilisateurs.
Exécuter l'inscription en tant que fournit le contexte d'exécution du gestionnaire d'inscription. En production, vous créez généralement un utilisateur système pour l'utilisateur Exécuter l'inscription en tant que. Ainsi, vous pouvez suivre aisément les opérations exécutées par le gestionnaire en remontant jusqu'au processus d'inscription. Par exemple, si un contact est créé, l'utilisateur système le crée.
- Pour utiliser un portail avec votre fournisseur, sélectionnez-le dans la liste déroulante Portail.
- Pour URL d'icône, ajoutez un chemin vers une icône affichée sous forme d'un bouton dans la page de connexion à un site. Cette icône s'applique uniquement à un site Experience Cloud. Elle n'est pas affichée dans votre page de connexion Salesforce ou dans l'URL de connexion Mon domaine. Les utilisateurs cliquent sur le bouton pour se connecter avec le fournisseur d'authentification associé au site. Spécifiez un chemin vers l'image de votre choix ou copiez l'URL de l'une de nos icônes exemples dans le champ.
- Pour utiliser la fonctionnalité d'authentification multifacteur (MFA) de Salesforce au lieu du service MFA de votre fournisseur d'identité, sélectionnez Utiliser la MFA Salesforce pour ce fournisseur d'authentification unique. Ce paramètre déclenche la MFA uniquement pour les utilisateurs auxquels l'authentification multifacteur a été directement appliquée. Pour plus d’informations, consultez Utilisation de la MFA Salesforce pour l'authentification unique.
- Enregistrez votre fournisseur.
-
Notez la valeur ID de fournisseur d'authentification générée. Vous l'utilisez avec la classe Apex
Auth.AuthToken.
Après avoir défini le fournisseur d'authentification, Salesforce génère les URL de configuration client ci-dessous.
- URL d'initialisation test uniquement : les administrateurs Salesforce utilisent cette URL pour vérifier que le fournisseur tiers est correctement configuré. Ils ouvrent cette URL dans un navigateur, se connectent au tiers, puis sont redirigés vers Salesforce avec une carte d'attributs.
- URL d'initialisation de l'authentification unique : utilisez cette URL pour procéder à l'authentification unique dans Salesforce à partir d'un tiers en utilisant les identifiants du tiers. L'utilisateur ouvre cette URL dans un navigateur, puis se connecte au tiers. La partie tierce crée un utilisateur ou met à jour un utilisateur. Elle connecte ensuite l'utilisateur à Salesforce au nom de cet utilisateur.
- URL de liaison utilisateur existante : utilisez cet URL pour lier des utilisateurs Salesforce à un compte tiers. L'utilisateur ouvre cette URL dans un navigateur, se connecte au tiers, se connecte à Salesforce, puis approuve le lien.
- URL d'initialisation OAuth uniquement : utiliser cette URL pour obtenir des jetons d'accès OAuth pour un tiers. Les utilisateurs doivent s'authentifier à Salesforce pour que le service tiers reçoive un jeton. Ce flux n'est pas fourni pour une fonctionnalité d'authentification unique future.
- URL de rappel : utilisez cette URL pour le point de terminaison que le fournisseur d'authentification rappelle pour la configuration. Le fournisseur d'authentification doit rediriger vers l'URL de rappel avec des informations de chaque URL de configuration client.
- URL de déconnexion unique : utilisez cette URL pour déconnecter les utilisateurs de plusieurs applications en une seule déconnexion. Par exemple, l'utilisateur se déconnecte de Salesforce et est déconnecté du fournisseur tiers.
Les URL de configuration client prennent en charge des paramètres de requête supplémentaires qui permettent d'inviter les utilisateurs à se connecter à des sites spécifiques, d'obtenir des autorisations personnalisées depuis le tiers ou d'accéder à un emplacement après l'authentification.
Mise à jour de votre application Microsoft avec l'URL de rappel
Revenez dans Microsoft et mettez à jour l'URI de redirection pour utiliser l'URL de rappel générée par Salesforce.
Test de la configuration de l'authentification unique
Dans un navigateur, ouvrez l'URL d'initialisation test uniquement dans la page de détail Fournisseur d'authentification. Il vous redirige vers Microsoft et vous demande de vous connecter. Vous êtes ensuite invité à autoriser votre application Microsoft. Une fois l'application autorisée, vous êtes redirigé(e) vers Salesforce.
Ajout du fournisseur d'authentification à votre page de connexion
Configurez votre page de connexion pour afficher le fournisseur d’authentification en tant qu’option de connexion. Selon que vous configurez l’authentification unique (SSO) pour une organisation ou un site Experience Cloud, cette étape est différente.
- Avec des organisations, consultez Ajout d'un fournisseur d'authentification à la page de connexion de votre organisation.
- Avec des sites Experience Cloud, consultez Ajout d'un fournisseur d'authentification à la page de connexion de votre site Experience Cloud.
