Loading
Identificazione degli utenti e gestione degli accessi
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            Configurazione di un provider di autenticazione Microsoft

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Identificazione degli utenti e gestione degli accessi

            Configurazione di un provider di autenticazione Microsoft

            Impostare un provider di autenticazione Microsoft per consentire agli utenti di accedere a Salesforce con le credenziali Microsoft. Questo provider supporta l'autenticazione con tutti i servizi forniti da Microsoft Azure Active Directory (AD).

            Versioni (Edition) richieste

            Disponibile in: Lightning Experience e Salesforce Classic
            Disponibile in: Enterprise Edition, Performance Edition, Unlimited Edition e Developer Edition
            Autorizzazioni utente richieste
            Per visualizzare le impostazioni: Visualizza impostazione e configurazione
            Per modificare le impostazioni:

            Personalizza applicazione

            E

            Gestisci provider di autenticazione

            Per configurare Microsoft come provider di autenticazione, eseguire le seguenti operazioni.

            • Impostare un handler di registrazione.
            • Creare un'applicazione in Microsoft Azure AD.
            • Definire un provider di autenticazione Microsoft in Salesforce.
            • Aggiornare l'applicazione Microsoft in modo che utilizzi l'URL di richiamata generato da Salesforce come URI di reindirizzamento a Microsoft.
            • Provare la connessione Single Sign-On (SSO).
            • Aggiungere il provider di autenticazione Microsoft alla pagina di accesso.
            Nota
            Nota Per i casi d'uso Sandbox, è possibile saltare alcuni di questi passaggi e utilizzare l'app Microsoft gestita da Salesforce. Per i casi d'uso di produzione, creare sempre la propria app Microsoft e utilizzarne le credenziali per il provider di autenticazione. L'app gestita da Salesforce può avere tempi di inattività e non è consigliata per l'ambiente di produzione.

            Impostazione di un handler di registrazione

            Per utilizzare un provider di autenticazione per Single Sign-On, è necessario creare un handler di registrazione. L'handler di registrazione crea e aggiorna gli utenti esistenti che accedono a Salesforce tramite il provider di identità. È possibile impostare un handler di registrazione con Apex o Flow Builder. Per ulteriori informazioni, vedere Creazione di un handler registrazione provider di autenticazione.

            Creare un'applicazione Microsoft

            1. Accedere a Microsoft Azure e passare ad Azure AD.
            2. Creare un'applicazione e generare un segreto client. Per maggiori informazioni, consultare la documentazione Microsoft.
            3. Modificare le impostazioni dell'applicazione a seconda delle esigenze, compresi gli ambiti.
            4. Annotare l'ID applicazione e il segreto client.

            Definire un provider Microsoft in Salesforce

            Per impostare un provider Microsoft in Salesforce, sono necessari l'ID applicazione e il segreto client Microsoft.

            1. Da Imposta, nella casella Ricerca veloce, immettere Aut e quindi selezionare Provider di autenticazione.
            2. Fare clic su Nuovo.
            3. Selezionare Microsoft come tipo di provider.
            4. Immettere un nome per il provider.
            5. Immettere il Suffisso URL, utilizzato negli URL della configurazione client. Ad esempio, se il suffisso URL del provider è MyMicrosoftProvider, l'URL SSO sarà simile a https://mydomain_url o site_url/services/auth/sso/MyMicrosoftProvider.
            6. Come chiave consumatore, utilizzare l'ID dell'applicazione Microsoft.
            7. Come segreto consumatore, utilizzare il segreto client di Microsoft.
            8. Eventualmente, impostare questi campi.
              • Per Autorizza URL endpoint, immettere l'URL base Microsoft. Ad esempio, https://login.microsoftonline.com/common/oauth2/v2.0/authorize. Se si lascia vuoto il campo, Salesforce utilizza la versione dell'API Microsoft usata dall'applicazione.
              • Per URL endpoint token, immettere l'URL da Microsoft. Ad esempio, https://login.microsoftonline.com/common/oauth2/v2.0/token. Se si lascia vuoto il campo, Salesforce utilizza la versione dell'API Microsoft usata dall'applicazione.
              • Per modificare i valori richiesti dall'API del profilo Microsoft, immettere l'URL endpoint info utente. Ad esempio, https://graph.microsoft.com/oidc/userinfo. I campi richiesti devono corrispondere agli ambiti richiesti. Se si lascia vuoto il campo, Salesforce utilizza la versione dell'API Microsoft usata dall'applicazione.
              • Per abilitare automaticamente l'estensione Proof Key for Code Exchange (PKCE) OAuth 2.0, che migliora la sicurezza, selezionare Usa estensione PKCE (Proof Key for Code Exchange). Per ulteriori informazioni su come questa impostazione consente di proteggere il provider, vedere Proof Key for Code Exchange (PKCE) Extension.

              • Per Emittente token, immettere l'origine del token di autenticazione nel https://URL del modulo. Per un flusso di autenticazione server Web OAuth 2.0, il provider deve contenere un token ID nella risposta dell'endpoint token. Eventualmente, il provider può contenere un token ID nella risposta di un flusso token di aggiornamento. Il token ID viene convalidato con il valore di Emittente token e con le informazioni dell'endpoint Info utente. La firma del token ID non viene convalidata. Il pubblico del token ID è la chiave consumatore registrata presso il provider di autenticazione. Non specificare nessun altro valore per il pubblico.

              • Per Ambiti predefiniti, immettere gli ambiti da inviare insieme alla richiesta all'endpoint di autorizzazione. In caso contrario vengono utilizzate le impostazioni predefinite codificate per il tipo di provider,
              • Se si immettono una chiave consumatore e un segreto consumatore, il segreto consumatore viene incluso nelle risposte dell'API SOAP per impostazione predefinita. Per nascondere il segreto nelle risposte API SOAP, deselezionare Includi segreto consumatore nelle risposte API SOAP. A partire da novembre 2022, nelle risposte dell'API dei metadati il segreto viene sempre sostituito con un valore segnaposto. Alla distribuzione, sostituire il segnaposto con il segreto consumatore come testo normale o modificare il valore successivamente tramite l'interfaccia utente.
              • Per URL di errore personalizzato, immettere l'URL utilizzato dal provider per segnalare eventuali errori.

              • Per URL di disconnessione personalizzato, immettere un URL per indicare una destinazione specifica per gli utenti autenticati con il flusso SSO che si disconnettono. Usare questo campo per indirizzare gli utenti a una pagina di disconnessione con l'immagine aziendale o a una destinazione diversa dalla pagina di disconnessione predefinita di Salesforce. L'URL deve essere completo di un prefisso http o https, ad esempio https://acme.my.salesforce.com.Configurare il Single Logout (SLO) per disconnettere automaticamente un utente da Salesforce e dal provider di identità. In qualità di relying party, Salesforce supporta SLO OpenID Connect quando l'utente si disconnette dal provider di identità o da Salesforce.

            9. Per utilizzare un handler di registrazione Apex, eseguire i passaggi seguenti.
              1. Per Tipo di handler registrazione, selezionare Apex.
              2. Per Handler registrazione, selezionare una classe Apex esistente che implementa l'interfaccia Auth.RegistrationHandler. Oppure, per creare un modello per l'handler di registrazione, fare clic su Crea automaticamente un modello di handler di registrazione. In seguito, modificare questa classe e modificare il contenuto predefinito prima di utilizzarlo.
            10. Per utilizzare un flusso per l'handler di registrazione, procedere come descritto di seguito.
              1. Per Tipo di handler registrazione, selezionare Flusso.
              2. Per Handler registrazione, selezionare un flusso esistente del tipo di flusso Registrazione utente identità.
              3. Selezionare un profilo predefinito. Per eseguire l'handler di registrazione è necessario un profilo predefinito. Se non si specifica un profilo predefinito qui, impostare il profilo predefinito nel flusso stesso.

                Se si utilizza il modello di flusso Registrazione utente provider di autenticazione, il profilo impostato qui viene memorizzato automaticamente nella variabile defaultProfileId.

              4. Selezionare un account predefinito. Se si utilizza il provider di autenticazione per i siti Experience Cloud, questo account memorizza i nuovi utenti interni.

                Se si utilizza il modello di flusso Registrazione utente provider di autenticazione, il profilo impostato qui viene memorizzato automaticamente nella variabile defaultAccountId.

            11. Per Esegui registrazione come, selezionare un utente esecuzione per eseguire la classe Apex o il flusso. L'utente deve disporre dell'autorizzazione Gestisci utenti.

              Esegui registrazione come fornisce il contesto in cui viene eseguito l'handler di registrazione. In produzione, viene in genere creato un utente di sistema per l'utente Esegui registrazione come. In questo modo, le operazioni eseguite dall'handler vengono tracciate in modo semplice nel processo di registrazione. Ad esempio, se viene creato un referente, l'utente di sistema crea il referente.

            12. Per utilizzare un portale con il provider, selezionare il portale dall'elenco a discesa Portale.
            13. Per URL icona, aggiungere un percorso a un'icona da visualizzare come pulsante nella pagina di accesso di un sito. Questa icona è valida solo per un sito Experience Cloud Non compare nella pagina di accesso di Salesforce né nell'URL di accesso di Dominio personale. Gli utenti fanno clic sul pulsante per accedere con il provider di autenticazione associato del sito. Specificare il percorso di un'immagine a scelta, oppure copiare nel campo l'URL di una delle icone di esempio.
            14. Per utilizzare la funzionalità di autenticazione a più fattori (MFA) di Salesforce anziché il servizio MFA del provider di identità, selezionare Usa autenticazione a più fattori (MFA) Salesforce per questo provider SSO. Questa impostazione attiva la MFA solo per gli utenti per cui la MFA è stata applicata direttamente. Per ulteriori informazioni, vedere l'articolo relativo all'utilizzo della MFA Salesforce per l'SSO.
            15. Salvare il provider.
            16. Prendere nota del valore ID provider di autenticazione generato. Si usa con la classe Apex Auth.AuthToken.

            Dopo aver definito il provider di autenticazione, Salesforce genera i seguenti URL di configurazione client.

            • URL inizializzazione solo test: gli amministratori Salesforce utilizzano questo URL per verificare che il provider esterno sia impostato correttamente. L'amministratore apre l'URL in un browser, accede al provider esterno e viene reindirizzato a Salesforce con una mappa di attributi.
            • URL inizializzazione Single Sign-On — Utilizzare questo URL per eseguire il SSO in Salesforce da un provider esterno servendosi delle sue credenziali. L'utente apre questo URL in un browser e accede al provider esterno. Questi crea o aggiorna un utente e quindi lo fa accedere a Salesforce come quell'utente.
            • URL di collegamento utente esistente — Utilizzare questo URL per collegare gli utenti Salesforce a un account esterno. L'utente apre questo URL in un browser, accede al provider esterno, accede a Salesforce e approva il link.
            • URL di inizializzazione solo OAuth — Utilizzare questo URL per ottenere token di accesso OAuth per terzi. Per consentire al servizio di terzi di ottenere un token, gli utenti devono autenticarsi in Salesforce. Questo flusso non è predisposto per una futura funzionalità di Single Sign-On.
            • URL di richiamata — Utilizzare questo URL di richiamata come endpoint che il provider di autenticazione richiama per la configurazione. Il provider di autenticazione deve reindirizzare all'URL di richiamata con le informazioni per ciascuno degli URL di configurazione client.
            • URL di Single Logout — Utilizzare questo URL per disconnettere gli utenti da più app con un'unica disconnessione. Ad esempio, l'utente si disconnette da Salesforce e viene disconnesso dal provider esterno.

            Gli URL di configurazione client supportano ulteriori parametri di richiesta che consentono di richiedere agli utenti di accedere a specifici siti, ottenere autorizzazioni personalizzate da terzi o passare a un percorso specifico dopo l'autenticazione.

            Aggiornare l'applicazione Microsoft con l'URL di richiamata

            Tornare a Microsoft e aggiornare l'URI di reindirizzamento per utilizzare l'URL di richiamata generato da Salesforce.

            Testare la configurazione Single Sign-On

            In un browser, aprire l'URL inizializzazione solo test nella pagina dei dettagli del provider di autenticazione. Si viene reindirizzati a Microsoft. Viene chiesto di eseguire l'accesso e poi di autorizzare l'applicazione Microsoft. Dopo avere concesso l'autorizzazione si è nuovamente indirizzati a Salesforce.

            Aggiunta del provider di autenticazione alla pagina di accesso

            Configurare la pagina di accesso per mostrare il provider di autenticazione come opzione di accesso. Questa procedura è diversa a seconda che si stia configurando SSO per un'organizzazione o per un sito Experience Cloud.

             
            Caricamento
            Salesforce Help | Article