Loading
识别您的用户并管理访问
目录
筛选条件: (0)添加
选择筛选器

          没有结果
          没有结果
          以下是一些搜索提示

          检查关键字的拼写。
          使用更普遍的搜索词。
          选择更少的筛选器,并扩大搜索范围。

            搜索所有 Salesforce 帮助
            搜索所有 Salesforce 帮助
            配置 Microsoft 身份验证提供商

            您在此处:

            1. Salesforce 帮助
            2. 文档
            3. 识别您的用户并管理访问

            配置 Microsoft 身份验证提供商

            设置 Microsoft 身份验证提供商,以便用户可以使用 Microsoft 凭据登录 Salesforce。此提供商支持使用 Microsoft Azure Active Directory (AD) 提供的所有服务进行身份验证。

            所需的 Edition

            适用于:Lightning Experience 和 Salesforce Classic
            适用于:EnterprisePerformanceUnlimitedDeveloper Edition
            所需用户权限
            查看设置: 查看设置和配置
            编辑设置:

            自定义应用程序

            管理验证提供商权限

            要将 Microsoft 配置为验证提供商,请完成以下步骤。

            • 设置注册处理器。
            • 在 Microsoft Azure AD 中设置应用程序。
            • 在 Salesforce 中定义 Microsoft 身份验证提供商。
            • 更新您的 Microsoft 应用程序以使用由 Salesforce 生成的回调 URL 作为 Microsoft 中的重定向 URL。
            • 测试单点登录 (SSO) 连接。
            • 将 Microsoft 身份验证提供商添加到登录页面。
            备注
            备注 对于 Sandbox 用例,您可以跳过其中一些步骤,并使用 Salesforce 受管 Microsoft 应用程序。对于生产用例,请始终创建自己的 Microsoft 应用程序,并使用身份验证提供商的凭据。Salesforce 管理的应用程序可能会遇到停机,不建议用于生产。

            设置注册处理器

            要将身份验证提供商用于单点登录,您必须创建注册处理器。注册处理器创建用户,并更新通过身份提供商访问 Salesforce 的现有用户。您可以使用 Apex 或 Flow Builder 设置注册处理器。有关更多信息,请查看创建身份验证提供商注册处理器。

            设置 Microsoft 应用程序

            1. 登录 Microsoft Azure,并转到 Azure AD。
            2. 创建应用程序,并生成客户端密码。有关详细信息,请参阅Microsoft 文档
            3. 根据需要,修改应用程序设置,包括范围
            4. 请记录应用程序 ID 和客户端密码。

            在 Salesforce 中定义 Microsoft 提供商

            要在 Salesforce 中设置 Microsoft 提供商,您需要 Microsoft 应用程序 ID 和客户端密码。

            1. 从“设置”中,在快速查找框中输入身份验证,然后选择身份验证提供商
            2. 单击新建
            3. 为提供商类型选择 Microsoft
            4. 输入提供商的名称。
            5. 输入在客户端配置 URL 中使用的 URL 后缀。例如,如果提供商的 URL 后缀是 MyMicrosoftProvider,那么您的 SSO URL 将类似于 https://mydomain_urlsite_url/services/auth/sso/MyMicrosoftProvider
            6. 对于使用者密钥,使用 Microsoft 应用程序程序 ID。
            7. 对于使用者密码,输入 Microsoft 客户端密码。
            8. 也可以设置这些字段。
              • 对于授权端点 URL,输入来自 Microsoft 的基础 URL。例如,https://login.microsoftonline.com/common/oauth2/v2.0/authorize。如果您将此字段留空,Salesforce 会使用您的应用程序使用的 Microsoft API 版本。
              • 对于令牌端点 URL,输入来自 Microsoft 的 URL。例如,https://login.microsoftonline.com/common/oauth2/v2.0/token。如果您将此字段留空,Salesforce 会使用您的应用程序使用的 Microsoft API 版本。
              • 要更改从 Microsoft 简档 API 请求的值,输入用户信息端点 URL。例如,https://graph.microsoft.com/oidc/userinfo。请求的字段必须与请求的范围相对应。如果您将此字段留空,Salesforce 会使用您的应用程序使用的 Microsoft API 版本。
              • 要自动启用 OAuth 2.0 代码交换验证密钥 (PKCE) 扩展以提高安全性,请选择使用代码交换验证密钥 (PKCE) 扩展。有关此设置如何帮助保护提供商的更多信息,请参阅代码交换证明密钥 (PKCE) 扩展

              • 对于令牌颁发者,在表单https://URL中输入身份验证令牌的来源。对于 OAuth 2.0 Web 服务器身份验证流,提供商必须在来自令牌端点的响应中包含 ID 令牌。或者,提供商可在响应中包含 ID 令牌,以获取刷新令牌流。根据用户信息端点中的令牌发行者值和信息,对 ID 令牌进行验证。ID 令牌的签名未验证。ID 令牌的受众是通过身份验证提供商注册的使用者密钥。请勿包含任何其他受众值。

              • 对于默认范围,输入范围,以与请求一同发送至授权端点。否则,使用提供商类型的硬编码默认设置。
              • 如果您输入使用者密钥和使用者密码,使用者密码将默认包含在 SOAP API 响应中。要隐藏 SOAP API 响应中的密码,请取消选择在 SOAP API 响应中包含使用者密码。从 2022 年 11 月开始,密码始终用占位符值替换元数据 API 响应。在部署时,将占位符替换为纯文本形式的使用者密码,或者稍后通过 UI 修改该值。
              • 对于自定义错误 URL,输入提供商用于报告错误的 URL。

              • 对于自定义注销 URL,如果用户使用 SSO 流进行身份验证,输入在注销后为用户提供指定目的地的 URL。使用此字段引导用户前往品牌的注销页面或目的地,而不是默认的 Salesforce 注销页。该 URL 必须完全限定为 http 或 https 前缀,例如 https://acme.my.salesforce.com。配置单点注销 (SLO),以自动从 Salesforce 和身份提供商注销用户。作为依赖方,当用户从身份提供商或 Salesforce 注销时,Salesforce 支持 OpenID Connect SLO。

            9. 要使用 Apex 注册处理器,请执行以下步骤。
              1. 对于注册处理器类型,选择 Apex
              2. 对于注册处理器,选择实施Auth.RegistrationHandler接口的现有 Apex 类。或者,要为注册处理器创建模板,请单击自动创建注册处理器模板。使用前,需要编辑该类,随后更改默认内容。
            10. 要将流用于注册处理器,请执行以下步骤。
              1. 对于注册处理器类型,选择
              2. 对于注册处理器,选择身份用户注册流类型的现有流。
              3. 选择默认简档。运行注册处理器需要默认简档。如果您未在此处指定默认简档,请在流中设置默认简档。

                如果您使用身份验证提供商用户注册流模板,您在此处设置的简档将自动存储在 defaultProfileId 变量中。

              4. 选择默认客户。如果您将身份验证提供商用于 Experience Cloud 站点,此帐户会存储新的内部用户。

                如果您使用身份验证提供商用户注册流模板,您在此处设置的简档将自动存储在 defaultAccountId 变量中。

            11. 对于执行注册身份,选择执行用户来运行 Apex 类或流。用户必须具有管理用户权限。

              执行注册方式提供了注册处理器在其中运行的上下文。在生产中,您通常会为“以用户身份执行注册”创建系统用户。这样,处理器执行的操作可以很容易地追溯到注册过程。例如,如果创建了联系人,该系统用户将创建该联系人。

            12. 要使用您的提供商的入口网站,从入口网站下拉列表中选择入口网站。
            13. 对于图标 URL,将路径添加到图标,以在站点的登录页面上显示为按钮。此图标仅应用于 Experience Cloud 站点。它不会显示在您的 Salesforce 登录页面或 My Domain 登录 URL 上。用户单击该按钮,通过站点关联的验证提供商登录。指定自己图像的路径或复制其中一个示例图标的 URL 到该字段中。
            14. 要使用 Salesforce 多重身份验证 (MFA) 功能而不是身份提供商的 MFA 服务,请选择为该 SSO 提供商使用 Salesforce MFA。此设置仅针对直接应用了 MFA 的用户触发 MFA。有关更多信息,请查看为 SSO 使用 Salesforce MFA
            15. 保存提供商。
            16. 记下生成的身份验证提供商 ID 值。您将其与 Auth.AuthToken Apex 类一起使用。

            定义身份验证提供商后,Salesforce 会生成这些客户端配置 URL。

            • 仅测试初始化 URL — Salesforce 管理员使用此 URL 检查第三方提供商是否正确设置。管理员在浏览器中打开此 URL,登录到第三方,并被重定向到带有属性映射的 Salesforce。
            • 单点登录初始化 URL — 从使用第三方凭据的第三方会使用此 URL 以执行 SSO 到 Salesforce。用户在浏览器中打开此 URL,并登录到第三方。第三方创建或更新用户。然后第三方将用户作为该用户登录到 Salesforce。
            • 现有用户链接 URL — 使用此 URL 将 Salesforce 用户链接到第三方帐户。用户在浏览器中打开此 URL、登录到第三方、登录到 Salesforce,并批准此链接。
            • 仅 OAuth 初始化 URL — 使用此 URL 为第三方获取 OAuth 访问标记。用户必须为第三方服务获得标记验证 Salesforce。以后的单点登录功能不提供此流程。
            • 回调 URL — 使用验证提供商为配置回调的端点的此 URL。验证提供商必须重定向到带有每个客户端配置 URL 信息的回调 URL。
            • 单点注销 URL — 使用此 URL 通过单点注销将用户从多个应用程序中注销。例如,用户注销 Salesforce 并注销第三方提供商。

            客户端配置 URL 支持附加请求参数,可供您导向用户登录特定站点,从第三方取得自定义许可,或验证后转到特定位置。

            使用回调 URL 更新 Microsoft 应用程序。

            返回 Microsoft 并更新重定向 URI,以使用 Salesforce 生成的回调 URL。

            测试单点登录配置

            在浏览器中,打开验证提供商详细信息页面上的仅测试初始化 URL。该操作会让您重定向到 Microsoft 并要求您登录。然后,提示您验证 Microsoft 应用程序。在授权后,您将被重定向到 Salesforce。

            将身份验证提供商添加到登录页面

            配置您的登录页面,将身份验证提供商显示为登录选项。根据您是为组织还是 Experience Cloud 站点配置 SSO,此步骤有所不同。

             
            正在加载
            Salesforce Help | Article