設定 Microsoft 驗證提供者
設定 Microsoft 驗證提供者,讓您的使用者透過其 Microsoft 認證登入 Salesforce。此提供者支援使用 Microsoft Azure Active Directory (AD) 所提供的所有服務進行驗證。
必要版本
| 提供版本:Lightning Experience 與 Salesforce Classic |
| 提供版本:Enterprise、Performance、Unlimited 及 Developer Edition |
| 需要的使用者權限 | |
|---|---|
| 檢視設定: | 「檢視設定和組態」權限 |
| 編輯設定: | 自訂應用程式 和 管理驗證提供者 |
若要設定 Microsoft 作為驗證提供者,請完成下列步驟。
- 設定註冊處理常式。
- 在 Microsoft Azure AD 中設定應用程式。
- 定義 Salesforce 中的 Microsoft 驗證提供者。
- 更新您的 Microsoft 應用程式,以使用由 Salesforce 產生的回呼 URL 作為 Microsoft 中的重新導向 URI。
- 測試單一登入 (SSO) 連線。
- 將 Microsoft 驗證提供者新增至登入頁面。
設定註冊處理常式
若要使用驗證提供者進行單一登入,您必須建立註冊處理常式。註冊處理常式會建立使用者,並更新透過身分提供者存取 Salesforce 的現有使用者。您可以使用 Apex 或 Flow Builder 設定註冊處理常式。如需詳細資訊,請參閱 建立驗證提供者註冊處理常式。
設定 Microsoft 應用程式
- 登入 Microsoft Azure,然後移至 Azure AD。
- 建立應用程式並產生用戶端密碼。如需詳細資訊,請參閱 Microsoft 文件。
- 視需要修改應用程式設定,包含範圍。
- 記下應用程式識別碼及用戶端密碼。
定義 Salesforce 中的 Microsoft 提供者
若要在 Salesforce 中設定 Microsoft 提供者,您需要 Microsoft 應用程式識別碼與用戶端密碼。
- 進入「設定」,在「快速尋找」方塊中輸入驗證,然後選取「驗證提供者」。
- 按一下「新增」。
- 對於提供者類型,請選取「Microsoft」。
- 輸入提供者的名稱。
- 輸入用於用戶端組態 URL 的 URL 尾碼。例如,若提供者的 URL 尾碼是 MyMicrosoftProvider,則您的 SSO URL 將類似於 https://mydomain_url 或 site_url/services/auth/sso/MyMicrosoftProvider。
- 若為消費者金鑰,請使用 Microsoft 應用程式識別碼。
- 若為消費者密碼,請使用 Microsoft 用戶端密碼。
-
或者,請設定這些欄位。
- 若為授權端點 URL,請輸入來自 Microsoft 的基本 URL。例如,
https://login.microsoftonline.com/common/oauth2/v2.0/authorize。若您將此欄位保留空白,則 Salesforce 會使用您應用程式所用的 Microsoft API 版本。 - 若為權杖端點 URL,請輸入來自 Microsoft 的 OAuth 權杖 URL。例如,
https://login.microsoftonline.com/common/oauth2/v2.0/token。若您將此欄位保留空白,則 Salesforce 會使用您應用程式所用的 Microsoft API 版本。 - 若要變更從 Microsoft 設定檔 API 要求的值,請輸入使用者資訊端點 URL。例如,
https://graph.microsoft.com/oidc/userinfo。要求的欄位必須與要求的範圍對應。若您將此欄位保留空白,則 Salesforce 會使用您應用程式所用的 Microsoft API 版本。 - 若要自動啟用可改善安全性的 OAuth 2.0 Proof Key for Code Exchange (PKCE) 擴充功能,請選取「使用 Proof Key for Code Exchange (PKCE) 擴充功能」。如需此設定如何協助保護提供者安全的詳細資訊,請參閱 Proof Key for Code Exchange (PKCE) Extension。
-
針對「權杖發行者」,以
https://URL格式輸入驗證權杖的來源。針對 OAuth 2.0 Web 伺服器驗證流程,提供者必須在來自權杖端點的回應中包含識別碼權杖。或者,提供者可以在回應中包含識別碼權杖,以重新整理權杖流程。系統會根據「權杖發行者」的值以及使用者資訊端點中的資訊,來驗證識別碼權杖。識別碼權杖中的簽名未驗證。識別碼權杖的受眾即為向驗證提供者註冊的消費者金鑰。請勿包含任何其他受眾值。 - 若為預設範圍,請輸入要與授權端點要求一併傳送的範圍。否則會使用採硬式編碼的提供者類型預設值。
- 如果您輸入取用者金鑰與取用者密碼,SOAP API 回應中預設會包含取用者密碼。若要隱藏 SOAP API 回應中的密碼,請取消選取「在 SOAP API 回應中包含取用者密碼」。自 2022 年 11 月起,中繼資料 API 回應中一律會以預留位置值取代密碼。部署時,請將預留位置取代為純文字的取用者密碼,或稍後再透過使用者介面修改值。
- 若為自訂錯誤 URL,請輸入回報錯誤的提供者要使用的 URL。
-
若為自訂登出 URL,請在使用者登出後為使用者輸入提供特定目的地的 URL (若使用者使用 SSO 流程進行驗證)。使用此欄位將使用者引導至品牌標識登出頁面,或是非預設 Salesforce 登出頁面的其他目的地。URL 必須完全符合 http 或 https 字首,例如 https://acme.my.salesforce.com。設定 單一登出 (SLO) 以自動將使用者從 Salesforce 和身分提供者登出。當使用者從身分提供者或 Salesforce 登出時,作為信賴憑證者的 Salesforce 會支援 OpenID Connect SLO。
- 若為授權端點 URL,請輸入來自 Microsoft 的基本 URL。例如,
-
若要使用 Apex 註冊處理常式,請執行下列步驟。
- 針對「註冊處理常式類型」,選取「Apex」。
-
針對「註冊處理常式」,選取實作
Auth.RegistrationHandler介面的現有 Apex 類別。或者,若要為註冊處理常式建立範本,請按一下「自動建立註冊處理常式範本」。稍後編輯此類別,並在使用前修改預設內容。
-
若要為您的註冊處理常式使用流程,請執行下列步驟。
- 針對「註冊處理常式類型」,選取「流程」。
- 針對「註冊處理常式」,選取「身分使用者註冊」流程類型的現有流程。
-
選取預設設定檔。需要預設設定檔才能執行註冊處理常式。如果您未在此處指定預設設定檔,請在流程本身中設定預設設定檔。
如果您使用「驗證提供者使用者註冊」流程範本,則您在此設定的設定檔會自動儲存在 defaultProfileId 變數中。
-
選取預設帳戶。如果您針對 Experience Cloud 網站使用驗證提供者,此帳戶會儲存新的內部使用者。
如果您使用「驗證提供者使用者註冊」流程範本,則您在此設定的設定檔會自動儲存在 defaultAccountId 變數中。
-
針對「執行註冊身分」,選取執行使用者以執行 Apex 類別或流程。使用者必須擁有「管理使用者」權限。
「執行註冊身分」提供註冊處理常式執行所在的內容。在生產中,您通常會針對「執行註冊身分」使用者建立系統使用者。如此一來,處理常式所執行的作業可輕鬆追蹤回註冊程序。例如,若連絡人已建立,代表系統使用者建立它。
- 若要與提供者共用入口網頁,請從「入口網頁」下載清單中選擇入口網頁。
- 針對圖示 URL,請將路徑新增至圖示,讓該圖示顯示成網站登入頁面上的按鈕。此圖示只會套用到 Experience Cloud 網站。將不會顯示在您的 Salesforce 登入頁面或「我的網域」登入 URL 上。使用者按一下按鈕即可透過網站的相關驗證提供者登入。您可以指定您自己影像的路徑,或將我們其中一個範例圖示的 URL 複製至該欄位。
- 若要使用 Salesforce 多因素驗證 (MFA) 功能,而非身分提供者的 MFA 服務,請選取「針對此 SSO 提供者使用 Salesforce MFA」。此設定只會針對已直接套用 MFA 的使用者觸發 MFA。如需詳細資訊,請參閱將 Salesforce MFA 用於 SSO。
- 儲存您的提供者。
-
請記下所產生的「驗證提供者識別碼」值。您可以將其與
Auth.AuthTokenApex 類別搭配使用。
在您定義驗證提供者後,Salesforce 會產生這些用戶端組態 URL。
- 僅測試初始化 URL—Salesforce 管理員會使用此 URL 檢查協力廠商提供者是否設定正確。管理員會在瀏覽器中開啟此 URL,登入至協力廠商,之後透過屬性的對應重新導向至 Salesforce。
- 單一登入初始化 URL—使用此 URL 從協力廠商執行 SSO 至 Salesforce (使用其協力廠商認證)。使用者在瀏覽器中開啟此 URL,並登入協力廠商。協力廠商建立或更新使用者。接著,協力廠商會以該使用者的身分將使用者登入 Salesforce。
- 現有使用者連結 URL—使用此 URL 將 Salesforce 使用者連結至協力廠商帳戶。使用者會在瀏覽器中開啟此 URL,登入至協力廠商及 Salesforce,然後批准連結。
- 僅 OAuth 初始化 URL—使用此 URL 取得協力廠商的 OAuth 存取權杖。使用者與 Salesforce 驗證,這樣協力廠商服務才能取得權杖。此流程不會提供給未來的 SSO 功能。
- 回呼 URL—為驗證提供者回呼以進行設定的端點使用此 URL。驗證提供者必須使用各用戶端組態 URL 的資訊以重新導向至回呼 URL。
- 單一登出 URL—使用此 URL 以透過單一登出將使用者從多個應用程式中登出。例如,使用者登出 Salesforce 後,隨即登出協力廠商提供者。
測試單一登入組態
在瀏覽器中,開啟「驗證提供者」詳細資料頁面上的「僅測試初始化 URL」。它會將您重新導向至 Microsoft 並要求您登入,接著將要求您授權 Microsoft 應用程式。授權後,會將您重新導向至 Salesforce。
將驗證提供者新增至登入頁面
設定登入頁面,將驗證提供者顯示為登入選項。根據您是針對組織或 Experience Cloud 網站設定 SSO,此步驟將有所不同。
- 針對組織,請參閱新增驗證提供者至您的組織登入頁面。
- 針對 Experience Cloud 網站,請參閱新增驗證提供者至您的 Experience Cloud 網站登入頁面。
