Configurar un proveedor de autenticación de Salesforce

Configurar un controlador de registro

Crear una aplicación en la organización Proveedor de identidad

Definir el proveedor de autenticación de Salesforce en la organización de parte de apoyo

1. En la organización de parte de apoyo, desde Configuración, ingrese Proveedores de autenticación en el cuadro Búsqueda rápida y, a continuación, seleccione Proveedores de autenticación | Nuevo .
2. Para el tipo de proveedor, seleccione Salesforce.
3. Ingrese un nombre para el proveedor.
4. Ingrese el Sufijo de URL, que se utiliza en las direcciones URL de configuración de cliente. Por ejemplo, si el sufijo de URL de su proveedor es MySFDCProvider, su URL de SSO tendrá una apariencia similar a https://mydomain_url o site_url /services/auth/sso/MySFDCProvider.
5. Pegue el valor de clave de consumidor desde la definición de aplicación cliente externa en el campo Clave de consumidor.
6. Pegue el valor del secreto de consumidor desde la definición de la aplicación cliente externa en el campo Secreto de consumidor.
7. También puede establecer los siguientes campos.
   • Par Autorizar URL de extremo, especifique una URL de autorización de OAuth.

     Para Autorizar URL de extremo, recomendamos que utilice la URL de inicio de sesión de Mi dominio de la organización, que encontrará en la página Mi dominio en Configuración. La URL debe terminar en .salesforce.com y la ruta debe terminar en /services/oauth2/authorize. Por ejemplo, https://MyDomainName.my.salesforce.com/services/oauth2/authorize.

   • Par URL de extremo de token, especifique una URL de token de OAuth.

     Par URL de extremo de token, el nombre de host puede incluir un nombre de dominio o sandbox personalizado. La URL debe terminar en .salesforce.com y la ruta debe terminar en /services/oauth2/token. Por ejemplo, https://login.salesforce.com/services/oauth2/token.

   • Para activar automáticamente la extensión Proof Key para Code Exchange (PKCE) de OAuth 2.0, que mejora la seguridad, seleccione Utilizar clave de prueba para la extensión Code Exchange (PKCE). Para obtener más información acerca de cómo este parámetro ayuda a proteger su proveedor, consulte Extensión Clave de prueba para Code Exchange (PKCE).
   • Para Ámbitos predeterminados, ingrese los ámbitos para enviarlos junto con la solicitud al extremo de la autorización. De lo contrario, se utilizará el valor predeterminado codificado.

     Para obtener más información, consulte Personalizar solicitudes de datos de parte de apoyo.

   • Si el proveedor de autenticación se creó después del lanzamiento de Winter ’15, la opción Incluir Id. de organización de la organización de identidad para vínculos de cuenta externos ya no aparece. Antes de Winter '15, organización de destino no podía diferenciar entre usuarios con el mismo Id. de usuario en diferentes organizaciones. Por ejemplo, dos usuarios con el mismo Id. de usuario en diferentes organizaciones se vieron como el mismo usuario. A partir de Winter ’15, las identidades de usuario contienen el Id. de organización, por lo que esta opción no es necesaria. Para proveedores de autenticación más antiguos, active esta opción para mantener las identidades separadas en la organización de destino. Cuando activa esta función, sus usuarios deben volver a aprobar todos los vínculos externos. Los vínculos se enumeran en la sección Vínculos de cuenta de terceros de la página de detalles del usuario.
   • Si ingresa una clave de consumidor y un secreto de consumidor, el secreto de consumidor se incluye en respuestas de API de SOAP de forma predeterminada. Para ocultar el secreto en respuestas de API de SOAP, anule la selección de Incluir secreto de consumidor en respuestas de API de SOAP. A partir de noviembre de 2022, el secreto se sustituye siempre en respuestas de la API de metadatos por un valor de marcador. En la implementación, sustituya el marcador de posición por su secreto de consumidor como texto normal, o modifique el valor más adelante a través de la interfaz de usuario.
   • Para URL personalizada del error, ingrese la URL para que la utilice el proveedor para informar sobre cualquier error.
   • Para URL de cierre de sesión personalizada, ingrese una URL para proporcionar un destino específico a los usuarios después de cerrar sesión, si se autentican utilizando el flujo de SSO. Utilice este campo para dirigir los usuarios a una página de cierre de sesión con marca o un destino que no sea la página de cierre de sesión predeterminada de Salesforce. La URL debe ser completa con un prefijo http o https, como https://acme.my.salesforce.com.
   

   Sugerencia Configure cierre de sesión único (SLO) para cerrar la sesión de un usuario desde Salesforce y el proveedor de identidad. Como la parte de confianza, Salesforce admite SLO de OpenID Connect cuando el usuario cierra sesión en Salesforce o el proveedor de identidad.
8. Para utilizar un controlador de registro Apex, siga estos pasos.
   1. Para Tipo de controlador de registro, seleccione Apex.
   2. Para Registration Handler, seleccione una clase Apex existente que implemente la interfaz de Auth.RegistrationHandler. O bien, para crear una plantilla para el controlador de registro, haga clic en Crear automáticamente una plantilla de controlador de registro. Modifique esta clase más adelante y modificar el contenido predeterminado antes de utilizarla.
9. Para utilizar un flujo para su controlador de registro, siga estos pasos.
   1. Para Tipo de controlador de registro, seleccione Flujo.
   2. Para Controlador de registro, seleccione un flujo existente del tipo de flujo Registro de usuario de identidad.
   3. Seleccione un perfil predeterminado. Se requiere un perfil predeterminado para ejecutar el controlador de registro. Si no especifica un perfil predeterminado aquí, establezca el perfil predeterminado en el flujo en sí.

      Si utiliza la plantilla de flujo Registro de usuario de proveedor de autenticación, el perfil que establece aquí se almacena automáticamente en la variable defaultProfileId.

   4. Seleccione una cuenta predeterminada. Si utiliza su proveedor de autenticación para sitios de Experience Cloud, esta cuenta almacena nuevos usuarios internos.

      Si utiliza la plantilla de flujo Registro de usuario de proveedor de autenticación, el perfil que establece aquí se almacena automáticamente en la variable defaultAccountId.

10. Para Ejecutar registro como, seleccione un usuario de ejecución para ejecutar la clase o el flujo Apex. El usuario debe tener el permiso Gestionar usuarios.

    Ejecutar registro como proporciona el contexto en que se ejecuta el controlador de registro. En producción, habitualmente crea un usuario del sistema para el usuario Ejecutar registro como. De este modo, las operaciones realizadas por el controlador se pueden seguir fácilmente de vuelta al proceso de registro. Por ejemplo, si se crea un contacto, el usuario del sistema lo crea.

11. Para utilizar un portal con su proveedor, seleccione el portal en la lista desplegable Portal.
12. Para URL de icono, agregue una ruta a un icono para que se muestre como un botón en la página de inicio de sesión para un sitio. Este icono se aplica únicamente a un sitio de Experience Cloud. No aparece en su página de inicio de sesión de Salesforce ni en su URL de inicio de sesión de Mi dominio. Los usuarios hacen clic en el botón para iniciar sesión con el proveedor de autenticación asociado para el sitio.
    Especifique una ruta a su propia imagen, o copiar la dirección URL de uno de nuestros iconos de muestra en el campo.
13. Para utilizar la función de autenticación de múltiples factores (MFA) de Salesforce en vez del servicio MFA de su proveedor de identidad, seleccione Utilizar MFA de Salesforce para este proveedor de SSO. Este parámetro desencadena MFA únicamente para usuarios que tienen MFA aplicada a ellos directamente. Para obtener más información, consulte Utilizar Salesforce MFA para SSO.
14. Haga clic en Guardar.
    Observe el valor de la URL de configuración de cliente. Necesita la URL de devolución de llamada para completar el último paso. Utilice la URL de inicialización sólo de prueba para comprobar su configuración. Tenga en cuenta también el valor del Id. de proveedor de autenticación porque lo utiliza con la clase Apex Auth.AuthToken.
15. En la organización proveedora de identidad, vuelva a la definición de aplicación cliente externa que creó anteriormente desde Configuración. Pegue el valor de la URL de devolución de llamada desde el proveedor de autenticación en el campo URL de devolución de llamada.

Probar la conexión SSO

Agregar el proveedor de autenticación a su página de inicio de sesión