Konfigurowanie piaskownicy usługi Salesforce na potrzeby logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować Salesforce Sandbox z Microsoft Entra ID. Po zintegrowaniu środowiska testowego Salesforce z Microsoft Entra ID można:

• Zarządzaj w usłudze Microsoft Entra ID, kto ma dostęp do Salesforce Sandbox.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do piaskownicy usługi Salesforce przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz Utworzyć konto bezpłatnie.
• Jedna z następujących ról:
  • administrator aplikacji
  • Administrator aplikacji w chmurze
  • właściciel aplikacji.

• Subskrypcja aplikacji Salesforce Sandbox z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

• Piaskownica Salesforce obsługuje SSO inicjowane przez SP i IDP
• Piaskownica usługi Salesforce obsługuje aprowizowanie użytkowników just in time
• Usługa sandbox Salesforce obsługuje automatyczne aprowizowanie użytkowników

Dodawanie Salesforce Sandbox z galerii

Aby skonfigurować integrację Salesforce Sandbox z Microsoft Entra ID, należy dodać Salesforce Sandbox z galerii do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
3. W sekcji Dodawanie z galerii wpisz Salesforce Sandbox w polu wyszukiwania.
4. Wybierz pozycję Piaskownica usługi Salesforce z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund, gdy aplikacja jest dodawana do Twojego dzierżawcy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o asystentach Microsoft 365.

Konfigurowanie i testowanie Microsoft Entra SSO dla środowiska testowego Salesforce

Skonfiguruj i przetestuj Microsoft Entra SSO z piaskownicą Salesforce za pomocą testowego użytkownika B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w środowisku testowym Salesforce.

Aby skonfigurować i przetestować Microsoft Entra SSO z użyciem środowiska testowego Salesforce, wykonaj następujące kroki:

1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Utwórz testowego użytkownika Microsoft Entra — aby przetestować jednokrotne logowanie do Microsoft Entra z B.Simon.
   2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania do Microsoft Entra.
2. Konfigurowanie SSO piaskownicy Salesforce — w celu skonfigurowania ustawień SSO po stronie aplikacji.
   1. Utwórz testowego użytkownika w piaskownicy Salesforce — aby mieć w piaskownicy Salesforce odpowiednika użytkownika B.Simon połączonego z reprezentacją użytkownika w Microsoft Entra.
3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do pozycji Entra ID>Aplikacje dla przedsiębiorstw>Salesforce Sandbox>Logowanie jednokrotne.

3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja SAML, jeśli masz plik metadanych dostawcy usług i chcesz skonfigurować tryb inicjowany przez IDP, wykonaj następujące kroki:

   a. Wybierz Przekaż plik metadanych.

   

   b. Wybierz logo folderu, aby wybrać plik metadanych, a następnie wybierz pozycję Przekaż.

   

   Uwaga

   Otrzymujesz plik metadanych dostawcy usług z portalu administracyjnego piaskownicy Salesforce, co zostało wyjaśnione w dalszej części artykułu.

   c. Po pomyślnym przesłaniu pliku metadanych, wartość Adres URL odpowiedzi zostanie automatycznie wpisana w polu tekstowym Adres URL odpowiedzi.

   

   Uwaga

   Jeśli wartość Adresu URL odpowiedzi nie zostanie wypełniona automatycznie, wprowadź wartość ręcznie zgodnie z wymaganiami.

6. Na stronie Konfigurowanie pojedynczego logowania przy użyciu SAML, w sekcji Certyfikat podpisywania SAML, wybierz pozycję Pobierz, aby pobrać plik XML metadanych z podanych opcji według swoich potrzeb i zapisać go na komputerze.

   

7. W sekcji Konfigurowanie piaskownicy usługi Salesforce skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

   

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie jednokrotnego logowania do Salesforce Sandbox

1. Otwórz nową kartę w przeglądarce i zaloguj się do konta administratora piaskownicy usługi Salesforce.

2. Wybierz Instalatora w obszarze ikony ustawień w prawym górnym rogu strony.

   

3. Przewiń w dół do obszaru USTAWIENIA w okienku nawigacji po lewej stronie, wybierz pozycję Tożsamość , aby rozwinąć powiązaną sekcję. Następnie wybierz pozycję Pojedyncze ustawienia Sign-On.

   

4. Na stronie Ustawienia jednokrotnego logowania wybierz przycisk Edytuj.

   

5. Wybierz Włączono SAML, a następnie wybierz Zapisz.

   

6. Aby skonfigurować ustawienia logowania jednokrotnego SAML, wybierz Nowy z pliku z metadanymi.

   

7. Wybierz opcję Wybierz plik, aby przesłać pobrany plik XML z metadanymi, a następnie wybierz opcję Utwórz.

   

8. Na stronie Ustawienia pojedynczego Sign-On SAML pola są wypełniane automatycznie, a następnie należy je zapisać.

   

9. Na stronie Ustawienia pojedynczego Sign-On wybierz przycisk Pobierz metadane , aby pobrać plik metadanych dostawcy usług. Użyj tego pliku w sekcji Podstawowa konfiguracja protokołu SAML w witrynie Azure Portal, aby skonfigurować niezbędne adresy URL zgodnie z powyższym wyjaśnieniem.

   

10. Jeśli chcesz skonfigurować aplikację w trybie zainicjowanym przez dostawcę usług, poniżej przedstawiono wymagania wstępne dotyczące tego:

    a. Powinna istnieć zweryfikowana domena.

    b. Musisz skonfigurować i włączyć swoją domenę w Salesforce Sandbox. Kroki dotyczące tego procesu zostały opisane w dalszej części tego artykułu.

    c. W witrynie Azure Portal w sekcji Podstawowa konfiguracja protokołu SAML wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok:

    

    W polu tekstowym Adres URL logowania wpisz wartość przy użyciu następującego wzorca: https://<instancename>--Sandbox.<entityid>.my.salesforce.com

    Uwaga

    Ta wartość powinna zostać skopiowana z portalu Sandbox Salesforce po włączeniu domeny.

11. W sekcji Certyfikat podpisywania SAML wybierz pozycję Plik XML metadanych federacji , a następnie zapisz plik XML na komputerze.

    

12. Otwórz nową kartę w przeglądarce i zaloguj się do konta administratora piaskownicy usługi Salesforce.

13. Wybierz Instalatora w obszarze ikony ustawień w prawym górnym rogu strony.

    

14. Przewiń w dół do obszaru USTAWIENIA w okienku nawigacji po lewej stronie, wybierz pozycję Tożsamość , aby rozwinąć powiązaną sekcję. Następnie wybierz pozycję Pojedyncze ustawienia Sign-On.

    

15. Na stronie Ustawienia jednokrotnego logowania wybierz przycisk Edytuj.

    

16. Wybierz Włączono SAML, a następnie wybierz Zapisz.

    

17. Aby skonfigurować ustawienia logowania jednokrotnego SAML, wybierz Nowy z pliku z metadanymi.

    

18. Wybierz pozycję Wybierz plik , aby przekazać plik XML metadanych, a następnie wybierz pozycję Utwórz.

    

19. Na stronie Ustawienia pojedynczego Sign-On SAML pola są wypełniane automatycznie, wpisz nazwę konfiguracji (na przykład: SPSSOWAAD_Test) w polu tekstowym Nazwa i kliknij Zapisz.

    

20. Aby włączyć domenę w piaskownicy usługi Salesforce, wykonaj następujące kroki:

    Uwaga

    Przed włączeniem domeny należy utworzyć tę samą domenę na piaskownicy Salesforce. Aby uzyskać więcej informacji, zobacz Definiowanie nazwy domeny. Po utworzeniu domeny upewnij się, że jest ona poprawnie skonfigurowana.

21. W okienku nawigacji po lewej stronie w piaskownicy usługi Salesforce wybierz pozycję Ustawienia firmy , aby rozwinąć powiązaną sekcję, a następnie wybierz pozycję Moja domena.

    

22. W sekcji Konfiguracja uwierzytelniania wybierz pozycję Edytuj.

    

23. W sekcji Konfiguracja uwierzytelniania, jako Usługa uwierzytelniania, wybierz nazwę ustawienia SAML Single Sign-On, którą ustawiłeś podczas konfiguracji SSO w środowisku piaskownicy Salesforce, i wybierz pozycję Zapisz.

    

Utwórz testowego użytkownika w piaskownicy Salesforce

W tej sekcji tworzony jest użytkownik Britta Simon w piaskownicy usługi Salesforce. Piaskownica usługi Salesforce obsługuje aprowizację typu just in time, która jest domyślnie włączona. Nie masz żadnych zadań do wykonania w tej sekcji. Jeśli użytkownik jeszcze nie istnieje w piaskownicy usługi Salesforce, zostanie utworzony podczas próby uzyskania dostępu do piaskownicy usługi Salesforce. Piaskownica Salesforce obsługuje również automatyczne aprowizowanie użytkowników. Więcej szczegółów na temat skonfigurowania automatycznej aprowizacji użytkowników można znaleźć tutaj.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego Microsoft Entra za pomocą następujących opcji.

Inicjowane przez SP

• Wybierz opcję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania w piaskownicy Salesforce, gdzie można rozpocząć proces logowania.

• Przejdź bezpośrednio do adresu URL logowania do piaskownicy Salesforce i zainicjuj proces logowania z tego miejsca.

IDP zainicjowane:

• Wybierz Przetestuj tę aplikację, a zostaniesz automatycznie zalogowany do piaskownicy Salesforce, dla której skonfigurowano SSO.

Możesz również użyć Moje aplikacje firmy Microsoft, aby przetestować aplikację w dowolnym trybie. Po wybraniu kafelka Piaskownicy usługi Salesforce w obszarze Moje aplikacje, jeśli zostanie on skonfigurowany w trybie SP, nastąpi przekierowanie do strony logowania do aplikacji w celu zainicjowania przepływu logowania. Jeśli zostanie skonfigurowany w trybie dostawcy tożsamości (IDP), zostaniesz automatycznie zalogowany do piaskownicy usługi Salesforce, dla której skonfigurowano logowanie jednokrotne (SSO). Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Powiązana zawartość

Po skonfigurowaniu Salesforce Sandbox można wymusić kontrole sesji, a to chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrolki sesji rozszerzają dostęp warunkowy. Dowiedz się, jak egzekwować kontrolę sesji za pomocą Microsoft Defender for Cloud Apps.