Konfigurace Salesforce pro jednotné přihlašování v Microsoft Entra ID

V tomto článku se dozvíte, jak integrovat Salesforce s Microsoft Entra ID. Když integrujete Salesforce s Microsoft Entra ID, můžete:

• Ovládání v Microsoft Entra ID, kdo má přístup k Salesforce.
• Povolte uživatelům, aby se k Salesforce automaticky přihlásili pomocí svých účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Poznámka:

Jsme si vědomi, že Salesforce vynutil změny v aktivaci zařízení pro jednotné přihlášení (SSO) od 3. února 2026. Úzce jsme spolupracovali s týmem Salesforce a od 3. února začne Salesforce přijímat deklaraci authnmethodreferences, která je ve výchozím nastavení zahrnuta v tokenu SAML vydaném Entra ID. Pokud deklarace identity authnmethodreferences obsahuje hodnotu multipleauthn, Salesforce bude zařízení považovat za důvěryhodné. Ujistěte se, že vaše zásady podmíněného přístupu, které budou vynucovat vícefaktorové ověřování, jsou nakonfigurované tak, aby splňovaly tento požadavek. Další informace o této deklaraci si můžete přečíst tady.

Pro zákazníky používající ověřování OpenID Connect se Salesforce nebo pokud jste nakonfigurovali Salesforce s vlastním poskytovatelem OpenID Connect, ujistěte se, že používáte koncový bod Entra ID V1, protože koncový bod V1 může v tokenu poskytnout deklaraci identity AMR. Podpora koncových bodů V2 bude brzy k dispozici, ale do té doby prosím použijte pouze koncový bod V1.

Pro zákazníky využívající AD FS jako federačního poskytovatele s Entra ID, sledujte pokyny zveřejněné zde, aby Entra ID obsahovalo tuto deklaraci v SAML tokenu.

Požadavky

Scénář popsaný v tomto článku předpokládá, že již máte následující požadavky:

• Uživatelský účet Microsoft Entra s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
• Jedna z následujících rolí:
  • správce aplikace
  • správce cloudových aplikací
  • Vlastník aplikace.

• Předplatné Salesforce s povoleným jednotným přihlašováním (SSO)

Popis scénáře

V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• Salesforce podporuje jednotné přihlašování iniciované SP.

• Salesforce podporuje automatizované zřizování a deaktivaci uživatelů (doporučeno).

• Salesforce podporuje zřizování uživatelů Just In Time.

• Aplikaci Salesforce Mobile je teď možné nakonfigurovat s ID Microsoft Entra pro povolení jednotného přihlašování. V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

Přidejte Salesforce z galerie

Pokud chcete nakonfigurovat integraci Salesforce do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat Salesforce z galerie.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte k Entra ID>podnikovým aplikacím>Nová aplikace.
3. Do části Přidat z galerie zadejte Salesforce do vyhledávacího pole.
4. Na panelu výsledků vyberte Salesforce a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro Salesforce

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s Salesforce pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v Salesforce.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra pomocí Salesforce, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
   • Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
   • Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Konfigurace jednotného přihlašování Salesforce – konfigurace nastavení jednotného přihlašování na straně aplikace
   • Vytvoření testovacího uživatele Salesforce – aby měl B.Simon v Salesforce protějšek, který je propojený s reprezentací uživatele v Microsoft Entra.
3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Postupujte podle těchto kroků k povolení jednotného přihlašování Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k Entra ID>podnikovým aplikacím>Salesforce>jednotnému přihlašování.

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte ikonu pro úpravy a pero pro základní konfiguraci SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

   a. Do textového pole Identifikátor zadejte hodnotu pomocí následujícího vzoru:

   Podnikový účet: https://<subdomain>.my.salesforce.com

   Vývojářský účet: https://<subdomain>-dev-ed.my.salesforce.com

   b) Do textového pole Adresa URL odpovědi zadejte hodnotu pomocí následujícího vzoru:

   Podnikový účet: https://<subdomain>.my.salesforce.com

   Vývojářský účet: https://<subdomain>-dev-ed.my.salesforce.com

   c) Do textového pole Přihlašovací adresa URL zadejte hodnotu pomocí následujícího vzoru:

   Podnikový účet: https://<subdomain>.my.salesforce.com

   Vývojářský účet: https://<subdomain>-dev-ed.my.salesforce.com

   Poznámka:

   Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, URL adresou odpovědi a URL adresou pro přihlášení. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta Salesforce .

6. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.

   

7. V části Nastavit Salesforce zkopírujte odpovídající adresy URL na základě vašeho požadavku.

   

Vytvoření a přiřazení testovacího uživatele Microsoft Entra

Postupujte podle pokynů v rychlém startu pro vytvoření a přiřazení uživatelského účtu a vytvořte testovací uživatelský účet S názvem B.Simon.

Konfigurace jednotného přihlašování Salesforce

1. V jiném okně webového prohlížeče se přihlaste ke svému firemnímu webu Salesforce jako správce.

2. Vyberte ikonu Nastavenív pravém horním rohu stránky.

   

3. Posuňte se dolů na NASTAVENÍ v navigačním podokně a výběrem možnosti Identita rozbalte související oddíl. Pak vyberte Nastavení Sign-On jednotlivého.

   

4. Na stránce Samostatné nastavení Sign-On vyberte tlačítko Upravit.

   

   Poznámka:

   Pokud pro svůj účet Salesforce nemůžete povolit nastavení jednotného přihlašování, možná budete muset kontaktovat tým podpory klienta Salesforce.

5. Vyberte Povoleno SAML a pak vyberte Uložit.

   

6. Pokud chcete nakonfigurovat nastavení jednotného přihlašování SAML, vyberte Nový ze souboru metadat.

   

7. Vyberte Zvolit soubor pro nahrání souboru XML metadat, který jste stáhli, a pak vyberte Vytvořit.

   

8. Na stránce Nastavení jednoúčelového Sign-On SAML se pole vyplní automaticky. Pokud chcete použít SAML JIT, vyberte možnost Povoleno zřizování uživatelů a jako Typ identity SAML zvolte Tvrzení obsahuje ID federace z objektu uživatele. Jinak zrušte výběr Povoleno zřizování uživatelů a jako Typ identity SAML zvolte Tvrzení obsahuje uživatelské jméno Salesforce uživatele. Vyberte Uložit.

   

   Poznámka:

   Pokud jste nakonfigurovali SAML JIT, musíte dokončit další krok v části Konfigurace jednotného přihlašování Microsoft Entra . Aplikace Salesforce očekává konkrétní kontrolní výrazy SAML, které vyžadují, abyste měli v konfiguraci atributů tokenu SAML specifické atributy. Následující snímek obrazovky ukazuje seznam požadovaných atributů od Salesforce.

   

   Pokud stále máte problémy se zřizováním uživatelů pomocí SAML JIT, přečtěte si požadavky na zřizování za běhu a pole tvrzení SAML. Obecně platí, že když JIT selže, může se zobrazit chyba, například We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

9. V levém navigačním podokně salesforce vyberte Nastavení společnosti , rozbalte související oddíl a pak vyberte Moje doména.

   

10. Posuňte se dolů do části Konfigurace ověřování a vyberte tlačítko Upravit .

    

11. V části Konfigurace ověřování zkontrolujte přihlašovací stránku a AzureSSO jako ověřovací službu konfigurace jednotného přihlašování SAML a pak vyberte Uložit.

    Poznámka:

    Pokud je vybrána více než jedna ověřovací služba, zobrazí se uživatelům výzva k výběru ověřovací služby, se kterou se chtějí při spuštění jednotného přihlašování k vašemu prostředí Salesforce přihlásit. Pokud nechcete, aby k tomu došlo, měli byste nechat všechny ostatní ověřovací služby nezaškrtnuté.

Vytvoření testovacího uživatele Salesforce

V této části se v Salesforce vytvoří uživatel S názvem B.Simon. Salesforce podporuje zřizování v reálném čase, které je standardně povoleno. V této části pro vás není žádný úkol. Pokud uživatel v Salesforce ještě neexistuje, vytvoří se při pokusu o přístup k Salesforce nový. Salesforce také podporuje automatické zřizování uživatelů. Tady najdete další podrobnosti o tom, jak nakonfigurovat automatické zřizování uživatelů.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Vyberte Otestovat tuto aplikaci, tato možnost přesměruje na přihlašovací adresu URL Salesforce, kde můžete zahájit tok přihlášení.

• Přejděte přímo na přihlašovací adresu URL Salesforce a spusťte tok přihlášení odsud.

• Můžete použít Microsoft Moje aplikace. Když na portálu Moje aplikace vyberete dlaždici Salesforce, měli byste být automaticky přihlášeni do Salesforce, kde jste nastavili SSO (jednotné přihlašování). Další informace o portálu Moje aplikace najdete v tématu Úvod k portálu Moje aplikace.

Testování jednotného přihlašování pro Salesforce (mobile)

1. Otevřete mobilní aplikaci Salesforce. Na přihlašovací stránce vyberte Použít vlastní doménu.

   

2. Do textového pole Vlastní doména zadejte zaregistrovaný vlastní název domény a vyberte Pokračovat.

   

3. Zadejte svoje přihlašovací údaje Microsoft Entra pro přihlášení k aplikaci Salesforce a vyberte Další.

   

4. Na stránce Povolit přístup, jak je znázorněno níže, vyberte Povolit, abyste udělili přístup k aplikaci Salesforce.

   

5. Nakonec po úspěšném přihlášení se zobrazí domovská stránka aplikace.

   

Zabránění přístupu k aplikacím prostřednictvím místních účtů

Jakmile ověříte, že jednotné přihlašování funguje a nasadíte ho ve vaší organizaci, zakažte přístup k aplikacím pomocí místních přihlašovacích údajů. Tím se zajistí, že jsou zásady podmíněného přístupu, vícefaktorové ověřování atd. zavedené pro ochranu přihlášení k Salesforce.

Související obsah

Pokud máte Enterprise Mobility + Security E5 nebo jinou licenci pro Microsoft Defender for Cloud Apps, můžete shromáždit záznam auditu aktivit aplikací v daném produktu, který se dá použít při vyšetřování výstrah. V Programu Defender for Cloud Apps se upozornění dají aktivovat, když aktivity uživatelů, správců nebo přihlašování nevyhovují vašim zásadám. Při propojení Microsoft Defender for Cloud Apps se Salesforce se v aplikaci Defender for Cloud Apps shromažďují události přihlášení do Salesforce.

Kromě toho můžete uplatňovat řízení relací, které zabraňuje exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak řídit relace pomocí Microsoft Defender for Cloud Apps.