Partager via


Configurer Salesforce pour l’authentification unique dans Microsoft Entra ID

Dans cet article, vous allez apprendre à intégrer Salesforce à Microsoft Entra ID. Quand vous intégrez Salesforce à Microsoft Entra ID, vous pouvez :

  • Contrôler l'accès à Salesforce dans Microsoft Entra ID.
  • Permettre à vos utilisateurs d'être automatiquement connectés à Salesforce avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

  • Abonnement Salesforce pour lequel l’authentification unique est activée.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

  • Salesforce prend en charge l'authentification unique initiée par SP.

  • Salesforce prend en charge l’approvisionnement et le déprovisionnement d’utilisateurs automatisés (recommandé).

  • Salesforce prend en charge le provisionnement d'utilisateurs "juste-à-temps".

  • L'application Salesforce Mobile peut désormais être configurée sur Microsoft Entra ID pour activer l'authentification unique. Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

Pour configurer l'intégration de Salesforce à Azure AD, vous devez ajouter Salesforce à partir de la galerie à votre liste d'applications SaaS managées.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
  2. Accédez à Entra ID>applications d'entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie , tapez Salesforce dans la zone de recherche.
  4. Sélectionnez Salesforce dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.

Configurer et tester l'authentification unique Microsoft Entra pour Salesforce

Configurez et testez l’authentification unique Microsoft Entra avec Salesforce à l’aide d’un utilisateur de test appelé B.Simon. Pour que l'authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l'utilisateur associé dans Salesforce.

Pour configurer et tester l'authentification unique Microsoft Entra avec Salesforce, procédez comme suit :

  1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    • Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    • Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique Salesforce pour ajuster les paramètres de connexion à l'application.
  3. Test SSO pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

  2. Accédez à Entra ID>Enterprise apps>Salesforce>Single sign-on.

  3. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

  4. Sur la page Configurer l’authentification unique avec SAML, cliquez sur l'icône en forme de crayon pour Configuration SAML de base afin de modifier les paramètres.

    Modifier la configuration SAML de base

  5. Dans la section Configuration SAML de base , entrez les valeurs des champs suivants :

    un. Dans la zone de texte Identificateur , tapez la valeur à l’aide du modèle suivant :

    Compte d’entreprise : https://<subdomain>.my.salesforce.com

    Compte de développeur : https://<subdomain>-dev-ed.my.salesforce.com

    b. Dans la zone de texte URL de réponse , tapez la valeur à l’aide du modèle suivant :

    Compte d’entreprise : https://<subdomain>.my.salesforce.com

    Compte de développeur : https://<subdomain>-dev-ed.my.salesforce.com

    v. Dans la zone de texte URL de connexion, tapez la valeur à l’aide du modèle suivant :

    Compte d’entreprise : https://<subdomain>.my.salesforce.com

    Compte de développeur : https://<subdomain>-dev-ed.my.salesforce.com

    Notes

    Ces valeurs ne sont pas réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Pour obtenir ces valeurs , contactez l’équipe du support technique Salesforce .

  6. Dans la page Configurer l’authentification unique avec SAML , dans la section Certificat de signature SAML , recherchez le code XML des métadonnées de fédération , puis sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    Lien de téléchargement du certificat

  7. Dans la section Configurer Salesforce , copiez la ou les URL appropriées en fonction de vos besoins.

    Copier des URL de configuration

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions de création et d’affectation d’un compte d’utilisateur pour créer un compte d’utilisateur de test appelé B.Simon.

Configurer l’authentification unique Salesforce

  1. Dans une autre fenêtre de navigateur web, connectez-vous à votre site d’entreprise Salesforce en tant qu’administrateur

  2. Sélectionnez Configuration dans l’icône de paramètres dans le coin supérieur droit de la page.

    Configurer les paramètres uniques de l'icône Sign-On

  3. Faites défiler vers le bas jusqu’à PARAMÈTRES dans le volet de navigation, sélectionnez Identité pour développer la section associée. Sélectionnez Ensuite Paramètres de Sign-On unique.

    Configurer des paramètres de Sign-On uniques

  4. Dans la page Paramètres de Sign-On unique , sélectionnez le bouton Modifier .

    Configurer la modification de Sign-On unique

    Notes

    Si vous ne parvenez pas à activer les paramètres d’authentification unique pour votre compte Salesforce, vous devrez peut-être contacter l’équipe du support technique Salesforce.

  5. Sélectionnez SAML Activé, puis sélectionnez Enregistrer.

    Configurer un SAML unique Sign-On activé

  6. Pour configurer vos paramètres d’authentification unique SAML, sélectionnez Nouveau dans le fichier de métadonnées.

    Configurer un Sign-On nouveau à partir du fichier de métadonnées

  7. Sélectionnez Choisir un fichier pour charger le fichier XML de métadonnées que vous avez téléchargé et sélectionnez Créer.

    Configurer fichier unique Sign-On Choisir fichier

  8. Dans la page Paramètres de SAML Single Sign-On, les champs se remplissent automatiquement. Si vous souhaitez utiliser SAML JIT, sélectionnez Approvisionnement d'utilisateurs activé et sélectionnez Type d'identité SAML comme l'assertion contient l'ID de fédération de l'objet Utilisateur ; sinon, désélectionnez Approvisionnement d'utilisateurs activé et sélectionnez Type d'identité SAML comme l'assertion contient le nom d'utilisateur Salesforce de l'utilisateur. Sélectionnez Enregistrer.

    Configurer le provisionnement activé pour utilisateur unique Sign-On

    Notes

    Si vous avez configuré SAML JIT, vous devez effectuer une étape supplémentaire dans la section Configurer l’authentification unique Microsoft Entra . L’application Salesforce s’attend à recevoir certaines assertions SAML, ce qui vous oblige à ajouter des mappages d’attributs spécifiques à votre configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs requis par Salesforce.

    Capture d’écran montrant le volet des attributs nécessaires pour JIT.

    Si vous rencontrez toujours des problèmes lors de l’approvisionnement des utilisateurs avec SAML JIT, consultez les exigences de provisionnement juste-à-temps et les champs d’assertion SAML. En règle générale, un échec de JIT s’accompagne d’une erreur semblable à We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. Dans le volet de navigation gauche de Salesforce, sélectionnez Paramètres de l’entreprise pour développer la section associée, puis sélectionnez Mon domaine.

    Configurer le domaine unique Sign-On

  10. Faites défiler jusqu’à la section Configuration de l’authentification , puis sélectionnez le bouton Modifier .

    Configurer l'authentification unique Sign-On

  11. Dans la section Configuration de l’authentification , vérifiez la page de connexion et l’authentification AzureSSO en tant que service d’authentification de votre configuration SAML SSO, puis sélectionnez Enregistrer.

    Notes

    Si plusieurs services d’authentification sont sélectionnés, les utilisateurs sont invités à choisir le service d’authentification qu’ils préfèrent utiliser pour se connecter lors de l’initialisation d’une authentification unique sur votre environnement Salesforce. Si vous ne le souhaitez pas, vous devez laisser tous les autres services d’authentification désactivés.

Créer un utilisateur de test Salesforce

Dans cette section, un utilisateur appelé B.Simon est créé dans Salesforce. Salesforce prend en charge l’approvisionnement juste-à-temps, option activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si un utilisateur n’existe pas dans Salesforce, un nouveau est créé lorsque vous tentez d’accéder à Salesforce. Salesforce prend également en charge l’approvisionnement automatique d’utilisateurs, vous trouverez plus de détails ici sur la configuration de l’approvisionnement automatique d’utilisateurs.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Sélectionnez Tester cette application, cette option redirige vers l’URL de connexion Salesforce où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion Salesforce pour lancer le processus de connexion.

  • Vous pouvez utiliser Mes applications de Microsoft. Lorsque vous sélectionnez la vignette Salesforce dans le portail Mes applications, vous devez être connecté automatiquement à l’application Salesforce pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur le portail Mes applications, consultez Présentation du portail Mes applications.

Tester l’authentification unique pour Salesforce (Mobile)

  1. Ouvrez l’application mobile Salesforce. Dans la page de connexion, sélectionnez Utiliser un domaine personnalisé.

    Application mobile Salesforce Utiliser un domaine personnalisé

  2. Dans la zone de texte Domaine personnalisé , entrez votre nom de domaine personnalisé inscrit, puis sélectionnez Continuer.

    Domaine personnalisé de l’application mobile Salesforce

  3. Entrez vos informations d’identification Microsoft Entra pour vous connecter à l’application Salesforce, puis sélectionnez Suivant.

    Informations d’identification Microsoft Entra de l’application mobile Salesforce

  4. Dans la page Autoriser l’accès , comme indiqué ci-dessous, sélectionnez Autoriser pour accorder l’accès à l’application Salesforce.

    Application mobile Salesforce Autoriser l’accès

  5. Enfin, une fois la connexion réussie, la page d’accueil de l’application s’affiche.

    Page d’accueil de l’application mobile de Salesforce application mobile Salesforce

Empêcher l’accès aux applications via des comptes locaux

Une fois que vous avez validé que l’authentification unique fonctionne et l’a déployée dans votre organisation, désactivez l’accès aux applications à l’aide des informations d’identification locales. Cela garantit que vos stratégies d’accès conditionnel, MFA, etc. sont en place pour protéger les connexions à Salesforce.

Si vous avez Enterprise Mobility + Security E5 ou une autre licence pour Microsoft Defender for Cloud Apps, vous pouvez collecter une piste d’audit des activités d’application dans ce produit, qui peut être utilisée lors de l’examen des alertes. Dans Defender for Cloud Apps, des alertes peuvent être déclenchées lorsque les activités d’utilisateur, d’administrateur ou de connexion ne sont pas conformes à vos stratégies. En connectant Microsoft Defender pour Cloud Apps à Salesforce , les événements de connexion Salesforce sont collectés par Defender pour Cloud Apps.

De plus, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer le contrôle de session avec Microsoft Defender pour Cloud Apps.