Bagikan melalui

Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan Salesforce

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan Salesforce dengan ID Microsoft Entra. Saat mengintegrasikan Salesforce dengan MICROSOFT Entra ID, Anda dapat:

  • Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke Salesforce.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke Salesforce dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk memulai, Anda memerlukan item berikut:

  • Langganan Microsoft Entra. Jika Anda tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Langganan yang diaktifkan akses menyeluruh (SSO) Salesforce.

Deskripsi skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

  • Salesforce mendukung SSO yang diinisiasi SP .

  • Salesforce mendukung Provisi dan deprovisi pengguna otomatis (disarankan).

  • Salesforce mendukung provisi pengguna Just In Time .

  • Aplikasi Salesforce Mobile sekarang dapat dikonfigurasi dengan MICROSOFT Entra ID untuk mengaktifkan SSO. Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

Untuk mengonfigurasi integrasi Salesforce ke MICROSOFT Entra ID, Anda perlu menambahkan Salesforce dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
  3. Di bagian Tambahkan dari galeri , ketik Salesforce di kotak pencarian.
  4. Pilih Salesforce dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa detik saat aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard Konfigurasi Aplikasi Perusahaan. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji SSO Microsoft Entra untuk Salesforce

Konfigurasikan dan uji SSO Microsoft Entra dengan Salesforce menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Salesforce.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Salesforce, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
    • Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan B.Simon.
    • Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan akses menyeluruh Microsoft Entra.
  2. Konfigurasikan SSO Salesforce - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
    • Buat pengguna uji Salesforce - untuk memiliki mitra B.Simon di Salesforce yang ditautkan ke representasi Microsoft Entra pengguna.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi >Identity>Applications>Enterprise Salesforce Akses menyeluruh.>

  3. Pada halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Pada halaman Siapkan akses menyeluruh dengan SAML , klik ikon edit/pena untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit Konfigurasi SAML Dasar

  5. Pada bagian Konfigurasi SAML Dasar, masukkan nilai untuk bidang berikut ini:

    sebuah. Di kotak teks Pengidentifikasi , ketik nilai menggunakan pola berikut:

    Akun perusahaan: https://<subdomain>.my.salesforce.com

    Akun pengembang: https://<subdomain>-dev-ed.my.salesforce.com

    b. Di kotak teks URL Balasan, ketik nilai menggunakan pola berikut:

    Akun perusahaan: https://<subdomain>.my.salesforce.com

    Akun pengembang: https://<subdomain>-dev-ed.my.salesforce.com

    c. Di kotak teks URL Masuk, ketik nilai menggunakan pola berikut:

    Akun perusahaan: https://<subdomain>.my.salesforce.com

    Akun pengembang: https://<subdomain>-dev-ed.my.salesforce.com

    Nota

    Nilai-nilai ini tidak nyata. Perbarui nilai-nilai ini dengan Pengidentifikasi, URL Balasan, dan URL Masuk yang sebenarnya. Hubungi tim dukungan Klien Salesforce untuk mendapatkan nilai-nilai ini.

  6. Pada halaman Siapkan akses menyeluruh dengan SAML , di bagian Sertifikat Penandatanganan SAML, temukan XML Metadata Federasi dan pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.

    Tautan Unduhan sertifikat

  7. Pada bagian Siapkan Salesforce , salin URL yang sesuai berdasarkan kebutuhan Anda.

    Salin URL konfigurasi

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Misalnya, B.Simon@contoso.com.
    3. Pilih kotak centang Perlihatkan kata sandi , lalu tuliskan nilai yang ditampilkan dalam kotak Kata Sandi .
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke Salesforce.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi >Identity>Applications>Enterprise Salesforce.
  3. Di halaman gambaran umum aplikasi, pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna/grup, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan .
    1. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
    2. Jika Anda mengharapkan peran ditetapkan kepada pengguna, Anda dapat memilihnya dari menu dropdown Pilih peran . Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" dipilih.
    3. Dalam dialog Tambahkan Penugasan, klik tombol Tetapkan.

Mengonfigurasi SSO Salesforce

  1. Di jendela browser web yang berbeda, masuk ke situs perusahaan Salesforce Anda sebagai administrator

  2. Klik ikon Penyetelan di bawah pengaturan di sudut kanan atas halaman.

    Mengonfigurasi ikon pengaturan Akses Menyeluruh

  3. Gulir ke bawah ke PENGATURAN di panel navigasi, klik Identitas untuk memperluas bagian terkait. Lalu klik Pengaturan Akses Menyeluruh.

    Mengonfigurasi pengaturan akses menyeluruh

  4. Pada halaman Pengaturan Akses Menyeluruh , klik tombol Edit .

    Mengonfigurasi Edit Akses Menyeluruh

    Nota

    Jika Anda tidak dapat mengaktifkan pengaturan Akses Menyeluruh untuk akun Salesforce, Anda mungkin perlu menghubungi tim dukungan Klien Salesforce.

  5. Pilih SAML Diaktifkan, lalu klik Simpan.

    Mengonfigurasi SAML Akses Menyeluruh Diaktifkan

  6. Untuk mengonfigurasi pengaturan akses menyeluruh SAML Anda, klik Baru dari File Metadata.

    Mengonfigurasi Akses Menyeluruh Baru dari File Metadata

  7. Klik Pilih File untuk mengunggah file XML metadata yang telah Anda unduh dan klik Buat.

    Mengonfigurasi File Pilih Akses Menyeluruh

  8. Pada halaman Pengaturan Akses Menyeluruh SAML, bidang diisi secara otomatis, jika Anda ingin menggunakan SAML JIT, pilih Provisi Pengguna Diaktifkan dan pilih Jenis Identitas SAML sebagai Pernyataan berisi ID Federasi dari objek Pengguna jika tidak, batalkan pilihan Provisi Pengguna Diaktifkan dan pilih Jenis Identitas SAML sebagai Pernyataan berisi nama pengguna Salesforce Pengguna. Klik Simpan.

    Mengonfigurasi Provisi Pengguna Akses Menyeluruh Diaktifkan

    Nota

    Jika mengonfigurasi SAML JIT, Anda harus menyelesaikan langkah tambahan di bagian Konfigurasikan SSO Microsoft Entra. Aplikasi Salesforce mengharapkan pernyataan SAML tertentu, yang mengharuskan Anda memiliki atribut tertentu dalam konfigurasi atribut token SAML Anda. Cuplikan layar berikut menunjukkan daftar atribut yang diperlukan oleh Salesforce.

    Cuplikan layar yang memperlihatkan panel atribut yang diperlukan JIT.

    Jika Anda masih memiliki masalah dengan membuat pengguna diprovisikan dengan SAML JIT, lihat Persyaratan provisi just-in-time dan bidang pernyataan SAML. Umumnya, ketika JIT gagal, Anda mungkin melihat kesalahan seperti We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. Di panel navigasi kiri di Salesforce, klik Pengaturan Perusahaan untuk memperluas bagian terkait, lalu klik Domain Saya.

    Mengonfigurasi akses menyeluruh Domain Saya

  10. Gulir ke bawah ke bagian Konfigurasi Autentikasi, dan klik tombol Edit .

    Mengonfigurasi konfigurasi autentikasi akses menyeluruh

  11. Di bagian Konfigurasi Autentikasi, Periksa Halaman Masuk dan AzureSSO sebagai Layanan Autentikasi konfigurasi SSO SAML Anda, lalu klik Simpan.

    Mengonfigurasi layanan autentikasi akses menyeluruh

    Nota

    Jika lebih dari satu layanan autentikasi dipilih, pengguna diminta untuk memilih layanan autentikasi mana yang ingin mereka masuki saat memulai akses menyeluruh ke lingkungan Salesforce Anda. Jika Anda tidak ingin hal itu terjadi, maka Anda harus membiarkan semua layanan autentikasi lainnya tidak dicentang.

Membuat pengguna uji Salesforce

Di bagian ini, pengguna bernama B.Simon dibuat di Salesforce. Salesforce mendukung provisi just-in-time, yang diaktifkan secara default. Tidak ada item tindakan untuk Anda di bagian ini. Jika pengguna belum ada di Salesforce, pengguna baru dibuat saat Anda mencoba mengakses Salesforce. Salesforce juga mendukung provisi pengguna otomatis, Anda dapat menemukan detail selengkapnya di sini tentang cara mengonfigurasi provisi pengguna otomatis.

Uji SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

  • Klik Uji aplikasi ini, ini akan dialihkan ke URL Masuk Salesforce tempat Anda dapat memulai alur masuk.

  • Buka URL Masuk Salesforce secara langsung dan mulai alur masuk dari sana.

  • Anda dapat menggunakan Microsoft Aplikasi Saya. Saat Anda mengklik petak Peta Salesforce di portal Aplikasi Saya, Anda akan secara otomatis masuk ke Salesforce tempat Anda menyiapkan SSO. Untuk informasi selengkapnya tentang portal Aplikasi Saya, lihat Pengantar portal Aplikasi Saya.

Menguji SSO untuk Salesforce (Seluler)

  1. Buka aplikasi seluler Salesforce. Pada halaman masuk, klik Gunakan Domain Kustom.

    Aplikasi seluler Salesforce Menggunakan Domain Kustom

  2. Di kotak teks Domain Kustom, masukkan nama domain kustom terdaftar Anda dan klik Lanjutkan.

    Domain Kustom aplikasi seluler Salesforce

  3. Masukkan kredensial Microsoft Entra Anda untuk masuk ke aplikasi Salesforce dan klik Berikutnya.

    Kredensial Microsoft Entra aplikasi seluler Salesforce

  4. Pada halaman Izinkan Akses seperti yang ditunjukkan di bawah ini, klik Izinkan untuk memberikan akses ke aplikasi Salesforce.

    Aplikasi seluler Salesforce Izinkan Akses

  5. Akhirnya setelah berhasil masuk, beranda aplikasi akan ditampilkan.

    Beranda aplikasi seluler SalesforceAplikasi seluler Salesforce

Mencegah akses aplikasi melalui akun lokal

Setelah Anda memvalidasi bahwa SSO berfungsi dan meluncurkannya di organisasi Anda, nonaktifkan akses aplikasi menggunakan kredensial lokal. Ini memastikan bahwa kebijakan akses bersyarat Anda, MFA, dll. akan diberlakukan untuk melindungi rincian masuk ke Salesforce.

Langkah berikutnya

Jika Anda memiliki Enterprise Mobility + Security E5 atau lisensi lain untuk Microsoft Defender untuk Cloud Apps, maka Anda dapat mengumpulkan jejak audit aktivitas aplikasi dalam produk tersebut, yang dapat digunakan saat menyelidiki pemberitahuan. Di Defender untuk Cloud Apps, pemberitahuan dapat dipicu saat aktivitas pengguna, admin, atau masuk tidak mematuhi kebijakan Anda. Dengan menyambungkan aplikasi Microsoft Defender untuk Cloud ke Salesforce, peristiwa masuk Salesforce dikumpulkan oleh aplikasi Defender untuk Cloud.

Selain itu, Anda dapat menerapkan Kontrol Sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol Sesi diperluas dari Akses Bersyar. Pelajari cara menerapkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.