Configurare Salesforce per l'accesso Single Sign-On con Microsoft Entra ID

Questo articolo illustra come integrare Salesforce con Microsoft Entra ID. Integrando Salesforce con Microsoft Entra ID, è possibile:

• Controllare in Microsoft Entra ID chi può accedere a Salesforce.
• Abilitare gli utenti per l'accesso automatico a Salesforce con gli account Microsoft Entra personali.
• Gestire gli account in un'unica posizione centrale.

Nota

Siamo consapevoli che Salesforce ha applicato le modifiche all'attivazione del dispositivo per gli account di accesso Single Sign-On (SSO) a partire dal 3 febbraio 2026. Abbiamo lavorato a stretto contatto con il team di Salesforce, e a partire dal 3 febbraio, Salesforce inizierà ad accettare la richiesta authnmethodreferences inclusa di default nel token SAML rilasciato da Entra ID. Se l'attestazione authnmethodreferences contiene il valore multipleauthn, Salesforce considererà il dispositivo come attendibile. Assicurarsi che i criteri di accesso condizionale che imponiranno l'autenticazione a più fattori siano configurati per soddisfare questo requisito. Altre informazioni su questa attestazione sono disponibili qui.

Per i clienti che utilizzano l'autenticazione OpenID Connect con Salesforce o se avete configurato Salesforce con un fornitore OpenID Connect personalizzato, assicuratevi di utilizzare solo l'endpoint V1 di Entra ID, poiché l'endpoint V1 può fornire l'attestazione AMR nel token a Salesforce. Il supporto dell'endpoint V2 verrà presto disponibile, ma fino a quel momento usare solo l'endpoint V1.

Per i clienti che usano AD FS come provider federativo con Entra ID, seguire le indicazioni pubblicate here in modo che Entra ID avrà questa attestazione nel token SAML.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un account utente Microsoft Entra con una sottoscrizione attiva. Se non hai già un account, puoi Crearne uno gratuitamente.
• Uno dei ruoli seguenti:
  • amministratore applicazioni
  • amministratore di applicazioni cloud
  • Proprietario dell'Applicazione.

• Abbonamento con abilitazione al Single Sign-On (SSO) di Salesforce.

Descrizione dello scenario

In questo articolo viene configurato e testato Microsoft Entra SSO in un ambiente di test.

• Salesforce supporta SSO avviato da SP.

• Salesforce supporta il provisioning e il deprovisioning automatici degli utenti (consigliata).

• Salesforce supporta il provisioning degli utenti Just In Time.

• L'applicazione Salesforce Mobile può ora essere configurata con Microsoft Entra ID per l'abilitazione dell'accesso SSO. In questo articolo viene configurato e testato Microsoft Entra SSO in un ambiente di test.

Aggiungi Salesforce dalla raccolta

Per configurare l'integrazione di Salesforce in Microsoft Entra ID, è necessario aggiungere Salesforce dalla raccolta all'elenco di app SaaS gestite.

1. Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.
2. Passare a Entra ID>App aziendali>Nuova applicazione.
3. Nella sezione Aggiungi dalla raccolta, inserisci Salesforce nella casella di ricerca.
4. Selezionare Salesforce nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tenant.

In alternativa, è possibile anche usare Configurazione guidata delle applicazioni aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Maggiori informazioni sui wizard di Microsoft 365.

Configurare e testare il SSO Microsoft Entra per Salesforce

Configurare e testare l'accesso SSO Microsoft Entra con Salesforce usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente Microsoft Entra e l'utente correlato in Salesforce.

Per configurare e testare Microsoft Entra SSO con Salesforce, seguire questa procedura:

1. Configurare Microsoft Entra SSO: per consentire agli utenti di usare questa funzionalità.
   • Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On Microsoft Entra con B.Simon.
   • Assign the Microsoft Entra test user : per consentire a B.Simon di usare Microsoft Entra Single Sign-On.
2. Configurare l'accesso Single Sign-On di Salesforce: per configurare le impostazioni di Single Sign-On sul lato applicazione.
   • Creare l'utente di test di Salesforce: per avere una controparte di B.Simon in Salesforce collegata alla rappresentazione dell'utente Microsoft Entra.
3. Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurare SSO di Microsoft Entra

Seguire questa procedura per abilitare Microsoft Entra SSO.

1. Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.

2. Passare a Entra ID>App aziendali>Salesforce>Autenticazione unica.

3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

4. Nella pagina Configura accesso Single Sign-On con SAML, selezionare l'icona di modifica/penna per la configurazione SAML di base per modificare le impostazioni.

   

5. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti:

   a) Nella casella di testo Identificatore digitare il valore adottando il modello seguente:

   Account aziendale: https://<subdomain>.my.salesforce.com

   Account sviluppatore: https://<subdomain>-dev-ed.my.salesforce.com

   b. Nella casella di testo URL di risposta digitare il valore nel formato seguente:

   Account aziendale: https://<subdomain>.my.salesforce.com

   Account sviluppatore: https://<subdomain>-dev-ed.my.salesforce.com

   c. Nella casella di testo URL di accesso digitare il valore usando il modello seguente:

   Account aziendale: https://<subdomain>.my.salesforce.com

   Account sviluppatore: https://<subdomain>-dev-ed.my.salesforce.com

   Nota

   Questi valori non sono reali. Aggiorna questi valori con l'identificatore effettivo, l'URL di risposta e l'URL di accesso. Per ottenere questi valori, contattare il team di supporto clienti di Salesforce.

6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare il file XML dei metadati della federazione e selezionare Scarica per scaricare il certificato e salvarlo nel computer.

   

7. Nella sezione Configura Salesforce copiare gli URL appropriati in base alle esigenze.

   

Creare e assegnare Microsoft Entra utente di test

Segui le linee guida nel quickstart per creare e assegnare un account utente per creare un account di test chiamato B.Simon.

Configurare Single Sign-On di Salesforce

1. In un'altra finestra del Web browser accedere al sito aziendale di Salesforce come amministratore

2. Selezionare Configurazione sotto l'icona delle impostazioni nell'angolo superiore destro della pagina.

   

3. Scorrere verso il basso fino alle IMPOSTAZIONI nel riquadro di spostamento, selezionare Identità per espandere la sezione correlata. Selezionare quindi Impostazioni singole Sign-On.

   

4. Nella pagina Singola Sign-On Impostazioni, selezionare il pulsante Modifica.

   

   Nota

   Se non è possibile abilitare le impostazioni di Single Sign-On per l'account Salesforce, potrebbe essere necessario contattare team di supporto clienti di Salesforce.

5. Selezionare SAML Enablede quindi selezionare Save.

   

6. Per configurare le impostazioni di Single Sign-On SAML, selezionare Nuovo da File di metadati.

   

7. Selezionare Scegli per caricare il file XML dei metadati che hai scaricato e seleziona Crea.

   

8. Nella pagina SAML Single Sign-On Settings (Impostazioni Single Sign-On SAML), i campi vengono popolati in modo automatico. Se si desidera utilizzare JIT SAML, selezionare User Provisioning Enabled (Abilitato per il provisioning dell’utente) e scegliere SAML Identity Type (Tipo di identità SAML) come Assertion contains the Federation ID from the User object (Asserzione contiene l’ID federazione dell’oggetto utente); altrimenti, deselezionare User Provisioning Enabled (Abilitato per il provisioning dell’utente) e scegliere SAML Identity Type (Tipo di identità SAML) come Assertion contains the User's Salesforce username (Asserzione contiene il nome utente di Salesforce dell’utente). Selezionare Salva.

   

   Nota

   Se è stato configurato SAML JIT, è necessario completare un passaggio aggiuntivo nella sezione Configurare Microsoft Entra SSO. L'applicazione Salesforce prevede un formato specifico per le asserzioni SAML, le quali richiedono l’aggiunta di attributi specifici nella configurazione degli attributi del token SAML. Lo screenshot seguente mostra l'elenco degli attributi richiesti da Salesforce.

   Screenshot che mostra il riquadro Attributi necessari JIT.

   Se si verificano ancora problemi con il provisioning degli utenti con SAML JIT, consultare Requisiti di provisioning JIT e campi di asserzione SAML. In genere, quando JIT ha esito negativo, potrebbe essere visualizzato un errore simile a We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

9. Nel riquadro di spostamento a sinistra in Salesforce selezionare Impostazioni aziendali per espandere la sezione correlata e quindi selezionare Dominio personale.

   

10. Scorrere verso il basso fino alla sezione Configurazione dell'autenticazione e selezionare il pulsante Modifica.

    

11. Nella sezione Authentication Configuration, controllare la pagina di accesso e AzureSSO come Authentication Service della configurazione SSO SAML e quindi selezionare Save.

    Nota

    Se vengono selezionati più servizi di autenticazione, agli utenti viene chiesto di selezionare il servizio di autenticazione da usare per l'accesso quando tentano di avviare l'accesso Single Sign-On all'ambiente di Salesforce. Se non vuoi che accada, dovresti lasciare deselezionati tutti gli altri servizi di autenticazione.

Creare l'utente di test di Salesforce

In questa sezione viene creato un utente di nome B.Simon in Salesforce. Salesforce supporta il provisioning Just-In-Time (JIT) che è abilitato per impostazione predefinita. In questa sezione non è presente alcuna azione per te. Se non esiste già un utente in Salesforce, ne viene creato uno nuovo quando si prova ad accedere a Salesforce. Salesforce supporta anche il provisioning utenti automatico; qui è possibile trovare altre informazioni su come configurare il provisioning utenti automatico.

Testare la funzionalità SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On Microsoft Entra con le opzioni seguenti.

• Selezionare Test this application (Testa questa applicazione), questa opzione reindirizza all'URL di accesso di Salesforce in cui è possibile avviare il flusso di accesso.

• Passare direttamente all'URL di accesso di Salesforce e avviare il flusso di accesso da questa posizione.

• È possibile usare Microsoft App personali. Quando si seleziona il riquadro di Salesforce nel portale di App personali, si dovrebbe accedere automaticamente all'applicazione Salesforce per cui si è configurato l'accesso SSO. Per altre informazioni sul portale di App personali, vedere Introduzione al portale di App personali.

Testare l'accesso SSO per Salesforce (per dispositivi mobili)

1. Aprire l'applicazione per dispositivi mobili Salesforce. Nella pagina di accesso selezionare Usa dominio personalizzato.

   

2. Nella casella di testo Dominio personalizzato, inserire il nome di dominio personalizzato registrato e selezionare Continua.

   

3. Immettere le credenziali di Microsoft Entra per accedere all'applicazione Salesforce e selezionare Next.

   

4. Nella pagina Consenti accesso, come mostrato di seguito, selezionare Consenti per concedere l'accesso all'applicazione Salesforce.

   

5. Infine, dopo l'accesso, viene visualizzata la home page dell'applicazione.

   

Individuare gli utenti esistenti in Salesforce

Prima dell'integrazione con Microsoft Entra, l'account Salesforce potrebbe avere già uno o più utenti. Usando la funzionalità di individuazione degli account, è possibile generare un report di tutti gli utenti in Salesforce, identificare gli utenti con account corrispondenti in Entra e quali utenti sono locali di Salesforce con un solo clic. Altre informazioni sulla funzionalità di individuazione degli account sono disponibili qui. In questo modo è possibile semplificare l'onboarding in Entra, monitorando in modo pereodicmente anche l'accesso non autorizzato.

Impedire l'accesso alle applicazioni tramite account locali

Dopo aver convalidato il funzionamento dell'accesso Single Sign-On e averla implementata nell'organizzazione, disabilitare l'accesso alle applicazioni usando le credenziali locali. Ciò garantisce che i criteri di accesso condizionale, l'autenticazione a più fattori e così via siano applicati per proteggere gli accessi a Salesforce.

Contenuto correlato

Se si ha Enterprise Mobility + Security E5 o un'altra licenza per Microsoft Defender for Cloud Apps, è possibile raccogliere un audit trail delle attività dell'applicazione in tale prodotto, che può essere usato durante l'analisi degli avvisi. In Defender for Cloud Apps, gli avvisi possono essere attivati quando le attività di utente, amministratore o accesso non sono conformi ai criteri. Connettendo Microsoft Defender for Cloud Apps a Salesforce, gli eventi di accesso di Salesforce vengono raccolti da Defender for Cloud Apps.

Inoltre, è possibile applicare il controllo sessione per proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.