Tutorial: integração do SSO (logon único) do Microsoft Entra ao Salesforce

  • Artigo

Neste tutorial, você aprenderá a integrar o Salesforce ao Microsoft Entra ID. Ao integrar o Salesforce ao Microsoft Entra ID, você poderá:

  • Controlar no Microsoft Entra ID quem tem acesso ao Salesforce.
  • Permitir que seus usuários entrem automaticamente no Salesforce com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura do Salesforce habilitada para SSO (logon único).

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

  • O Salesforce dá suporte ao SSO iniciado por SP.

  • O Salesforce dá suporte ao provisionamento e ao desprovisionamento de usuário automatizados (recomendado).

  • O Salesforce dá suporte ao provisionamento de usuário Just In Time.

  • Agora, o aplicativo móvel do Salesforce pode ser configurado com o Microsoft Entra ID para habilitar o SSO. Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

Para configurar a integração do Salesforce ao Microsoft Entra ID, é necessário adicionar o Salesforce à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria, digite Salesforce na caixa de pesquisa.
  4. Selecione Salesforce no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Salesforce

Configurar e testar o SSO do Microsoft Entra com o Salesforce usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Salesforce.

Para configurar e testar o SSO do Microsoft Entra com o Salesforce, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra - para permitir que os usuários usem esse recurso.
  2. Configurar o SSO do Salesforce – para definir as configurações de Logon Único no lado do aplicativo.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Salesforce>Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, clique no ícone de edição/caneta da Configuração Básica do SAML para editar as configurações.

    Edit Basic SAML Configuration

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    a. Na caixa de texto Identificador, digite o valor usando o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    b. Na caixa de texto URL de resposta, digite o valor com o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    c. Na caixa de texto URL de Logon, digite o valor usando o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    Observação

    Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Contate a equipe de suporte do Cliente Salesforce para obter esses valores.

  6. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

    The Certificate download link

  7. Na seção Configurar o Salesforce, copie as URLs apropriadas com base em suas necessidades.

    Copy configuration URLs

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Fernandes use o logon único ao conceder-lhe acesso ao Salesforce.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Salesforce.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Salesforce

  1. Em uma janela diferente do navegador da Web, entre no site da empresa do seu Salesforce como administrador

  2. Clique na Configuração no ícone de configurações, no canto superior direito da página.

    Configure Single Sign-On settings icon

  3. Role para baixo até CONFIGURAÇÕES no painel de navegação e clique em Identidade para expandir a seção correspondente. Em seguida, clique em Configurações de Logon Único.

    Configure Single Sign-On Settings

  4. Na página Configurações de Logon Único, clique no botão Editar.

    Configure Single Sign-On Edit

    Observação

    Se não for possível habilitar as configurações de Logon Único para a conta do Salesforce, talvez seja necessário entrar em contato com a equipe de suporte do Cliente Salesforce.

  5. Selecione SAML Habilitado e, em seguida, clique em Salvar.

    Configure Single Sign-On SAML Enabled

  6. Para configurar as configurações de logon único do SAML, clique em Novo do arquivo de metadados.

    Configure Single Sign-On New from Metadata File

  7. Clique em Escolher Arquivo para carregar o arquivo XML de metadados que você baixou, depois clique em Criar.

    Configure Single Sign-On Choose File

  8. Na página Configurações de SSO do SAML, os campos são preenchidos automaticamente. Se quiser usar o JIT do SAML, selecione Provisionamento de usuário habilitado e selecione Tipo de identidade do SAML como A declaração contém a ID da Federação do objeto de usuário. Caso contrário, desmarque Provisionamento de usuário habilitado e selecione Tipo de identidade do SAML como A declaração contém o nome de usuário do Salesforce. Clique em Save (Salvar).

    Configure Single Sign-On User Provisioning Enabled

    Observação

    Se você tiver configurado o JIT do SAML, precisará concluir uma etapa adicional na seção Configurar o SSO do Microsoft Entra. O aplicativo Salesforce espera declarações SAML específicas, o que exige que você tenha atributos específicos na configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos necessários para o Salesforce.

    Screenshot that shows the JIT required attributes pane.

    Se você ainda tiver problemas com o provisionamento de usuários com o JIT do SAML, confira Requisitos do provisionamento just-in-time e campos de declaração SAML. Geralmente, quando o JIT falha, um erro como We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help. é exibido

  9. No painel de navegação à esquerda no Salesforce, clique em Configurações da Empresa para expandir a seção correspondente e clique em Meu Domínio.

    Configure Single Sign-On My Domain

  10. Role para baixo até a seção Configuração de Autenticação e, em seguida, clique no botão Editar.

    Configure Single Sign-On Authentication Configuration

  11. Na seção Configuração da autenticação, marque a Página de logon e o AzureSSO como o Serviço de autenticação de sua configuração de SSO do SAML e clique em Salvar.

    Configure Single Sign-On Authentication Service

    Observação

    Se mais de um serviço de autenticação estiver selecionado, quando os usuários tentarem iniciar o logon único em seu ambiente do Salesforce, serão solicitados a selecionar o serviço de autenticação com o qual desejam entrar. Se você não quiser que isso aconteça, deverá deixar todos os outros serviços de autenticação desmarcados.

Criar um usuário de teste do Salesforce

Nesta seção, é criado um usuário denominado B. Fernandes no Salesforce. O Salesforce dá suporte ao provisionamento Just-In-Time, que está habilitado por padrão. Não há itens de ação para você nesta seção. Se um usuário ainda não existir no Salesforce, um novo será criado quando você tentar acessar o Salesforce. O Salesforce também dá suporte ao provisionamento automático de usuário. É possível encontrar aqui detalhes de como configurar o provisionamento automático do usuário.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Clique em Testar este aplicativo. Isso redirecionará você à URL de logon do Salesforce, na qual você poderá iniciar o fluxo de logon.

  • Acesse a URL de Logon do Salesforce diretamente e inicie o fluxo de logon nela.

  • Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco do Salesforce em Meus Aplicativos, você entrará automaticamente no Salesforce, para o qual o SSO foi configurado. Para obter mais informações sobre o portal Meus Aplicativos, confira Introdução ao portal Meus Aplicativos.

Testar o SSO para Salesforce (móvel)

  1. Abra o aplicativo móvel do Salesforce. Na página de entrada, clique em Usar Domínio Personalizado.

    Salesforce mobile app Use Custom Domain

  2. Na caixa de texto Domínio Personalizado, insira o nome de domínio personalizado registrado e clique em Continuar.

    Salesforce mobile app Custom Domain

  3. Insira suas credenciais do Microsoft Entra para entrar no aplicativo Salesforce e clique em Avançar.

    Salesforce mobile app Microsoft Entra credentials

  4. Na página Permitir Acesso, conforme mostrado abaixo, clique em Permitir para conceder acesso ao aplicativo do Salesforce.

    Salesforce mobile app Allow Access

  5. Por fim, após a entrada com sucesso, a home page do aplicativo será exibida.

    Salesforce mobile app homepageSalesforce mobile app

Próximas etapas

Depois de configurar o Salesforce, você poderá impor o controle de sessão, que fornece proteção em tempo real contra exfiltração e infiltração dos dados confidenciais da sua organização. O Controle de Sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.