Compartilhar via

Configurar o Salesforce para autenticação única no ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o Salesforce à ID do Microsoft Entra. Ao integrar o Salesforce ao Microsoft Entra ID, você poderá:

  • Controlar no Microsoft Entra ID quem tem acesso ao Salesforce.
  • Permitir que seus usuários entrem automaticamente no Salesforce com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura do Salesforce habilitada para SSO (logon único).

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

  • O Salesforce dá suporte ao SSO iniciado por SP .

  • O Salesforce dá suporte ao provisionamento e desprovisionamento automatizados de usuários (recomendado).

  • O Salesforce dá suporte ao provisionamento de usuário just-in-time .

  • Agora, o aplicativo móvel do Salesforce pode ser configurado com o Microsoft Entra ID para habilitar o SSO. Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

Para configurar a integração do Salesforce ao Microsoft Entra ID, é necessário adicionar o Salesforce à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria , digite Salesforce na caixa de pesquisa.
  4. Selecione Salesforce no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Salesforce

Configure e teste o SSO do Microsoft Entra com o Salesforce usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Salesforce.

Para configurar e testar o SSO do Microsoft Entra com o Salesforce, execute as seguintes etapas:

  1. Configure o SSO do Microsoft Entra para permitir que os usuários usem esse recurso.
    • Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Simon.
    • Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o login único do Microsoft Entra.
  2. Configure o SSO do Salesforce – para definir as configurações de logon único no lado do aplicativo.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entra ID>Aplicativos empresariais>Salesforce>Single sign-on.

  3. Na página Selecionar um método de logon único , selecione SAML.

  4. Na página Configurar logon único com SAML , selecione o ícone de edição/caneta da Configuração Básica de SAML para editar as configurações.

    Editar Configuração Básica do SAML

  5. Na seção Configuração Básica do SAML , insira os valores dos seguintes campos:

    um. Na caixa de texto Identificador, digite o valor usando o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    b. Na caixa de texto URL de Resposta , digite o valor usando o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    c. Na caixa de texto URL de Logon, digite o valor usando o seguinte padrão:

    Conta empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    Observação

    Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Entre em contato com a equipe de suporte ao cliente do Salesforce para obter esses valores.

  6. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize o XML de Metadados de Federação e selecione Baixar para baixar o certificado e salve-o no seu computador.

    O link de download do Certificado

  7. Na seção Configurar o Salesforce , copie as URLs apropriadas de acordo com suas necessidades.

    Copiar URLs de configuração

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no guia de início rápido criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do Salesforce

  1. Em uma janela diferente do navegador da Web, entre no site da empresa do seu Salesforce como administrador

  2. Selecione o ícone Configuração em configurações no canto superior direito da página.

    Configurar ícone de configurações único Sign-On

  3. Role para baixo até as CONFIGURAÇÕES no painel de navegação, selecione Identidade para expandir a seção relacionada. Em seguida, selecione Configurações Únicas de Sign-On.

    Configurar configurações únicas do Sign-On

  4. Na página Configurações Únicas de Sign-On, selecione o botão Editar.

    Configurar edição única do Sign-On

    Observação

    Se não for possível habilitar as configurações de logon único para sua conta do Salesforce, talvez seja necessário entrar em contato com a equipe de suporte ao cliente do Salesforce.

  5. Selecione SAML Habilitado e, em seguida, selecione Salvar.

    Configurar SAML de Sign-On único habilitado

  6. Para definir as configurações de logon único do SAML, selecione Novo no Arquivo de Metadados.

    Configurar Single Sign-On New a partir do Arquivo de Metadados

  7. Selecione Escolher Arquivo para carregar o arquivo XML de metadados que você baixou e selecione Criar.

    Configurar o arquivo de escolha de Sign-On único

  8. Na página Configurações de Sign-On Única do SAML , os campos serão preenchidos automaticamente, se você quiser usar o SAML JIT, selecione o Provisionamento de Usuário Habilitado e selecione o Tipo de Identidade SAML como Declaração que contém a ID de Federação do objeto Usuário caso contrário, desmarque o Provisionamento de Usuário Habilitado e selecione o Tipo de Identidade SAML como Declaração que contém o nome de usuário do Salesforce do Usuário. Selecione Salvar.

    Configurar o provisionamento habilitado de usuário único Sign-On

    Observação

    Se você configurou o SAML JIT, deverá concluir uma etapa adicional na seção Configurar o SSO do Microsoft Entra . O aplicativo Salesforce espera declarações SAML específicas, o que exige que você tenha atributos específicos na configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos necessários para o Salesforce.

    Captura de tela que mostra o painel de atributos necessários para JIT.

    Se você ainda estiver enfrentando problemas para provisionar usuários com o SAML JIT, consulte os requisitos de provisionamento just-in-time e os campos de declaração SAML. Geralmente, quando o JIT falha, um erro como We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help. é exibido

  9. No painel de navegação esquerdo no Salesforce, selecione Configurações da Empresa para expandir a seção relacionada e selecione Meu Domínio.

    Configurar Sign-On Meu Domínio Individual

  10. Role para baixo até a seção Configuração de Autenticação e selecione o botão Editar .

    Configurar Autenticação Única Sign-On

  11. Na seção Configuração de Autenticação , verifique a página de logon e o AzureSSO como Serviço de Autenticação da configuração de SSO do SAML e selecione Salvar.

    Observação

    Se mais de um serviço de autenticação estiver selecionado, quando os usuários tentarem iniciar o logon único em seu ambiente do Salesforce, serão solicitados a selecionar o serviço de autenticação com o qual desejam entrar. Se você não quiser que isso aconteça, deixe todos os outros serviços de autenticação desmarcados.

Criar um usuário de teste do Salesforce

Nesta seção, é criado um usuário denominado B. Fernandes no Salesforce. O Salesforce dá suporte ao provisionamento Just-In-Time, que está habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Salesforce, um novo será criado quando você tentar acessar o Salesforce. O Salesforce também dá suporte ao provisionamento automático de usuário, você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuário.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon do Salesforce, na qual você pode iniciar o fluxo de logon.

  • Acesse a URL de Logon do Salesforce diretamente e inicie o fluxo de logon nela.

  • Você pode usar os Meus Aplicativos da Microsoft. Ao selecionar o bloco do Salesforce no portal Meus Aplicativos, você deverá ser conectado automaticamente ao Salesforce para o qual configurou o SSO. Para obter mais informações sobre o portal Meus Aplicativos, consulte Introdução ao portal Meus Aplicativos.

Testar o SSO para Salesforce (móvel)

  1. Abra o aplicativo móvel do Salesforce. Na página de entrada, selecione Usar Domínio Personalizado.

    Aplicativo móvel Salesforce usar Domínio Personalizado

  2. Na caixa de texto Domínio Personalizado , insira o nome de domínio personalizado registrado e selecione Continuar.

    Domínio personalizado do aplicativo móvel Salesforce

  3. Insira suas credenciais do Microsoft Entra para entrar no aplicativo Salesforce e selecione Avançar.

    Credenciais do Aplicativo Móvel do Salesforce Microsoft Entra

  4. Na página Permitir Acesso , conforme mostrado abaixo, selecione Permitir para dar acesso ao aplicativo Salesforce.

    Aplicativo Móvel Salesforce Permitir Acesso

  5. Por fim, após a entrada bem-sucedida, a home page do aplicativo é exibida.

    Página inicial do aplicativo móvel Salesforce Aplicativo móvel Salesforce

Impedir o acesso do aplicativo por meio de contas locais

Depois de validar que o SSO funciona e implantá-lo em sua organização, desabilite o acesso ao aplicativo usando credenciais locais. Isso garante que suas políticas de Acesso Condicional, MFA etc. estejam em vigor para proteger as entradas no Salesforce.

Conteúdo relacionado

Se você tiver Enterprise Mobility + Security E5 ou outra licença para Microsoft Defender para Aplicativos de Nuvem, poderá coletar uma trilha de auditoria das atividades do aplicativo nesse produto, que pode ser usada ao investigar alertas. Nos aplicativos Defender para Nuvem, os alertas podem ser disparados quando as atividades de usuário, administrador ou entrada não estão em conformidade com suas políticas. Ao conectar o Microsoft Defender para Aplicativos de Nuvem ao Salesforce , os eventos de entrada do Salesforce são coletados pelo Defender para Aplicativos de Nuvem.

Além disso, você pode impor o Controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.