Partilhar via


Tutorial: Integração do logon único (SSO) do Microsoft Entra com o Salesforce

Neste tutorial, você aprenderá como integrar o Salesforce ao Microsoft Entra ID. Ao integrar o Salesforce ao Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao Salesforce.
  • Permita que seus usuários entrem automaticamente no Salesforce com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Assinatura habilitada para logon único (SSO) do Salesforce.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O Salesforce oferece suporte ao SSO iniciado pelo SP .

  • O Salesforce oferece suporte ao provisionamento e desprovisionamento automatizados de usuários (recomendado).

  • O Salesforce oferece suporte ao provisionamento de usuários Just In Time .

  • O aplicativo Salesforce Mobile agora pode ser configurado com o Microsoft Entra ID para habilitar o SSO. Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

Para configurar a integração do Salesforce ao Microsoft Entra ID, você precisa adicionar o Salesforce da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Salesforce na caixa de pesquisa.
  4. Selecione Salesforce no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Salesforce

Configure e teste o Microsoft Entra SSO com o Salesforce usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Salesforce.

Para configurar e testar o Microsoft Entra SSO com o Salesforce, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
  2. Configure o Salesforce SSO - para definir as configurações de logon único no lado do aplicativo.
    • Criar usuário de teste do Salesforce - para ter um equivalente de B.Simon no Salesforce vinculado à representação de usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Salesforce>Single sign-on.

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Na página Configurar logon único com SAML, clique no ícone editar/caneta para Configuração Básica de SAML para editar as configurações.

    Editar configuração básica de SAML

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    um. Na caixa de texto Identificador , digite o valor usando o seguinte padrão:

    Conta Enterprise: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    b. Na caixa de texto URL de resposta, digite o valor usando o seguinte padrão:

    Conta Enterprise: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    c. Na caixa de texto URL de início de sessão, escreva o valor utilizando o seguinte padrão:

    Conta Enterprise: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    Observação

    Estes valores não são reais. Atualize estes valores com o Identificador real, o URL de resposta e o URL de início de sessão. Entre em contato com a equipe de suporte ao cliente Salesforce para obter esses valores.

  6. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Download para baixar o certificado e salvá-lo em seu computador.

    O link de download do certificado

  7. Na seção Configurar o Salesforce , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    Copiar URLs de configuração

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Navegue até Identidade>de usuários>Todos os usuários.
  3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao Salesforce.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Salesforce.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
    1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Salesforce

  1. Em uma janela diferente do navegador da Web, faça login no site da empresa Salesforce como administrador

  2. Clique no ícone Configuração em configurações no canto superior direito da página.

    Ícone Definir configurações de Logon Único

  3. Role para baixo até CONFIGURAÇÕES no painel de navegação, clique em Identidade para expandir a seção relacionada. Em seguida, clique em Configurações de Logon Único.

    Definir configurações de logon único

  4. Na página Configurações de Logon Único, clique no botão Editar.

    Configurar Edição de Logon Único

    Observação

    Se você não conseguir habilitar as configurações de Logon único para sua conta do Salesforce, talvez seja necessário entrar em contato com a equipe de suporte do Salesforce Client.

  5. Selecione SAML Enabled e clique em Salvar.

    Configurar SAML de logon único habilitado

  6. Para definir suas configurações de logon único SAML, clique em Novo no Arquivo de Metadados.

    Configurar o Logon Único Novo a partir do Arquivo de Metadados

  7. Clique em Escolher arquivo para carregar o arquivo XML de metadados que você baixou e clique em Criar.

    Configurar Logon Único Escolher Arquivo

  8. Na página Configurações de Logon Único SAML, os campos são preenchidos automaticamente, se você quiser usar o JIT SAML, selecione User Provisioning Enabled e selecione SAML Identity Type (Tipo de identidade SAML), pois Assertion contém o ID de Federação do objeto User caso contrário, desmarque o User Provisioning Enabled e selecione SAML Identity Type (Tipo de identidade SAML), pois Assertion contém o nome de usuário do Salesforce do usuário. Clique em Salvar.

    Configurar o provisionamento de usuário de logon único habilitado

    Observação

    Se você configurou o JIT SAML, deverá concluir uma etapa adicional na seção Configurar o Microsoft Entra SSO . O aplicativo Salesforce espera asserções SAML específicas, o que exige que você tenha atributos específicos em sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos necessários pelo Salesforce.

    Captura de tela que mostra o painel de atributos necessários do JIT.

    Se você ainda tiver problemas com o provisionamento de usuários com JIT SAML, consulte Just-in-time provisioning requirements and SAML assertion fields. Geralmente, quando o JIT falha, você pode ver um erro como We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. No painel de navegação esquerdo do Salesforce, clique em Configurações da Empresa para expandir a seção relacionada e clique em Meu Domínio.

    Configurar o Logon Único Meu Domínio

  10. Role para baixo até a seção Configuração de autenticação e clique no botão Editar.

    Configurar configuração de autenticação de logon único

  11. Na seção Configuração de Autenticação, verifique a Página de Logon e o AzureSSO como Serviço de Autenticação da sua configuração de SSO SAML e clique em Salvar.

    Configurar o Serviço de Autenticação de Logon Único

    Observação

    Se mais de um serviço de autenticação for selecionado, os usuários serão solicitados a selecionar com qual serviço de autenticação desejam fazer login ao iniciar o logon único em seu ambiente Salesforce. Se você não quiser que isso aconteça, então você deve deixar todos os outros serviços de autenticação desmarcados.

Criar usuário de teste do Salesforce

Nesta seção, um usuário chamado B.Simon é criado no Salesforce. O Salesforce oferece suporte ao provisionamento just-in-time, que é habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Salesforce, um novo será criado quando você tentar acessar o Salesforce. O Salesforce também oferece suporte ao provisionamento automático de usuários, você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuários.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Clique em Testar este aplicativo, isso redirecionará para o URL de logon do Salesforce, onde você poderá iniciar o fluxo de login.

  • Acesse diretamente a URL de logon do Salesforce e inicie o fluxo de login a partir daí.

  • Você pode usar o Microsoft My Apps. Ao clicar no bloco Salesforce no portal Meus Aplicativos, você deve estar conectado automaticamente ao Salesforce para o qual configurou o SSO. Para obter mais informações sobre o portal Meus Aplicativos, consulte Introdução ao portal Meus Aplicativos.

Testar o SSO para Salesforce (Mobile)

  1. Abra o aplicativo móvel Salesforce. Na página de início de sessão, clique em Utilizar Domínio Personalizado.

    Aplicativo móvel Salesforce Usar domínio personalizado

  2. Na caixa de texto Domínio Personalizado, introduza o seu nome de domínio personalizado registado e clique em Continuar.

    Domínio personalizado do aplicativo móvel Salesforce

  3. Insira suas credenciais do Microsoft Entra para entrar no aplicativo Salesforce e clique em Avançar.

    Credenciais do aplicativo móvel Salesforce Microsoft Entra

  4. Na página Permitir acesso, conforme mostrado abaixo, clique em Permitir para dar acesso ao aplicativo Salesforce.

    Aplicativo móvel Salesforce Permitir acesso

  5. Finalmente, após o login bem-sucedido, a página inicial do aplicativo será exibida.

    Página inicial do aplicativo móvel SalesforceAplicativo móvel Salesforce

Impedir o acesso ao aplicativo por meio de contas locais

Depois de validar que o SSO funciona e implementá-lo em sua organização, desative o acesso ao aplicativo usando credenciais locais. Isso garante que suas políticas de acesso condicional, MFA, etc. estarão em vigor para proteger os logins no Salesforce.

Próximos passos

Se você tiver o Enterprise Mobility + Security E5 ou outra licença para o Microsoft Defender for Cloud Apps, poderá coletar uma trilha de auditoria das atividades do aplicativo nesse produto, que pode ser usada ao investigar alertas. No Defender for Cloud Apps, os alertas podem ser acionados quando as atividades de utilizador, administrador ou início de sessão não estão em conformidade com as suas políticas. Ao conectar o Microsoft Defender for Cloud Apps ao Salesforce , os eventos de entrada do Salesforce são coletados pelo Defender for Cloud Apps.

Além disso, você pode aplicar o Controle de Sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O Controle de Sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.