Configurar el inicio de sesión único para usuarios internos Salesforce

Objetivos de aprendizaje

Después de completar este módulo, podrá:

  • Crear un Id. de federación.
  • Configurar el inicio de sesión único con un proveedor de identidad externo.
  • Familiarizarse con las herramientas para solucionar problemas de solicitudes SAML.

Inicio de sesión único

Con un dominio y una página de inicio de sesión personalizados, facilita a los empleados el inicio de sesión en su organización de Salesforce con una dirección URL segura y fácil de recordar. 
¿Desea facilitar aún más el proceso para que no sea necesario iniciar sesión? En ese caso, configure el inicio de sesión único (SSO).
SSO ofrece numerosas ventajas.

  • La gestión de contraseñas requiere menos tiempo.
  • Los empleados pueden ahorrar tiempo si no tienen que iniciar sesión manualmente en Salesforce. ¿Sabía que los usuarios tardan de 5 a 20 segundos en iniciar sesión en una aplicación online? Estos segundos suman tiempo.
  • Más usuarios usan Salesforce. Los usuarios pueden enviar vínculos a registros y reportes de Salesforce y los destinatarios pueden abrirlos con un solo clic.
  • Puede gestionar el acceso a información confidencial desde una sola ubicación.

En esta unidad, le mostramos cómo configurar SSO entrante. Los usuarios inician sesión en otra ubicación, como una aplicación local, y acceden a Salesforce sin necesidad de iniciar sesión. Además, puede configurar SSO saliente para que los usuarios inicien sesión en Salesforce y accedan a otros servicios sin tener que volver a iniciar sesión. Reservaremos este tema para otro módulo.

Configurar SSO entrante con un proveedor de identidad de terceros

Empecemos por configurar SSO entrante con un proveedor de identidad de terceros.

El responsable del departamento de TI, Sean Sollo, le comenta que configure los usuarios de Salesforce con SSO para que puedan iniciar sesión en la organización de Salesforce con sus credenciales de red de Jedeye. Aquí, vamos a seguir los pasos para configurar SSO para Sia Thripio, la nueva empleada de Jedeye Tech. Va a configurar SSO entrante con la aplicación web Axiom Heroku como el proveedor de identidad.

¿Le parece este comienzo difícil? En realidad no lo es. Vamos a describir el proceso mediante una serie de pasos sencillos.

  1. Cree un Id. de federación para cada usuario.
  2. Establezca la configuración de SSO en Salesforce.
  3. Establezca la configuración de Salesforce en el proveedor de SSO.
  4. Asegúrese de que todo funciona.

¿Recuerda el requisito para SSO? Se trata de un dominio personalizado. Dado que ya ha completado la unidad para configurar el dominio personalizado, está listo para continuar.

Paso 1: Crear un Id. de federación

Cuando configura SSO, usa un atributo único para identificar a cada usuario. Este atributo es el vínculo que asocia al usuario de Salesforce con el proveedor de identidad externo. Puede usar un nombre de usuario, un Id. de usuario o un Id. de federación. Vamos a usar un Id. de federación.

No, un Id. de federación no es propiedad de una organización de envío interestelar con diseños incomprensibles. Es básicamente un término que la industria de la identidad usa para hacer referencia a un Id. de usuario único.

Normalmente, asigna un Id. de federación a una cuenta de usuario. Cuando configura SSO en su entorno de producción, puede asignar el Id. de federación para varios usuarios a la vez con herramientas como el Cargador de datos de Salesforce. De momento, vamos a configurar una cuenta para Sia Thripio, una nueva empleada de Jedeye Tech.

  1. En Configuración, ingrese Usuarios en el cuadro Búsqueda rápida y, a continuación, seleccione Usuarios.
  2. Haga clic en Modificar junto al nombre de Sia.
  3. Debajo de Información de inicio de sesión único, ingrese el Id. de federación: sia@jedeye-tech.com. Sugerencia: Un Id. de federación debe ser único para cada usuario en una organización. Este el motivo por el que el nombre de usuario es tan útil. Pero si el usuario pertenece a múltiples organizaciones, utilice el mismo Id. de federación para la usuario en cada organización.Id. de Federación de la configuración de SSO
  4. Haga clic en Guardar.

Paso 2: Configurar su proveedor de SSO en Salesforce

El proveedor de servicios debe tener información sobre el proveedor de identidad y viceversa. En este paso, se encuentra en la parte de Salesforce para proporcionar información sobre el proveedor de identidad, que este caso es Axiom. En el paso siguiente, proporciona a Axiom información sobre Salesforce.

En la parte de Salesforce, establecemos la configuración de SAML. SAML es el protocolo que Salesforce Identity usa para implementar SSO.

Sugerencia: Va a trabajar tanto en la organización de Salesforce Developer como en la aplicación Axiom. Manténgalas abiertas en ventanas del navegador independientes para poder copia y pegar entre ambas.

  1. En una nueva ventana del navegador, vaya a http://axiomsso.herokuapp.com.
  2. Haga clic en Comprobador y proveedor de identidad de SAML.
  3. Haga clic en Descargar el certificado del proveedor de identidad. Dado que debe cargar este certificado más adelante en la organización de Salesforce, recuerde dónde lo ha guardado.
  4. En su organización de Salesforce, vaya a Configuración e ingrese Único en el cuadro Búsqueda rápida y, a continuación, seleccione Configuración de inicio de sesión único.
  5. Haga clic en Modificar.
  6. Seleccione SAML Activado.
  7. Haga clic en Guardar.
  8. En Configuración de inicio de sesión único de SAML:
    1. Haga clic en Nuevo.
    2. Ingrese los siguientes valores.
      • Nombre: Aplicación de prueba Axiom
      • Emisor: http://axiomsso.herokuapp.com
      • Certificado de proveedor de identidad: seleccione el archivo que ha descargado en el paso 3.
      • Solicitar método de firma: Seleccione RSA-SHA1.
      • Tipo de identidad de SAML: seleccione La afirmación contiene el Id. de federación del objeto de usuario.
      • Ubicación de entidad de SAML: seleccione La identidad se encuentra en el elemento de identificador de nombre de la declaración de asunto.
      • El proveedor de servicio ha iniciado el enlace de solicitud: seleccione Redirigir HTTP.
      • Id. de la entidad: Ingrese su URL de Mi dominio, que se muestra en la página de configuración de Mi dominio de su organización. Asegúrese de que el Id. de entidad incluye “https” y hace referencia al dominio de Salesforce. Debe ser algo parecido a esto: https://mydomain-dev-ed.my.salesforce.com.Página de configuración de SSO de SAML de Salesforce antes de pulsar Guardar
  9. Haga clic en Guardar y deje la página del navegador abierta.

Ahora que ha configurado Salesforce para obtener información sobre el proveedor de identidad (Axiom), debe proporcionar al proveedor de identidad información sobre el proveedor de servicios (Salesforce).

Debe completar varios campos del siguiente formulario de Axiom. No puede ser más fácil. Dado que va a proporcionar la configuración de SSO de Salesforce, mantenga dos ventanas del navegador abiertas (una para Salesforce y otra para Axiom).

  1. Vuelva a la aplicación web Axiom. Si no tiene la aplicación abierta en una ventana del navegador, vaya a http://axiomsso.herokuapp.com.
  2. Haga clic en Comprobador y proveedor de identidad de SAML.
  3. Haga clic en el vínculo genere una respuesta de SAML.
  4. Ingrese los siguientes valores. Deje el resto de los campos como sean.
    • Versión de SAML: 2.0
    • Nombre de usuario o Id. de federación: El Id. de federación desde la página Usuario de Salesforce de Sia
    • Emisor: http://axiomsso.herokuapp.com
    • URL de destinatario: La dirección URL de la página Configuración de inicio de sesión único de SAML de Salesforce. ¿No la encuentra? Se incluye en la parte inferior con la etiqueta URL de inicio de sesión de Salesforce.
    • Id. de entidad: El Id. de entidad de la página Configuración de inicio de sesión único de SAML de Salesforce
  5. La configuración de inicio de sesión único de SAML para ingresar en Axiom

Cuando haya terminado, la página de configuración de Axiom será similar a la siguiente:

Configuración de inicio de sesión único de SAML en Axiom

Paso 4: Confirmar que todo funciona

Estupendo, ahora que se ha completado la configuración, vamos a asegurarnos de que funciona. ¿Cómo se puede demostrar? Como es obvio, al iniciar sesión correctamente.

  1. En la ventana del navegador para la configuración de Axiom, haga clic en Solicitar respuesta de SAML. (Esta opción se encuentra al final).
  2. Axiom genera la afirmación SAML en XML. ¿No le recuerda esto al lenguaje usado por un robot para comunicarse con un puesto de condensadores de humedad en el desierto? Examínelo de nuevo. Si lo piensa, no es tan complicado. Para acceder a la información de interés, desplácese por el XML.Afirmación SAML
  3. Haga clic en Iniciar sesión.

Si todo es correcto, inicia sesión como Sia en su página de inicio de Salesforce. La aplicación Axiom le permite iniciar sesión en su organización de Salesforce como el usuario con el Id. de federación asignado.

¡Felicitaciones! Acaba de configurar SSO para Salesforce para los usuarios que acceden a Salesforce desde otra aplicación. Ocupe su lugar en el escenario para recibir su insignia.