本文介绍如何将 Salesforce 沙盒与 Microsoft Entra ID 集成。 将 Salesforce Sandbox 与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 Salesforce Sandbox。
- 让用户能够使用其 Microsoft Entra 帐户自动登录到 Salesforce Sandbox。
- 在中心位置管理帐户。
先决条件
本文中概述的方案假定你已具备以下先决条件:
- 启用了单一登录 (SSO) 的 Salesforce Sandbox 订阅。
方案描述
本文中,您将在测试环境中配置和测试 Microsoft Entra 的单一登录功能。
- Salesforce 沙盒支持 SP 和 IDP 发起的 SSO
- Salesforce 沙盒支持实时用户预配
- Salesforce 沙盒支持自动用户预配
从库中添加 Salesforce 沙盒
若要配置 Salesforce Sandbox 与 Microsoft Entra ID 的集成,需要从库中将 Salesforce Sandbox 添加到托管的 SaaS 应用列表。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 请导航到 Entra ID>企业应用>新应用。
- 在“从库中添加”部分中,在搜索框中键入“Salesforce Sandbox” 。
- 从结果面板中选择“Salesforce Sandbox”,然后添加该应用 。 在该应用添加到租户时等待几秒钟。
或者,也可以使用企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解 Microsoft 365 向导。
配置并测试 Salesforce Sandbox 的 Microsoft Entra SSO
使用名为 B.Simon 的测试用户配置和测试 Salesforce Sandbox 的 Microsoft Entra SSO。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 Salesforce Sandbox 中的相关用户之间建立关联。
若要配置并测试 Salesforce Sandbox 的 Microsoft Entra SSO,请执行以下步骤:
-
配置 Microsoft Entra SSO - 使用户能够使用此功能。
- 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
- 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
- 配置 Salesforce Sandbox SSO - 在应用程序端配置单一登录设置。
- 测试 SSO - 验证配置是否正常工作。
配置 Microsoft Entra SSO
按照以下步骤启用 Microsoft Entra SSO。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Enterprise 应用>Salesforce Sandbox>单点登录。
在“选择单一登录方法”页上选择“SAML” 。
在 “使用 SAML 设置单一登录 ”页上,选择 基本 SAML 配置的 铅笔图标以编辑设置。
如果已获取“服务提供商元数据文件”并想要在“IDP”发起的模式下进行配置,请在“基本 SAML 配置”部分执行以下步骤 :
a。 选择“上传元数据文件”。
b. 选择 文件夹徽标 以选择元数据文件,然后选择“ 上传”。
注意
可以从 Salesforce 沙盒管理门户获取服务提供商元数据文件,本文稍后将对此进行介绍。
选项c. 成功上传元数据文件后, “回复 URL ”值将在 “回复 URL ”文本框中自动填充。
注意
如果 回复 URL 值未自动填充,请根据要求手动填写该值。
在“ 使用 SAML 设置单一 Sign-On ”页上的 “SAML 签名证书 ”部分中,选择“ 下载 ”,根据要求从给定选项下载 元数据 XML ,并将其保存在计算机上。
在“设置 Salesforce 沙盒”部分中,根据要求复制相应 URL 。
创建和分配 Microsoft Entra 测试用户
请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。
配置 Salesforce Sandbox SSO
在浏览器中打开新选项卡并登录到 Salesforce 沙盒管理员帐户。
选择页面右上角设置图标下的设置。
向下滚动到左侧导航面板中的设置,选择标识以展开相关部分。 然后选择 单个 Sign-On 设置。
在“单 Sign-On 设置”页上,选择“编辑”按钮。
选择 “已启用 SAML”,然后选择“ 保存”。
若要配置 SAML 单一登录设置,请 从元数据文件选择“新建”。
选择 “选择文件 ”以上传已下载的元数据 XML 文件,然后选择“ 创建”。
在 “SAML 单 Sign-On 设置” 页上,字段会自动填充,然后选择“保存”。
在 “单 Sign-On 设置 ”页上,选择“ 下载元数据 ”按钮以下载服务提供商元数据文件。 在 Azure 门户的“基本 SAML 配置”部分中使用此文件,以便如上所述配置必要的 URL 。
如果要在 SP 发起的模式下配置应用程序,请满足以下先决条件:
a。 应有一个已验证的域。
b. 需要在 Salesforce 沙盒上配置和启用域,本文稍后将对此进行说明。
选项c. 在 Azure 门户中的 “基本 SAML 配置 ”部分中,选择 “设置其他 URL ”并执行以下步骤:
在“登录 URL” 文本框中,使用以下模式键入值:
注意
启用域后,应从 Salesforce 沙盒门户复制此值。
在 “SAML 签名证书 ”部分中,选择 “联合元数据 XML ”,然后将 xml 文件保存到计算机上。
在浏览器中打开新选项卡并登录到 Salesforce 沙盒管理员帐户。
选择页面右上角设置图标下的设置。
向下滚动到左侧导航面板中的设置,选择标识以展开相关部分。 然后选择 单个 Sign-On 设置。
在“单 Sign-On 设置”页上,选择“编辑”按钮。
选择 “已启用 SAML”,然后选择“ 保存”。
若要配置 SAML 单一登录设置,请 从元数据文件选择“新建”。
选择 选择文件 上传元数据 XML 文件,然后选择 创建。
在“SAML 单 Sign-On 设置”页上,字段会自动填充,在“名称”文本框中键入配置的名称(例如:SPSSOWAAD_Test),然后选择“保存”。
若要在 Salesforce 沙盒中启用域,请执行以下步骤:
注意
在启用域之前,需在 Salesforce 沙盒中创建相同的域。 有关详细信息,请参阅定义域名。 创建域后,请确保配置正确。
在 Salesforce 沙盒的左侧导航窗格中,选择 “公司设置” 以展开相关部分,然后选择“ 我的域”。
在 “身份验证配置 ”部分中,选择“ 编辑”。
在“身份验证配置”部分中,作为“身份验证服务”,选择在 Salesforce 沙盒中的 SSO 配置过程中设置的 SAML 单一 Sign-On 设置的名称,然后选择“保存”。
创建 Salesforce 沙盒测试用户
在本部分中,将在 Salesforce 沙盒中创建名为 Britta Simon 的用户。 Salesforce 沙盒支持在默认情况下保持启用的实时预配。 本节中没有需要你完成的事项。 尝试访问 Salesforce 沙盒时,如果 Salesforce 沙盒中没有用户,系统会创建一个新用户。 Salesforce 沙盒还支持自动用户预配,有关如何配置自动用户预配的更多详细信息,请参见此处。
测试 SSO
在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。
SP 启动的:
选择“ 测试此应用程序”,此选项将重定向到 Salesforce 沙盒登录 URL,可在其中启动登录流。
直接转到 Salesforce Sandbox 登录 URL,并在其中启动登录流。
IDP 启动的:
- 选择“ 测试此应用程序”,应会自动登录到为其设置了 SSO 的 Salesforce 沙盒
还可以使用 Microsoft“我的应用”在任何模式下测试此应用程序。 在“我的应用”中选择 Salesforce Sandbox 磁贴时,如果是在 SP 模式下配置的,你会重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的,则应会自动登录到为其设置了 SSO 的 Salesforce 沙盒。 有关“我的应用”的详细信息,请参阅“我的应用”简介。
相关内容
配置 Salesforce Sandbox 后,就可以强制实施会话控制,从而实时保护组织的敏感数据免于外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。