Salesforce

Al configurar Salesforce para usar Specops Authentication para Single Sign-On (SSO), un usuario que intente iniciar sesión en Salesforce será redirigido a Specops Authentication.

Se le presentará al usuario una lista de Servicios de Identidad basada en la política configurada para Salesforce en Specops Authentication. Para autenticarse con éxito, el usuario debe completar uno o más de estos Servicios de Identidad. Una vez que la autenticación sea exitosa, el usuario es redirigido de vuelta a Salesforce, que valida el token OIDC y permite el inicio de sesión.

La política que define los Servicios de Identidad puede almacenarse ya sea en Specops Authentication Cloud o en un Objeto de Política de Grupo (GPO) en Active Directory. Al crear la aplicación OpenID Connect, tendrá las siguientes opciones de modo de política:

Cloud - Todos los usuarios de la organización se ven afectados.
Group Policy - Solo los usuarios dirigidos por un GPO etiquetado se ven afectados.
Both - Todos los usuarios se ven afectados. Si un usuario también está dirigido por un GPO etiquetado, la Política de Grupo tiene preferencia sobre la Política de Cloud.

Prerrequisitos

Se debe tener una cuenta de Salesforce Cloud antes de proceder con la configuración.

Configuración

Estos son los pasos principales de configuración:

Configure un Objeto de Política de Grupo
Cree una aplicación OpenID Connect para Single Sign-On
Agregue Specops Authentication como un nuevo Proveedor de Autenticación en Salesforce

Configure un Objeto de Política de Grupo

Siga estos pasos solo si selecciona Group Policy o Both como el modo de política al crear la aplicación OpenID Connect.

En la Consola de Administración de Políticas de Grupo, cree un Objeto de Política de Grupo y nómbrelo, por ejemplo, Salesforce.
Vincule el GPO a algún contenedor con usuarios que deberían poder acceder a Salesforce.
En la Herramienta de Administración de Gatekeeper, haga clic en Single Sign-on.
Haga clic en Tag GPOs, seleccione el GPO que debería estar disponible para usar al configurar una aplicación OpenID Connect en Specops Authentication, y haga clic en OK.

Cree una aplicación OpenID Connect para Single Sign-On

Inicie sesión como administrador en Specops Authentication Web.
Haga clic en Single Sign-On.
Haga clic en Add new.
Seleccione Application Type: Salesforce.
En General Settings, escriba un nombre de aplicación y opcionalmente una descripción para la aplicación.
En Redirect URL's, agregue URLs que deberían permitirse para redirección durante la autenticación y cierre de sesión. Déjelo vacío por ahora. Una URL de callback se agregará más tarde cuando el proveedor de autenticación haya sido registrado en Salesforce.
En Standard Claim Mapping, configure los claims con información sobre el usuario que debería ser suministrada desde AD a Salesforce. Para Salesforce, esta lista se llenará previamente con los claims utilizados por el manejador de registro de ejemplo en la documentación de Salesforce, vea Create an Apex Registration Handler Class. Los claims aún pueden agregarse, eliminarse o modificarse para adaptarse a sus necesidades.
- Claim: Seleccione un nombre de la lista de nombres predefinidos o seleccione Custom... para ingresar un nombre personalizado.
- AD Attribute or Custom Value: Seleccione un valor de la lista de atributos de Active Directory o seleccione Custom... para ingresar un nombre personalizado. Si se selecciona un atributo de AD, el claim se completará desde el usuario durante la autenticación. Si se selecciona Custom, se usa un valor fijo.
Advertencia

El claim "sub" necesita ser mapeado a un atributo de AD que sea inmutable e identifique de manera única al usuario. Nunca mapee "sub" a, por ejemplo, el atributo "mail" ya que esto podría permitir que un usuario malicioso obtenga acceso a la cuenta de otro usuario. El claim "sub" se mapeará a "objectGUID" por defecto.
Haga clic en Save and Continue.
Seleccione un Policy mode de la lista.
Si seleccionó Group Policy o Both como modo de política, elija su GPO de Salesforce de la lista Group Policy Objects, y haga clic en Add.
Haga clic en Edit Authentication Rules junto al GPO agregado. Configure sus reglas de autenticación deseadas y haga clic en Save.
Si seleccionó Cloud o Both como modo de política, haga clic en Configure y agregue los servicios de identidad que desea incluir.
Haga clic en I'm done.
La página de Credenciales de la Aplicación contiene credenciales y URLs que pueden ser necesarias al configurar Specops Authentication como un proveedor de identidad en Salesforce. Copie el Client Secret y asegúrese de guardarlo para uso posterior. Haga clic en Continue.

Nota

El client secret se muestra solo una vez y no puede ser visto o copiado nuevamente después de salir de esta página.

Agregue Specops Authentication como un nuevo Proveedor de Autenticación

Estos son los pasos mínimos para agregar la nueva aplicación OpenID Connect en Salesforce. Para documentación detallada vea: https://help.salesforce.com/s/articleView?id=xcloud.sso_provider_openid_connect.htm&type=5

Cree una Clase de Manejador de Registro Apex

Necesita crear una clase Apex personalizada que controle cómo se crean (o vinculan) los nuevos registros de usuario cuando alguien inicia sesión a través de Specops Authentication, usando OpenID Connect.

Inicie sesión en Salesforce, haga clic en el icono Settings y seleccione Open Advanced Setup.
En Quick Find, ingrese "Apex" y seleccione Apex Classes.
Haga clic en New.
Ingrese el código para crear la clase Apex. Consulte https://developer.salesforce.com/docs/atlas.en-us.apexref.meta/apexref/apex_auth_plugin.htm#apex_auth_plugin_example para un ejemplo de código. Cuando termine, haga clic en Save.

Agregar Proveedor de Autenticación

Inicie sesión en Salesforce. En Quick Find, escriba "auth" y seleccione Auth. Providers de la lista.
Haga clic en New.
Seleccione Provider Type: Open ID Connect.
Ingrese un nombre, por ejemplo "sa".
Para Consumer Key, ingrese Client Id de Credenciales de Aplicación en Specops Authentication.
Para Consumer Secret, ingrese Client Secret de Credenciales de Aplicación en Specops Authentication.
Para Authorize, Token y User Info Endpoint URL, ingrese las URLs correspondientes de Specops Authentication.
Para Token Issuer, ingrese Issuer de Specops Authentication.
En Custom Logout URL, ingrese End Session Endpoint de Specops Authentication.
Seleccione Registration Handler Type: Apex
Haga clic en el botón de búsqueda junto a Registration Handler y seleccione el manejador de registro que se creó anteriormente.
En Execute Registration As, seleccione un usuario existente.
Haga clic en Save.
Copie la Callback URL y guárdela por ahora. La agregará más tarde a la aplicación OpenID Connect en Specops Authentication.

Agregue las URLs de Redirección a la aplicación OpenID Connect

Inicie sesión como administrador en Specops Authentication Web.
Haga clic en Single Sign-On.
Vaya a la aplicación OpenID Connect creada para Salesforce anteriormente, y haga clic en Edit Application.
En Redirect URLs, agregue la Callback URL de Salesforce.
Haga clic en Save.

Agregue Specops Authentication a la página de inicio de sesión

Inicie sesión en Salesforce. En Quick Find, ingrese "Domain" y seleccione My Domain.
En Authentication Configuration, haga clic en Edit.
En Authentication Service, marque la casilla junto al proveedor de autenticación creado anteriormente.
Haga clic en Save.