Aplicación de Salesforce

Al configurar Salesforce para usar Specops Authentication para Single Sign-On (SSO), los usuarios que intenten iniciar sesión en Salesforce serán redirigidos a Specops Authentication para autenticarse.

Se presentará al usuario una lista de servicios de identidad basada en la política configurada para Salesforce en Specops Authentication. Para autenticarse correctamente, el usuario debe completar uno o varios de estos servicios de identidad. Una vez que la autenticación se haya realizado correctamente, el usuario será redirigido de nuevo a Salesforce, que validará el token OpenID Connect y permitirá el inicio de sesión.

La política que define los servicios de identidad puede almacenarse en Specops Authentication Cloud o en un Objeto de Directiva de Grupo (GPO) en Active Directory. Al crear una aplicación de Single Sign-On, tendrá las siguientes opciones de modo de política:

Cloud - Todos los usuarios de la organización se ven afectados.
Group Policy - Solo se ven afectados los usuarios a los que se dirige un GPO etiquetado.
Both - Todos los usuarios se ven afectados. Si un usuario también se ve afectado por un GPO etiquetado, la directiva de grupo tendrá prioridad sobre la política cloud.

Requisitos previos

Debe existir una cuenta de Salesforce Cloud antes de continuar con la configuración.
La función Specops Domain Name Protection debe estar deshabilitada; consulte Protección de nombres de dominio.

Configurar una aplicación de Salesforce

Estos son los pasos principales para configurar una aplicación de Salesforce:

Configurar un Objeto de Directiva de Grupo
Crear una aplicación de Single Sign-On
Agregar Specops Authentication como nuevo proveedor de autenticación en Salesforce

Configurar un Objeto de Directiva de Grupo

Siga estos pasos solo si selecciona Política de grupo o Ambos como modo de política al crear la aplicación de Single Sign-On.

En la Consola de Administración de Directivas de Grupo, cree un Objeto de Directiva de Grupo y asígnele, por ejemplo, el nombre Salesforce.
Vincule el GPO a un contenedor con usuarios que deban poder acceder a Salesforce.
En la herramienta de administración Gatekeeper, haga clic en Single Sign-on.
Haga clic en Tag GPOs, seleccione el GPO que debe estar disponible al configurar una aplicación OpenID Connect en Specops Authentication y haga clic en Aceptar.

Crear una aplicación de Single Sign-On

Inicie sesión como administrador en Specops Authentication Web.
Haga clic en Single Sign-On.
Haga clic en Añadir nuevo.
Seleccione Plantilla de Aplicación: Salesforce. Protocolo de Aplicación se establece automáticamente en OpenID Connect.
Haga clic en Siguiente.
En Configuración General, escriba un nombre para la aplicación y, opcionalmente, una descripción.
En Redirect URL's, agregue las URL que deben permitirse para la redirección durante la autenticación y el cierre de sesión. Déjelo vacío por ahora. Se agregará una URL de devolución de llamada más adelante, cuando el proveedor de autenticación se haya registrado en Salesforce.
En Mapeo de Reclamaciones Estándar, configure opcionalmente los claims con información sobre el usuario que debe suministrarse desde Active Directory a Salesforce. Esta lista se rellenará previamente con los claims utilizados por el controlador de registro de ejemplo de la documentación de Salesforce; consulte Crear una clase Apex de controlador de registro. Los claims pueden agregarse, eliminarse o modificarse para ajustarse a sus necesidades.
- Reclamación: Seleccione un nombre de la lista de nombres predefinidos o seleccione Personalizado... para introducir un nombre personalizado.
- Atributo AD o Valor Personalizado: Seleccione un valor de la lista de atributos de Active Directory o seleccione Custom... para introducir un nombre personalizado. Si se selecciona un atributo de AD, el claim se completará con información del usuario durante la autenticación. Si se selecciona Custom, se utilizará un valor fijo.
  
  Advertencia
  
  El claim "sub" debe asignarse a un atributo de AD que sea inmutable e identifique de manera única al usuario. Nunca asigne "sub" a, por ejemplo, el atributo "mail", ya que esto podría permitir que un usuario malicioso obtenga acceso a la cuenta de otro usuario. De forma predeterminada, el claim "sub" se asignará a "objectGUID".
Haga clic en Siguiente: Mapeo de Reclamaciones de Grupo.

Nota

Los claims estándar agregados en Mapeo de Reclamaciones Estándar siempre se envían a la parte confiable. Los claims de grupo introducidos en Mapeo de Reclamaciones de Grupo son claims adicionales que se agregan al token OIDC para los usuarios que son miembros de los grupos de AD seleccionados.

Esta configuración no controla qué usuarios pueden acceder a la aplicación. El acceso a la aplicación se controla mediante Policy Configuration, lo que significa que los usuarios de los grupos seleccionados también deben estar incluidos en una política para poder acceder a la aplicación.
En Agregar nuevas reclamaciones de grupo, agregue opcionalmente claims para grupos de seguridad. Introduzca el nombre de un grupo en Active Directory y haga clic en Añadir.
Introduzca uno o más claims y valores de claim para el grupo y haga clic en Guardar.
Haga clic en Siguiente: Configuración de Política.

Nota

Policy Configuration determina a qué usuarios se aplica la política de la aplicación y qué reglas de autenticación se aplican a esos usuarios. Solo los usuarios incluidos en una política pueden acceder a la aplicación. Los usuarios que no estén incluidos en ninguna política no tendrán acceso.
Seleccione un Modo de política de la lista.
Si seleccionó Política de grupo o Ambos como modo de política, elija su GPO de Salesforce de la lista Objetos de política de grupo y haga clic en Añadir.
Haga clic en Editar Reglas de autentificación junto al GPO agregado. Configure las reglas de autenticación deseadas y haga clic en Guardar.
Si seleccionó Nube o Ambos como modo de política, haga clic en Configurar y agregue los servicios de identidad que desea incluir.
Haga clic en He terminado.
La página Credenciales de la Aplicación muestra las credenciales y las URL que pueden ser necesarias al configurar Specops Authentication como proveedor de identidad en Salesforce.
Copie el valor de Clave Secreta Actual del Cliente en ID del Cliente y guárdelo para usarlo más adelante. Este es el valor de la clave secreta del cliente que debe introducirse en la configuración de la parte confiable.

Importante!

El valor de Clave Secreta Actual del Cliente se muestra solo una vez. Después de salir de esta página, el valor no puede volver a verse ni copiarse.
Cuando termine, haga clic en Cerrar.

Para obtener información sobre rotar y revocar una clave secreta del cliente, consulte la siguiente sección.

Rotar y revocar una clave secreta del cliente

Al rotar, se crea una nueva Clave Secreta Actual del Cliente y la clave secreta anterior permanece disponible temporalmente. Al revocar, se elimina la clave secreta antigua del cliente para que ya no pueda usarse. Use estas opciones para reemplazar la clave secreta actual del cliente o revocar permanentemente una antigua.

Haga clic en Ver Credenciales junto a la aplicación OIDC en la página Aplicaciones de inicio de sesión único configuradas.
En la página Credenciales de la Aplicación:
1. Haga clic en Rotar clave secreta para generar una nueva Clave Secreta Actual del Cliente. La que antes era la clave secreta actual del cliente pasa a ser una clave secreta antigua del cliente. Si ya existe una clave secreta antigua, se reemplaza. Ambas claves secretas siguen siendo válidas hasta que la clave secreta antigua del cliente se revoque o se reemplace mediante otra rotación.
2. Haga clic en Revocar clave secreta antigua para eliminar permanentemente la clave secreta antigua del cliente. Una vez revocada, la clave secreta antigua ya no podrá usarse y la nueva Clave Secreta Actual del Cliente seguirá activa.

Agregue Specops Authentication como un nuevo Proveedor de Autenticación

Estos son los pasos mínimos para agregar la nueva aplicación OpenID Connect en Salesforce. Para documentación detallada vea: https://help.salesforce.com/s/articleView?id=xcloud.sso_provider_openid_connect.htm&type=5

Create an Apex Registration Handler Class

Necesita crear una clase Apex personalizada que controle cómo se crean (o vinculan) los nuevos registros de usuario cuando alguien inicia sesión a través de Specops Authentication, usando OpenID Connect.

Inicie sesión en Salesforce, haga clic en el icono Ajustes y seleccione Open Advanced Setup.
En Quick Find, ingrese "Apex" y seleccione Apex Classes.
Haga clic en Nuevo.
Ingrese el código para crear la clase Apex. Consulte https://developer.salesforce.com/docs/atlas.en-us.apexref.meta/apexref/apex_auth_plugin.htm#apex_auth_plugin_example para un ejemplo de código. Cuando termine, haga clic en Guardar.

Agregar Proveedor de Autenticación

Inicie sesión en Salesforce. En Quick Find, escriba "auth" y seleccione Auth. Providers de la lista.
Haga clic en Nuevo.
Seleccione Provider Type: Open ID Connect.
Ingrese un nombre, por ejemplo "sa".
Para Consumer Key, ingrese ID del Cliente de Application Credentials en Specops Authentication.
Para Consumer Secret, ingrese Clave Secreta del Cliente de Application Credentials en Specops Authentication.
Para Authorize, Token y User Info Endpoint URL, ingrese las URL correspondientes de Specops Authentication.
Para Token Issuer, ingrese Emisor de Specops Authentication.
En Custom Logout URL, ingrese Punto de Acceso de Fin de Sesión de Specops Authentication.
Seleccione Registration Handler Type: Apex
Haga clic en el botón de búsqueda junto a Registration Handler y seleccione el manejador de registro que se creó anteriormente.
En Execute Registration As, seleccione un usuario existente.
Haga clic en Guardar.
Copie la Callback URL y guárdela por ahora. La agregará más tarde a la aplicación OpenID Connect en Specops Authentication.

Agregue las Redirect URLs a la aplicación OpenID Connect

Inicie sesión como administrador en Specops Authentication Web.
Haga clic en Inicio de Sesión Único.
Vaya a la aplicación OpenID Connect creada para Salesforce anteriormente y haga clic en Editar Aplicación.
En URLs de Redirección, agregue la Callback URL de Salesforce.
Haga clic en Guardar.

Agregue Specops Authentication a la página de inicio de sesión

Inicie sesión en Salesforce. En Quick Find, ingrese "Domain" y seleccione My Domain.
En Authentication Configuration, haga clic en Editar.
En Authentication Service, marque la casilla situada junto al proveedor de autenticación creado anteriormente.
Haga clic en Guardar.