Application Salesforce

Lorsque Salesforce est configuré pour utiliser Specops Authentication pour Single Sign-On (SSO), les utilisateurs qui tentent de se connecter à Salesforce sont redirigés vers Specops Authentication pour s’authentifier.

L’utilisateur verra une liste de services d’identité basée sur la stratégie configurée pour Salesforce dans Specops Authentication. Pour s’authentifier avec succès, l’utilisateur doit terminer un ou plusieurs de ces services d’identité. Une fois l’authentification réussie, l’utilisateur est redirigé vers Salesforce, qui valide le jeton OpenID Connect et autorise la connexion.

La stratégie qui définit les services d’identité peut être stockée dans Specops Authentication Cloud ou dans un objet de stratégie de groupe (GPO) dans Active Directory. Lors de la création d’une application Single Sign-On, les options de mode de stratégie suivantes sont disponibles :

Cloud - Tous les utilisateurs de l’organisation sont concernés.
Group Policy - Seuls les utilisateurs ciblés par un GPO balisé sont concernés.
Both - Tous les utilisateurs sont concernés. Si un utilisateur est également ciblé par un GPO balisé, la stratégie de groupe prend le pas sur la stratégie cloud.

Prérequis

Un compte Salesforce Cloud doit être disponible avant de poursuivre la configuration.
La fonctionnalité Specops Domain Name Protection doit être désactivée. Consultez Protection des noms de domaine.

Configurer une application Salesforce

Voici les principales étapes pour configurer une application Salesforce :

Configurer un objet de stratégie de groupe
Créer une application Single Sign-On
Ajouter Specops Authentication comme nouveau fournisseur d’authentification dans Salesforce

Configurer un objet de stratégie de groupe

Suivez ces étapes uniquement si vous sélectionnez Politique de groupe ou Les deux comme mode de stratégie lors de la création de l’application Single Sign-On.

Dans la console de gestion des stratégies de groupe, créez un objet de stratégie de groupe et nommez-le, par exemple, Salesforce.
Liez le GPO à un conteneur contenant des utilisateurs qui doivent pouvoir accéder à Salesforce.
Dans l’outil d’administration Gatekeeper, cliquez sur Single Sign-on.
Cliquez sur Tag GPOs, sélectionnez le GPO qui doit être disponible lors de la configuration d’une application OpenID Connect dans Specops Authentication, puis cliquez sur OK.

Créer une application Single Sign-On

Connectez-vous en tant qu’administrateur à Specops Authentication Web.
Cliquez sur Single Sign-On.
Cliquez sur Ajouter un nouveau.
Sélectionnez Modèle d'application : Salesforce. Protocole d'application est automatiquement défini sur OpenID Connect.
Cliquez sur Suivant.
Sous Paramètres généraux, saisissez un nom pour l’application et, éventuellement, une description.
Sous Redirect URL's, ajoutez les URL qui doivent être autorisées pour la redirection pendant l’authentification et la déconnexion. Laissez ce champ vide pour le moment. Une URL de rappel sera ajoutée plus tard, une fois le fournisseur d’authentification enregistré dans Salesforce.
Sous Mappage des revendications standard, configurez éventuellement les revendications contenant des informations sur l’utilisateur qui doivent être fournies depuis Active Directory à Salesforce. Cette liste sera préremplie avec les revendications utilisées par le gestionnaire d’inscription d’exemple dans la documentation Salesforce. Consultez Créer une classe Apex de gestionnaire d’inscription. Les revendications peuvent toujours être ajoutées, supprimées ou modifiées en fonction de vos besoins.
- Revendication : Sélectionnez un nom dans la liste des noms prédéfinis ou sélectionnez Personnalisé... pour saisir un nom personnalisé.
- Attribut AD ou valeur personnalisée : Sélectionnez une valeur dans la liste des attributs Active Directory ou sélectionnez Custom... pour saisir un nom personnalisé. Si un attribut AD est sélectionné, la revendication sera renseignée à partir de l’utilisateur lors de l’authentification. Si Custom est sélectionné, une valeur fixe est utilisée.
  
  Avertissement
  
  La revendication "sub" doit être mappée à un attribut AD immuable qui identifie l’utilisateur de manière unique. Ne mappez jamais "sub" à l’attribut "mail", par exemple, car cela pourrait permettre à un utilisateur malveillant d’accéder au compte d’un autre utilisateur. Par défaut, la revendication "sub" sera mappée à "objectGUID".
Cliquez sur Suivant : Mappage des revendications de groupe.

Remarque

Les revendications standard ajoutées dans Mappage des revendications standard sont toujours envoyées à la partie de confiance. Les revendications de groupe saisies dans Mappage des revendications de groupe sont des revendications supplémentaires ajoutées au jeton OIDC pour les utilisateurs membres des groupes AD sélectionnés.

Cette configuration ne contrôle pas quels utilisateurs peuvent accéder à l’application. L’accès à l’application est contrôlé par Policy Configuration, ce qui signifie que les utilisateurs des groupes sélectionnés doivent également être inclus dans une stratégie pour pouvoir accéder à l’application.
Sous Ajouter de nouvelles revendications de groupe, ajoutez éventuellement des revendications pour des groupes de sécurité. Saisissez le nom d’un groupe dans Active Directory et cliquez sur Ajouter.
Saisissez une ou plusieurs revendications et valeurs de revendication pour le groupe, puis cliquez sur Enregistrer.
Cliquez sur Suivant : Configuration de la politique.

Remarque

Policy Configuration détermine à quels utilisateurs la stratégie d’application s’applique et quelles règles d’authentification leur sont imposées. Seuls les utilisateurs inclus dans une stratégie sont autorisés à accéder à l’application. Les utilisateurs qui ne sont inclus dans aucune stratégie n’auront pas accès.
Sélectionnez un Mode de politique dans la liste.
Si vous avez sélectionné Politique de groupe ou Les deux comme mode de stratégie, choisissez votre GPO Salesforce dans la liste Objets de politique de groupe (GPO) et cliquez sur Ajouter.
Cliquez sur Modifier les règles d'authentification à côté du GPO ajouté. Configurez les règles d’authentification souhaitées, puis cliquez sur Enregistrer.
Si vous avez sélectionné Cloud ou Les deux comme mode de stratégie, cliquez sur Configurer et ajoutez les services d’identité que vous souhaitez inclure.
Cliquez sur J'ai terminé.
La page Identifiants de l'application affiche les informations d’identification et les URL qui peuvent être nécessaires lors de la configuration de Specops Authentication comme fournisseur d’identité dans Salesforce.
Copiez la valeur Secret actuel du client sous ID du client et enregistrez-la pour une utilisation ultérieure. Il s’agit de la valeur du secret client qui doit être saisie dans la configuration de la partie de confiance.

Important !

La valeur Secret actuel du client n’est affichée qu’une seule fois. Après avoir quitté cette page, elle ne peut plus être affichée ni copiée.
Lorsque vous avez terminé, cliquez sur Fermer.

Pour obtenir des informations sur rotation et révocation d’un secret client, consultez la section suivante.

Rotation et révocation d’un secret client

La rotation crée un nouveau Secret actuel du client et conserve temporairement l’ancien secret disponible. La révocation supprime l’ancien secret client afin qu’il ne puisse plus être utilisé. Utilisez ces options pour remplacer le secret client actuel ou révoquer définitivement un ancien secret.

Cliquez sur Voir les identifiants à côté de l’application OIDC sur la page Applications Single Sign-On configurées.
Sur la page Identifiants de l'application :
1. Cliquez sur Faire pivoter le secret pour générer un nouveau Secret actuel du client. Le secret client actuel précédent devient un ancien secret client. Si un ancien secret existe déjà, il est remplacé. Les deux secrets restent valides jusqu’à ce que l’ancien secret client soit révoqué ou remplacé par une autre rotation.
2. Cliquez sur Révoquer l’ancien secret pour supprimer définitivement l’ancien secret client. Une fois révoqué, l’ancien secret ne peut plus être utilisé et le nouveau Secret actuel du client reste actif.

Ajouter Specops Authentication comme nouveau fournisseur d’authentification

Voici les étapes minimales pour ajouter la nouvelle application OpenID Connect dans Salesforce. Pour plus d’informations, consultez : https://help.salesforce.com/s/articleView?id=xcloud.sso_provider_openid_connect.htm&type=5

Create an Apex Registration Handler Class

Vous devez créer une classe Apex personnalisée qui contrôle la façon dont de nouveaux enregistrements utilisateur sont créés ou liés lorsqu’un utilisateur se connecte via Specops Authentication à l’aide d’OpenID Connect.

Connectez-vous à Salesforce, cliquez sur l’icône Paramètres et sélectionnez Open Advanced Setup.
Dans Quick Find, saisissez "Apex" et sélectionnez Apex Classes.
Cliquez sur Nouvelles.
Saisissez le code permettant de créer la classe Apex. Consultez https://developer.salesforce.com/docs/atlas.en-us.apexref.meta/apexref/apex_auth_plugin.htm#apex_auth_plugin_example pour voir un exemple de code. Une fois terminé, cliquez sur Enregistrer.

Ajouter un fournisseur d’authentification

Connectez-vous à Salesforce. Dans Quick Find, tapez "auth" et sélectionnez Auth. Providers dans la liste.
Cliquez sur Nouvelles.
Sélectionnez Provider Type : Open ID Connect.
Saisissez un nom, par exemple "sa".
Pour Consumer Key, saisissez le ID du client provenant de Application Credentials dans Specops Authentication.
Pour Consumer Secret, saisissez le Secret du client provenant de Application Credentials dans Specops Authentication.
Pour Authorize, Jeton et User Info Endpoint URL, saisissez les URL correspondantes provenant de Specops Authentication.
Pour Token Issuer, saisissez l’Émetteur de Specops Authentication.
Dans Custom Logout URL, saisissez l’Point de terminaison de fin de session de Specops Authentication.
Sélectionnez Registration Handler Type : Apex
Cliquez sur le bouton de recherche à côté de Registration Handler et sélectionnez le gestionnaire d’inscription créé précédemment.
Dans Execute Registration As, sélectionnez un utilisateur existant.
Cliquez sur Enregistrer.
Copiez l’Callback URL et conservez-la pour l’instant. Vous l’ajouterez plus tard à l’application OpenID Connect dans Specops Authentication.

Ajouter les Redirect URLs à l’application OpenID Connect

Connectez-vous en tant qu’administrateur à Specops Authentication Web.
Cliquez sur Authentification unique.
Accédez à l’application OpenID Connect créée précédemment pour Salesforce, puis cliquez sur Modifier l'application.
Sous URLs de redirection, ajoutez l’Callback URL de Salesforce.
Cliquez sur Enregistrer.

Ajouter Specops Authentication à la page de connexion

Connectez-vous à Salesforce. Dans Quick Find, saisissez "Domain" et sélectionnez My Domain.
Sous Authentication Configuration, cliquez sur Éditer.
Sous Authentication Service, cochez la case correspondant au fournisseur d’authentification créé précédemment.
Cliquez sur Enregistrer.