在 Microsoft Entra ID 中为 Salesforce 配置单点登录

本文介绍如何将 Salesforce 与 Microsoft Entra ID集成。 将 Salesforce 与 Microsoft Entra ID 集成后,可以:

  • 在Microsoft Entra ID中控制谁有权访问 Salesforce。
  • 让用户使用其Microsoft Entra帐户自动登录到 Salesforce。
  • 在中心位置管理帐户。

注意

我们知道,从 2026 年 2 月 3 日起,Salesforce 已强制实施单 Sign-On(SSO)登录的设备激活更改。 我们已与 Salesforce 团队密切合作,从 2 月 3 日开始,Salesforce 将开始接受默认情况下包含在Entra ID颁发的 SAML 令牌中的 authnmethodreferences 声明。 如果 authnmethodreferences 声明包含 多个身份验证的值,Salesforce 会将设备视为受信任的设备。 请确保将强制实施 MFA 的条件访问策略配置为满足此要求。 可以 在此处阅读有关此声明的详细信息。

对于将 OpenID Connect 身份验证与 Salesforce 搭配使用的客户,或者如果你已使用自定义 OpenID Connect 提供程序配置了 Salesforce,请确保仅使用 Entra ID V1 终结点,因为 V1 终结点可以向 Salesforce 提供令牌中的 AMR 声明。 V2 终结点支持即将推出,但直到那时,请仅使用 V1 终结点。

对于使用 AD FS 作为 Entra ID 联合提供程序的客户,请遵循此处发布的指南,以便 Entra ID 在 SAML 令牌中包含此声明。

先决条件

本文中概述的方案假定你已具备以下先决条件:

  • 启用了单一登录 (SSO) 的 Salesforce 订阅。

方案描述

本文介绍如何在测试环境中配置和测试Microsoft Entra SSO。

  • Salesforce 支持 SP 发起的 SSO。

  • Salesforce 支持自动用户预配和取消预配(推荐)。

  • Salesforce 支持实时用户预配。

  • 现在,可以使用 Microsoft Entra ID 配置 Salesforce Mobile 应用程序以启用 SSO。 本文介绍如何在测试环境中配置和测试Microsoft Entra SSO。

若要配置 Salesforce 与 Microsoft Entra ID 的集成,您需要从画廊中将 Salesforce 添加到您的托管 SaaS 应用程序列表中。

  1. 以至少 云应用程序管理员 的身份登录到 Microsoft Entra 管理中心
  2. 浏览到 Entra ID>企业应用>新建应用程序
  3. 在“从库中添加”部分的搜索框中,键入“Salesforce”
  4. 从结果面板中选择“Salesforce”,然后添加该应用。 等待几秒钟,以便将该应用添加到租户。

或者,也可以使用企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解Microsoft 365向导工具

配置并测试 Salesforce 的 Microsoft Entra SSO

使用名为B.Simon的测试用户配置和测试 Microsoft Entra SSO 对 Salesforce 的集成。 若要正常使用 SSO,需要在 Microsoft Entra 用户与 Salesforce 相关用户之间建立链接关系。

若要配置并测试 Salesforce 的 Microsoft Entra SSO,请执行以下步骤:

  1. Configure Microsoft Entra SSO - 让用户能够使用此功能。
    • 创建Microsoft Entra测试用户 - 使用 B.Simon 测试Microsoft Entra单一登录。
    • 分配Microsoft Entra测试用户 - 使 B.Simon 能够使用Microsoft Entra单一登录。
  2. 配置 Salesforce SSO - 在应用程序端配置单一登录设置。
    • 创建 Salesforce 测试用户 - 在 Salesforce 中创建与 B.Simon 对应的用户,并将其链接到 Microsoft Entra 中的用户表示形式。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 以至少 云应用程序管理员 的身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>企业应用>Salesforce>单一登录

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. “设置 SAML 单一登录” 页面上,选择 基本 SAML 配置 的编辑/笔图标以修改设置。

    编辑基本 SAML 配置

  5. 在“基本 SAML 配置”部分,输入以下字段的值:

    a。 在“标识符”文本框中,使用以下模式键入值:

    企业帐户:https://<subdomain>.my.salesforce.com

    开发人员帐户:https://<subdomain>-dev-ed.my.salesforce.com

    b. 在“回复 URL”文本框中,键入使用以下模式的值:

    企业帐户:https://<subdomain>.my.salesforce.com

    开发人员帐户:https://<subdomain>-dev-ed.my.salesforce.com

    c. 在“登录 URL”文本框中,使用以下模式键入值:

    企业帐户:https://<subdomain>.my.salesforce.com

    开发人员帐户:https://<subdomain>-dev-ed.my.salesforce.com

    注意

    这些值不是真实的。 使用实际标识符、回复 URL 和登录 URL 更新这些值。 请联系 Salesforce 客户端支持团队获取这些值。

  6. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中找到“联合元数据 XML”,选择“下载”以下载该证书并将其保存在计算机上 。

    证书下载链接

  7. 在“设置 Salesforce”部分,根据要求复制相应的 URL

    复制配置 URL

创建和分配Microsoft Entra测试用户

请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。

配置 Salesforce SSO

  1. 在另一个 Web 浏览器窗口中,以管理员身份登录到 Salesforce 公司站点

  2. 选择页面右上角设置图标下的安装

    配置单一登录设置图标

  3. 向下滚动到导航窗格中的 “设置 ”,选择“ 标识 ”以展开相关部分。 然后选择“单一登录设置”

    配置单一登录设置

  4. “单 Sign-On 设置”页上,选择“编辑”按钮。

    配置单一登录编辑

    注意

    如果无法为 Salesforce 帐户启用单一登录设置,可能需要联系 Salesforce 客户端支持团队

  5. 选择 “已启用 SAML”,然后选择“ 保存”。

    配置启用单一登录 SAML

  6. 若要配置 SAML 单一登录设置,请 从元数据文件选择“新建”。

    配置单一登录从元数据文件新建

  7. 选择“选择文件”以上传下载的元数据 XML 文件,然后选择“创建”。

    配置单一登录:选择文件

  8. 在“SAML 单一登录设置”页上,字段会自动填充,如果你要使用 SAML JIT,请选择“启用用户预配”,并将“SAML 标识类型”选为“断言包含来自用户对象的联合 ID”;否则,请取消选择“启用用户预配”,并将“SAML 标识类型”选为“断言包含用户的 Salesforce 用户名”。 选择“保存”

    配置启用单一登录用户配置

    注意

    如果配置了 SAML JIT,则必须完成 Configure Microsoft Entra SSO 部分中的附加步骤。 Salesforce 应用程序需要特定的 SAML 断言,这要求你在 SAML 令牌属性配置中具有特定属性。 以下屏幕截图显示了 Salesforce 所需属性的列表。

    显示 JIT 所需属性窗格的屏幕截图。

    如果在为用户预配 SAML JIT 方面仍有问题,请参阅实时预配要求和 SAML 断言字段。 通常,如果 JIT 失败,你可能会看到类似 We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help. 的错误

  9. 在 Salesforce 的左侧导航窗格中,选择“ 公司设置” 以展开相关部分,然后选择“ 我的域”。

    配置单一登录 - 我的域

  10. 向下滚动到 “身份验证配置” 部分,然后选择“ 编辑 ”按钮。

    配置单一登录身份验证配置

  11. “身份验证配置 ”部分中,选中 “登录页 ”和 “AzureSSO 作为 SAML SSO 配置的 身份验证服务 ”,然后选择“ 保存”。

    注意

    如果选择了多个身份验证服务,则当用户向 Salesforce 环境发起单一登录时,系统将提示他们选择登录时要使用的身份验证服务。 如果不希望发生这种情况,应将其他所有身份验证服务保持未选中状态。

创建 Salesforce 测试用户

在本部分,将在 Salesforce 中创建名为 B.Simon 的用户。 Salesforce 支持默认启用的即时制供应。 本节中没有需要你完成的事项。 尝试访问 Salesforce 时,如果 Salesforce 中没有用户,系统会创建一个新用户。 Salesforce 还支持自动用户预配,有关如何配置自动用户预配的更多详细信息,请参见此处

测试 SSO

在本部分中,将使用以下选项测试Microsoft Entra单一登录配置。

  • 选择“ 测试此应用程序”,此选项将重定向到 Salesforce 登录 URL,可在其中启动登录流。

  • 直接转到 Salesforce 登录 URL,并在其中启动登录流。

  • 可以使用Microsoft 我的应用。 在“我的应用”门户中选择 Salesforce 磁贴时,你应会自动登录到为其设置了 SSO 的 Salesforce。 有关我的应用门户的详细信息,请参阅 我的应用 门户简介

测试 Salesforce 移动版的 SSO

  1. 打开 Salesforce 移动应用程序。 在登录页上,选择“ 使用自定义域”。

    Salesforce 移动应用使用自定义域

  2. “自定义域 ”文本框中,输入已注册的自定义域名,然后选择“ 继续”。

    Salesforce 移动应用自定义域

  3. 输入Microsoft Entra凭据以登录到 Salesforce 应用程序,然后选择 Next

    Salesforce 移动应用的 Microsoft Entra 凭据

  4. 在“ 允许访问 ”页上,选择 “允许 ”以授予对 Salesforce 应用程序的访问权限。

    Salesforce 移动应用允许访问

  5. 最后,成功登录后,会显示应用程序主页。

    Salesforce 移动应用主页 Salesforce 移动应用

发现 Salesforce 中的现有用户

在与 Microsoft Entra 集成之前,Salesforce 帐户可能已有一个或多个用户。 使用帐户发现功能,可以生成 Salesforce 中所有用户的报告,确定哪些用户在 Entra 中具有匹配的帐户,以及哪些用户是 Salesforce 的本地用户,只需单击一下即可。 在此处了解有关帐户 发现功能的详细信息。 这使您能够简化加入 Entra 的过程,并定期监控未经授权的访问。

防止应用程序通过本地帐户进行访问

验证 SSO 是否正常工作并在组织中推出后,请使用本地凭据禁用应用程序访问。 这可确保条件访问策略、MFA 等已到位,以保护对 Salesforce 的登录。

相关内容

如果你有企业移动性 + 安全性 E5 或其他Microsoft Defender for Cloud Apps许可证,则可以收集该产品中应用程序活动的审核线索,在调查警报时可以使用。 在Defender for Cloud Apps中,当用户、管理员或登录活动不符合策略时,可以触发警报。 通过将 Microsoft Defender for Cloud Apps 连接到 Salesforce,Salesforce 登录事件由 Defender for Cloud Apps 收集。

此外,配置 Robin 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何使用 Microsoft Defender for Cloud Apps 强制实施会话控制

  • Last updated on