如何使用 OAuth 实施 Salesforce SSO

SSO，也称为登录，可以避免用户登录每个系统。 它将一个系统配置为依赖另一个系统来验证用户身份。 对用户进行身份验证的系统称为身份提供者，而信任身份提供者进行身份验证的系统称为服务提供者。

您还可以实施 Salesforce SSO 来减少攻击面的数量，因为用户每天仅登录一次并使用一组凭据。 此外，减少登录到一组凭据可以增强企业安全性。

我们可以使用第三方身份提供商、委托身份验证、OAuth 等来实施 Salesforce SSO。 您可以根据组织当前的基础架构、用户管理实践和安全要求选择任何方法。 您需要了解该流程，然后彻底推进。

在本文中，我们将使用 OAuth（一种开放协议，授权客户端应用程序通过令牌交换访问受保护资源中的数据）来实现 Salesforce SSO。

实施 Salesforce SSO – 让我们开始流程

首先，我们需要为 Salesforce SSO 创建 Connect 应用程序。 连接的应用程序是一个框架，使外部应用程序能够使用 API 和标准协议（例如 SAML、OAuth 和 OpenID 连接）与 Salesforce 集成。 此外，连接的应用程序使用这些协议对外部应用程序进行身份验证、授权和提供单点登录 (SSO)。 此类应用程序激活 SSO 或设置安全策略来限制第三方应用程序可以从您的组织访问哪些数据。

与 Salesforce 集成的外部应用程序可以在客户成功平台、其他平台、设备或 SaaS 订阅上运行。

例如，当您登录 Salesforce 移动应用程序并查看来自 Salesforce 组织的数据时，您正在使用连接的应用程序。

通过捕获有关外部应用程序的元数据，连接的应用程序会告诉 Salesforce 外部应用程序使用哪种协议（SAML、OAuth 和 OpenID Connect）以及外部应用程序在何处运行。 然后，Salesforce 可以授予外部应用程序对其数据的访问权限，并附加定义访问限制的策略，例如应用程序的访问权限何时过期。 Salesforce 还可以审核连接的应用程序使用情况。

我的 Salesforce.Org 如何使用连接的应用程序？

• 通过 API 集成访问数据
• 将服务提供商与 Salesforce 集成

通过 API 集成访问数据：

当开发人员或独立软件供应商 (ISV) 构建需要从 Salesforce 组织提取数据的基于 Web 或移动应用程序时，您可以使用连接的应用程序作为请求此数据的客户端。 为此，您需要创建一个与 Salesforce API 集成的连接应用程序。

另请阅读：如何连接 Pipedrive 和 Salesforce 集成

将服务提供商与 Salesforce 集成：

当 Salesforce 充当您的身份提供商时，您可以使用连接的应用程序将您的服务提供商与您的组织集成。 根据您组织的配置，您可以使用其中一种方法。

使用具有 SAML 2.0 的连接应用程序将服务提供商与您的组织集成。 当服务提供商或身份提供商启动流程时，Salesforce 支持 SAML 单点登录 (SSO)。

我在连接的应用程序中扮演什么角色？

简而言之，开发人员为连接的应用程序创建和配置授权流程，管理员设置策略和权限来控制连接的应用程序的使用。 但每个角色还有更多的意义。

• 互联应用程序开发人员
• 连接的应用程序管理员

使用连接的应用程序的步骤：

您需要遵循一些步骤。 这些步骤描述如下：

• 1. 域名设置
• 2. 配置文件必须访问用户对象
• 3. 连接的应用程序设置

域设置步骤：

转到设置 -> 快速查找框 -> 域管理 -> 单击域 -> 创建新域（如果尚不存在）

就我而言，域名是： gst-idp-dev-ed

配置文件访问用户对象

您为任何用户使用的配置文件可以是有权访问该用户的任何用户。

• 例如，这里是一个配置文件“标准用户”。 通过单击此配置文件，您可以将用户添加到此配置文件。

设置 -> 快速查找框 -> 配置文件 -> 标准用户配置文件 -> 单击标准用户或任何其他配置文件。

将外部用户添加到任何配置文件中，例如，我正在使用标准用户。

• 或者，在创建用户时，您可以将此配置文件分配给用户。

单击分配的用户

单击“新建用户”，然后添加用户

• 或者您可以创建一个新的自定义配置文件，该配置文件必须访问用户对象然后使用它。

设置 -> 快速查找框 -> 创建新用户或编辑现有用户 -> 分配标准用户配置文件或您创建的自定义配置文件。

如需定制请访问：

设置 -> 快速查找框 -> 配置文件 -> 创建具有用户访问权限的新配置文件。

连接的应用程序设置步骤：

设置 -> 快速查找框 -> 管理应用程序 -> 连接的应用程序 -> 创建连接的应用程序

就我而言，应用程序标签是GST_IDP，您可以提供任何名称和版本。

连接应用程序内的详细信息：

Consumer Key 和 Consumer Secret 由 Salesforce 自行生成。

GST系统调用API

访问您的基本信息（ID、个人资料、电子邮件、地址、电话）
完全访问（完全）

该 URL 将由 GST 系统使用。

选定的 OAuth 范围：

回调网址：

http://{域名}/Account/ExternalLoginCallback

域名将被站点 URL 替换，用户将使用该 URL 访问应用程序
前任：
https://gme-gst-test.bp.com/Account/ExternalLoginCallback

1.这将返回 Consumer Key 和 Consumer Secret

2. 然后我们需要将consumer key、c​​onsumer Secret和域名作为参数传递给.net API。

注意：每当您使用 API 与任何其他站点进行集成时，您都需要在远程站点设置中设置站点 URL。
如果您正在寻找经验丰富的销售人员顾问来提供销售人员开发服务，请与我们联系。

另请阅读：Salesforce Commerce Cloud 实施的优势

要点

现在，您已经了解了如何使用 OAuth 实现 SSO，以方便用户登录每个系统。 您可能会发现实现这一点很简单，但相信我们，它需要专业知识。 您可以联系领先的 Salesforce 咨询公司，提供完美的指导，以充分利用该平台。

当 Emizentech 为您提供最好的服务时，您无需到处寻找最好的公司。 我们拥有一支经验丰富的 Salesforce 顾问团队，协助全球客户完成他们的 Salesforce 项目。