如何使用 OAuth 實作 Salesforce SSO

已發表: 2023-11-23

SSO,也稱為登錄,可以避免使用者登入每個系統。 它將一個系統配置為依賴另一個系統來驗證使用者身分。 對使用者進行身份驗證的系統稱為身分提供者,而信任身分提供者進行身份驗證的系統稱為服務提供者。

您也可以實作 Salesforce SSO 來減少攻擊面的數量,因為使用者每天只登入一次並使用一組憑證。 此外,減少登入到一組憑證可以增強企業安全性。

我們可以使用第三方身分提供者、委託身分驗證、OAuth 等來實作 Salesforce SSO。 您可以根據組織目前的基礎架構、使用者管理實務和安全性需求選擇任何方法。 您需要了解流程,然後徹底推進。

在本文中,我們將使用 OAuth(一種開放協議,授權客戶端應用程式透過令牌交換存取受保護資源中的資料)來實作 Salesforce SSO。

目錄

實作 Salesforce SSO – 讓我們開始流程

首先,我們需要為 Salesforce SSO 建立 Connect 應用程式。 連接的應用程式是一個框架,使外部應用程式能夠使用 API 和標準協定(例如 SAML、OAuth 和 OpenID 連接)與 Salesforce 整合。 此外,連接的應用程式使用這些協定對外部應用程式進行身份驗證、授權和提供單一登入 (SSO)。 此類應用程式啟動 SSO 或設定安全策略來限制第三方應用程式可以從您的組織存取哪些資料。

銷售隊伍

與 Salesforce 整合的外部應用程式可以在客戶成功平台、其他平台、裝置或 SaaS 訂閱上運行。

例如,當您登入 Salesforce 行動應用程式並查看來自 Salesforce 組織的資料時,您正在使用已連接的應用程式。

透過擷取有關外部應用程式的元數據,連接的應用程式會告訴 Salesforce 外部應用程式使用哪種協定(SAML、OAuth 和 OpenID Connect)以及外部應用程式在何處運行。 然後,Salesforce 可以授予外部應用程式對其資料的存取權限,並附加定義存取限制的策略,例如應用程式的存取權限何時過期。 Salesforce 還可以審核連線的應用程式使用情況。

我的 Salesforce.Org 如何使用已連接的應用程式?

  • 透過 API 整合存取數據
  • 將服務提供者與 Salesforce 集成

透過 API 整合存取資料:

當開發人員或獨立軟體供應商 (ISV) 建置需要從 Salesforce 組織提取資料的基於 Web 或行動應用程式時,您可以使用連接的應用程式作為請求此資料的用戶端。 為此,您需要建立一個與 Salesforce API 整合的連接應用程式。

另請閱讀:如何連接 Pipedrive 和 Salesforce 集成

將服務提供者與 Salesforce 整合:

當 Salesforce 充當您的身分提供者時,您可以使用連接的應用程式將您的服務提供者與您的組織整合。 根據您組織的配置,您可以使用其中一種方法。

使用具有 SAML 2.0 的連接應用程式將服務提供者與您的組織整合。 當服務提供者或身分提供者啟動流程時,Salesforce 支援 SAML 單一登入 (SSO)。

我在連接的應用程式中扮演什麼角色?

簡而言之,開發人員為連接的應用程式建立和配置授權流程,管理員設定策略和權限來控制連接的應用程式的使用。 但每個角色還有更多的意義。

  • 互聯應用程式開發人員
  • 連接的應用程式管理員

使用連接的應用程式的步驟:

您需要遵循一些步驟。 這些步驟說明如下:

  • 1. 域名設定
  • 2. 設定檔必須存取使用者對象
  • 3. 連接的應用程式設定

域設定步驟:

域設定步驟

前往設定 -> 快速尋找框 -> 網域管理 -> 按一下網域 -> 建立新網域(如果尚不存在)

就我而言,網域是: gst-idp-dev-ed

設定檔存取使用者對象

您為任何使用者使用的設定檔可以是有權存取該使用者的任何使用者。

  • 例如,這裡是一個設定檔“標準用戶”。 透過點擊此配置文件,您可以將使用者新增至此設定檔。

設定 -> 快速尋找框 -> 設定檔 -> 標準使用者設定檔 -> 按一下標準使用者或任何其他設定檔。

標準使用者資料

將外部使用者新增至任何設定檔中,例如,我正在使用標準使用者。

  • 或者,在建立使用者時,您可以將此設定檔指派給使用者。

點擊分配的用戶標準用戶

按一下“新建用戶”,然後新增用戶Salesforce 標準用戶

  • 或者您可以建立一個新的自訂設定文件,該設定檔必須存取使用者物件然後使用它。

設定 -> 快速尋找框 -> 建立新使用者或編輯現有使用者 -> 指派標準使用者設定檔或您建立的自訂設定檔。

如需客製化請造訪:

如需客製化請前往

設定 -> 快速尋找框 -> 設定檔 -> 建立具有使用者存取權限的新設定檔。

連接的應用程式設定步驟:

連接的應用程式設定步驟

設定 -> 快速尋找框 -> 管理應用程式 -> 連接的應用程式 -> 建立連接的應用程式

消費稅_IDP

就我而言,應用程式標籤是GST_IDP,您可以提供任何名稱和版本。

連接應用程式內的詳細資訊: 連接應用程式內的詳細信息

Consumer Key 和 Consumer Secret 由 Salesforce 自行產生。

聘請銷售人員開發人員

GST系統呼叫API

存取您的基本資訊(ID、個人資料、電子郵件、地址、電話)
完全訪問(完全)

該 URL 將由 GST 系統使用。

選定的 OAuth 範圍:

回呼網址:

http://{網域}/Account/ExternalLoginCallback

網域名稱將被網站 URL 替換,用戶將使用該 URL 存取應用程式
前任:
https://gme-gst-test.bp.com/Account/ExternalLoginCallback

消費者金鑰與消費者秘密

1.這將返回 Consumer Key 和 Consumer Secret

傳遞消費者金鑰、消費者秘密

2. 然後我們需要將consumer key、c​​onsumer Secret和網域作為參數傳遞給.net API。

遠端站點設定

注意:每當您使用 API 與任何其他網站整合時,您都需要在遠端網站設定中設定網站 URL。
如果您正在尋找經驗豐富的銷售人員顧問來提供銷售人員開發服務,請與我們聯絡。

另請閱讀:Salesforce Commerce Cloud 實施的優勢

重點

現在,您已經了解如何使用 OAuth 實作 SSO,以方便使用者登入每個系統。 您可能會發現實現這一點很簡單,但相信我們,它需要專業知識。 您可以聯繫領先的 Salesforce 顧問公司,提供完美的指導,以充分利用平台。

當 Emizentech 為您提供最好的服務時,您無需到處尋找最好的公司。 我們擁有一支經驗豐富的 Salesforce 顧問團隊,協助全球客戶完成他們的 Salesforce 專案。