Tutoriel : Intégration de l'authentification unique de Microsoft Entra à Salesforce
Ce tutoriel vous explique comment intégrer Salesforce à Microsoft Entra ID. Quand vous intégrez Salesforce à Microsoft Entra ID, vous pouvez :
- Contrôler l'accès à Salesforce dans Microsoft Entra ID.
- Permettre à vos utilisateurs d'être automatiquement connectés à Salesforce avec leurs comptes Microsoft Entra.
- Gérer vos comptes à partir d’un emplacement central.
Prérequis
Pour commencer, vous devez disposer de ce qui suit :
- Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
- Abonnement Salesforce pour lequel l’authentification unique est activée.
Description du scénario
Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.
Salesforce prend en charge l’authentification unique initiée par un fournisseur de services.
Salesforce prend en charge l’attribution d’utilisateurs et la suppression des privilèges d’accès automatiques (recommandé).
Salesforce prend en charge l’attribution d’utilisateurs juste-à-temps.
L'application Salesforce Mobile peut désormais être configurée sur Microsoft Entra ID pour activer l'authentification unique. Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.
Ajout de Salesforce à partir de la galerie
Pour configurer l'intégration de Salesforce à Azure AD, vous devez ajouter Salesforce à partir de la galerie à votre liste d'applications SaaS managées.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
- Dans la section Ajouter à partir de la galerie, tapez Salesforce dans la zone de recherche.
- Sélectionnez Salesforce dans le volet des résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.
Configurer et tester l'authentification unique Microsoft Entra pour Salesforce
Configurez et testez l'authentification unique Microsoft Entra sur Salesforce à l'aide d'un utilisateur test appelé B.Simon. Pour que l'authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l'utilisateur associé dans Salesforce.
Pour configurer et tester l'authentification unique Microsoft Entra avec Salesforce, procédez comme suit :
- Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
- Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
- Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
- Configurer l’authentification unique Salesforce pour configurer les paramètres de l’authentification unique côté application.
- Créez un utilisateur test Salesforce pour disposer dans Salesforce d'un équivalent de B.Simon lié à la représentation Microsoft Entra de l'utilisateur.
- Tester l’authentification unique pour vérifier si la configuration fonctionne.
Configurer Microsoft Entra SSO
Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>Salesforce>Authentification unique.
Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de modification/stylet de Configuration SAML de base pour modifier les paramètres.
Dans la section Configuration SAML de base, entrez les valeurs pour les champs suivants :
a. Dans la zone de texte Identificateur, entrez la valeur au format suivant :
Compte d’entreprise :
https://<subdomain>.my.salesforce.com
Compte de développeur :
https://<subdomain>-dev-ed.my.salesforce.com
b. Dans la zone de texte URL de réponse, tapez la valeur au format suivant :
Compte d’entreprise :
https://<subdomain>.my.salesforce.com
Compte de développeur :
https://<subdomain>-dev-ed.my.salesforce.com
c. Dans la zone de texte URL de connexion, tapez la valeur au format suivant :
Compte d’entreprise :
https://<subdomain>.my.salesforce.com
Compte de développeur :
https://<subdomain>-dev-ed.my.salesforce.com
Notes
Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Pour obtenir ces valeurs, contactez l’équipe de support technique Salesforce.
Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.
Dans la section Configurer Salesforce, copiez la ou les URL appropriées, en fonction de vos besoins.
Créer un utilisateur de test Microsoft Entra
Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs.
- Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
- Dans les propriétés Utilisateur, effectuez les étapes suivantes :
- Dans le champ Nom d’affichage, entrez
B.Simon
. - Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple :
B.Simon@contoso.com
. - Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
- Sélectionnez Revoir + créer.
- Dans le champ Nom d’affichage, entrez
- Sélectionnez Create (Créer).
Attribuer l’utilisateur test Microsoft Entra
Dans cette section, vous allez autoriser B. Simon à utiliser l’authentification unique en lui accordant l’accès à Salesforce.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>Salesforce.
- Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
- Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
- Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
- Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
- Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.
Configurer l’authentification unique Salesforce
Dans une autre fenêtre de navigateur web, connectez-vous à votre site d’entreprise Salesforce en tant qu’administrateur
Cliquez sur Setup sous l’icône de paramètres en haut à droite de la page.
Dans le volet de navigation, accédez à SETTINGS et cliquez sur Identity pour développer la section associée. Puis cliquez sur Paramètres de l’authentification unique.
Sur la page Paramètres de l’authentification unique, cliquez sur le bouton Modifier.
Notes
Si vous ne pouvez pas activer les paramètres de l’authentification unique pour votre compte Salesforce, il vous faudra peut-être contacter l’équipe du support technique de Salesforce.
Sélectionnez SAML activé, puis cliquez sur Enregistrer.
Pour configurer vos paramètres d’authentification unique SAML, cliquez sur Nouveau à partir d’un fichier de métadonnées.
Cliquez sur Sélectionner le fichier pour charger le fichier XML de métadonnées que vous avez téléchargé, puis cliquez sur Créer.
Dans la page Paramètres d’authentification unique SAML, les champs sont remplis automatiquement. Si vous souhaitez utiliser l’option juste-à-temps SAML, sélectionnez Attribution d’utilisateurs activée et définissez Type d’identité SAML sur Assertion contenant l’ID de fédération de l’objet utilisateur. Dans le cas contraire, désélectionnez Attribution d’utilisateurs activée et définissez Type d’identité SAML sur Assertion contenant le nom d’utilisateur Salesforce de l’utilisateur. Cliquez sur Enregistrer.
Remarque
Si vous avez configuré SAML JIT, vous devez effectuer une étape supplémentaire dans la section Configurer l'authentification unique Microsoft Entra. L’application Salesforce s’attend à recevoir certaines assertions SAML, ce qui vous oblige à ajouter des mappages d’attributs spécifiques à votre configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs requis par Salesforce.
Si vous rencontrez encore des problèmes liés à l’attribution d’utilisateurs avec SAML JIT, consultez la configuration requise pour l’attribution juste-à-temps et les champs d’assertion SAML. En règle générale, un échec de JIT s’accompagne d’une erreur semblable à
We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.
Dans le volet de navigation de gauche de Salesforce, cliquez sur Company Settings pour développer la section associée, puis cliquez sur My Domain.
Faites défiler le contenu de la fenêtre jusqu’à la section Configuration de l’authentification, puis cliquez sur le bouton Modifier.
Dans la section Configuration de l’authentification, cochez Page de connexion et AzureSSO comme service d’authentification de votre configuration de l’authentification unique SAML, puis cliquez sur Enregistrer.
Remarque
Si plusieurs services d’authentification sont sélectionnés, les utilisateurs sont invités à choisir le service d’authentification qu’ils préfèrent utiliser pour se connecter lors de l’initialisation d’une authentification unique sur votre environnement Salesforce. Si vous ne voulez pas que cela se produise, vous devez décocher toutes les cases en regard des autres services d’authentification.
Créer un utilisateur de test Salesforce
Dans cette section, un utilisateur appelé B.Simon est créé dans Salesforce. Salesforce prend en charge l’approvisionnement juste-à-temps, option activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si un utilisateur n’existe pas dans Salesforce, un nouveau est créé lorsque vous tentez d’accéder à Salesforce. Salesforce prend également en charge l’attribution automatique d’utilisateurs. Des informations supplémentaires sur la configuration de l’attribution automatique d’utilisateurs sont disponibles ici.
Tester l’authentification unique (SSO)
Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.
Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL d’authentification de Salesforce où vous pouvez lancer le flux de connexion.
Accédez directement à l’URL de connexion Salesforce pour lancer le processus de connexion.
Vous pouvez utiliser Mes applications de Microsoft. Quand vous cliquez sur la vignette Salesforce dans le portail Mes applications, vous êtes connecté automatiquement à l’application Salesforce pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur le portail Mes applications, consultez Introduction au portail Mes applications.
Tester l’authentification unique pour Salesforce (Mobile)
Ouvrez l’application mobile Salesforce. Dans la page de connexion, cliquez sur Use Custom Domain (Utiliser un domaine personnalisé).
Dans la zone de texte Custom Domain (Domaine personnalisé), entrez votre nom de domaine personnalisé inscrit, puis cliquez sur Continue (Continuer).
Entrez vos informations d'identification Microsoft Entra pour vous connecter à l'application Salesforce, puis cliquez sur Suivant.
Dans la page Autoriser l’accès, comme indiqué ci-dessous, cliquez sur Autoriser pour donner accès à l’application Salesforce.
Une fois la connexion réussie, la page d’accueil de l’application s’affiche.
Empêcher l’accès aux applications via des comptes locaux
Une fois que vous avez validé que l’authentification unique fonctionne et que vous l’avez déployée dans votre organisation, désactivez l’accès aux applications à l’aide des informations d’identification locales. Cela garantit que vos stratégies d’accès conditionnel, la MFA, etc. seront en place pour protéger les connexions à Salesforce.
Étapes suivantes
Si vous avez Enterprise Mobility + Security E5 ou une autre licence pour Microsoft Defender for Cloud Apps, vous pouvez collecter une piste d’audit des activités d’application dans ce produit, qui peut être utilisée lors de l’examen des alertes. Dans Defender for Cloud Apps, des alertes peuvent être déclenchées lorsque les activités d’utilisateur, d’administrateur ou de connexion ne sont pas conformes à vos stratégies. En connectant Microsoft Defender for Cloud Apps à Salesforce, les événements de connexion Salesforce sont collectés par Defender for Cloud Apps.
De plus, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.