Tutoriel : Intégration de l'authentification unique de Microsoft Entra à Salesforce

Ce tutoriel vous explique comment intégrer Salesforce à Microsoft Entra ID. Quand vous intégrez Salesforce à Microsoft Entra ID, vous pouvez :

  • Contrôler l'accès à Salesforce dans Microsoft Entra ID.
  • Permettre à vos utilisateurs d'être automatiquement connectés à Salesforce avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Abonnement Salesforce pour lequel l’authentification unique est activée.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

  • Salesforce prend en charge l’authentification unique initiée par un fournisseur de services.

  • Salesforce prend en charge l’attribution d’utilisateurs et la suppression des privilèges d’accès automatiques (recommandé).

  • Salesforce prend en charge l’attribution d’utilisateurs juste-à-temps.

  • L'application Salesforce Mobile peut désormais être configurée sur Microsoft Entra ID pour activer l'authentification unique. Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

Pour configurer l'intégration de Salesforce à Azure AD, vous devez ajouter Salesforce à partir de la galerie à votre liste d'applications SaaS managées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez Salesforce dans la zone de recherche.
  4. Sélectionnez Salesforce dans le volet des résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l'authentification unique Microsoft Entra pour Salesforce

Configurez et testez l'authentification unique Microsoft Entra sur Salesforce à l'aide d'un utilisateur test appelé B.Simon. Pour que l'authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l'utilisateur associé dans Salesforce.

Pour configurer et tester l'authentification unique Microsoft Entra avec Salesforce, procédez comme suit :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
  2. Configurer l’authentification unique Salesforce pour configurer les paramètres de l’authentification unique côté application.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Salesforce>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de modification/stylet de Configuration SAML de base pour modifier les paramètres.

    Modifier la configuration SAML de base

  5. Dans la section Configuration SAML de base, entrez les valeurs pour les champs suivants :

    a. Dans la zone de texte Identificateur, entrez la valeur au format suivant :

    Compte d’entreprise : https://<subdomain>.my.salesforce.com

    Compte de développeur : https://<subdomain>-dev-ed.my.salesforce.com

    b. Dans la zone de texte URL de réponse, tapez la valeur au format suivant :

    Compte d’entreprise : https://<subdomain>.my.salesforce.com

    Compte de développeur : https://<subdomain>-dev-ed.my.salesforce.com

    c. Dans la zone de texte URL de connexion, tapez la valeur au format suivant :

    Compte d’entreprise : https://<subdomain>.my.salesforce.com

    Compte de développeur : https://<subdomain>-dev-ed.my.salesforce.com

    Notes

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Pour obtenir ces valeurs, contactez l’équipe de support technique Salesforce.

  6. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    Lien Téléchargement de certificat

  7. Dans la section Configurer Salesforce, copiez la ou les URL appropriées, en fonction de vos besoins.

    Copier les URL de configuration

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser B. Simon à utiliser l’authentification unique en lui accordant l’accès à Salesforce.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Salesforce.
  3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
    1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
    2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
    3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique Salesforce

  1. Dans une autre fenêtre de navigateur web, connectez-vous à votre site d’entreprise Salesforce en tant qu’administrateur

  2. Cliquez sur Setup sous l’icône de paramètres en haut à droite de la page.

    Configurer l’authentification unique – Icône des paramètres

  3. Dans le volet de navigation, accédez à SETTINGS et cliquez sur Identity pour développer la section associée. Puis cliquez sur Paramètres de l’authentification unique.

    Configurer l’authentification unique – Paramètres

  4. Sur la page Paramètres de l’authentification unique, cliquez sur le bouton Modifier.

    Configurer l’authentification unique – Modifier

    Notes

    Si vous ne pouvez pas activer les paramètres de l’authentification unique pour votre compte Salesforce, il vous faudra peut-être contacter l’équipe du support technique de Salesforce.

  5. Sélectionnez SAML activé, puis cliquez sur Enregistrer.

    Configurer l’authentification unique – SAML activé

  6. Pour configurer vos paramètres d’authentification unique SAML, cliquez sur Nouveau à partir d’un fichier de métadonnées.

    Configurer l’authentification unique – Nouveau à partir d’un fichier de métadonnées

  7. Cliquez sur Sélectionner le fichier pour charger le fichier XML de métadonnées que vous avez téléchargé, puis cliquez sur Créer.

    Configurer l’authentification unique – Sélectionner le fichier

  8. Dans la page Paramètres d’authentification unique SAML, les champs sont remplis automatiquement. Si vous souhaitez utiliser l’option juste-à-temps SAML, sélectionnez Attribution d’utilisateurs activée et définissez Type d’identité SAML sur Assertion contenant l’ID de fédération de l’objet utilisateur. Dans le cas contraire, désélectionnez Attribution d’utilisateurs activée et définissez Type d’identité SAML sur Assertion contenant le nom d’utilisateur Salesforce de l’utilisateur. Cliquez sur Enregistrer.

    Configurer l’authentification unique – Provisionnement d’utilisateurs activé

    Remarque

    Si vous avez configuré SAML JIT, vous devez effectuer une étape supplémentaire dans la section Configurer l'authentification unique Microsoft Entra. L’application Salesforce s’attend à recevoir certaines assertions SAML, ce qui vous oblige à ajouter des mappages d’attributs spécifiques à votre configuration des attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs requis par Salesforce.

    Capture d’écran montrant le volet des attributs JIT obligatoires.

    Si vous rencontrez encore des problèmes liés à l’attribution d’utilisateurs avec SAML JIT, consultez la configuration requise pour l’attribution juste-à-temps et les champs d’assertion SAML. En règle générale, un échec de JIT s’accompagne d’une erreur semblable à We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. Dans le volet de navigation de gauche de Salesforce, cliquez sur Company Settings pour développer la section associée, puis cliquez sur My Domain.

    Configurer l’authentification unique – My domain

  10. Faites défiler le contenu de la fenêtre jusqu’à la section Configuration de l’authentification, puis cliquez sur le bouton Modifier.

    Configurer l’authentification unique – Configuration de l’authentification

  11. Dans la section Configuration de l’authentification, cochez Page de connexion et AzureSSO comme service d’authentification de votre configuration de l’authentification unique SAML, puis cliquez sur Enregistrer.

    Remarque

    Si plusieurs services d’authentification sont sélectionnés, les utilisateurs sont invités à choisir le service d’authentification qu’ils préfèrent utiliser pour se connecter lors de l’initialisation d’une authentification unique sur votre environnement Salesforce. Si vous ne voulez pas que cela se produise, vous devez décocher toutes les cases en regard des autres services d’authentification.

Créer un utilisateur de test Salesforce

Dans cette section, un utilisateur appelé B.Simon est créé dans Salesforce. Salesforce prend en charge l’approvisionnement juste-à-temps, option activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si un utilisateur n’existe pas dans Salesforce, un nouveau est créé lorsque vous tentez d’accéder à Salesforce. Salesforce prend également en charge l’attribution automatique d’utilisateurs. Des informations supplémentaires sur la configuration de l’attribution automatique d’utilisateurs sont disponibles ici.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL d’authentification de Salesforce où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion Salesforce pour lancer le processus de connexion.

  • Vous pouvez utiliser Mes applications de Microsoft. Quand vous cliquez sur la vignette Salesforce dans le portail Mes applications, vous êtes connecté automatiquement à l’application Salesforce pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur le portail Mes applications, consultez Introduction au portail Mes applications.

Tester l’authentification unique pour Salesforce (Mobile)

  1. Ouvrez l’application mobile Salesforce. Dans la page de connexion, cliquez sur Use Custom Domain (Utiliser un domaine personnalisé).

    Application mobile Salesforce – Utiliser un domaine personnalisé

  2. Dans la zone de texte Custom Domain (Domaine personnalisé), entrez votre nom de domaine personnalisé inscrit, puis cliquez sur Continue (Continuer).

    Application mobile Salesforce – Domaine personnalisé

  3. Entrez vos informations d'identification Microsoft Entra pour vous connecter à l'application Salesforce, puis cliquez sur Suivant.

    Identifiants Microsoft Entra de l'application mobile Salesforce

  4. Dans la page Autoriser l’accès, comme indiqué ci-dessous, cliquez sur Autoriser pour donner accès à l’application Salesforce.

    Application mobile Salesforce – Autoriser l’accès

  5. Une fois la connexion réussie, la page d’accueil de l’application s’affiche.

    Page d’accueil de l’application mobile SalesforceApplication mobile Salesforce

Empêcher l’accès aux applications via des comptes locaux

Une fois que vous avez validé que l’authentification unique fonctionne et que vous l’avez déployée dans votre organisation, désactivez l’accès aux applications à l’aide des informations d’identification locales. Cela garantit que vos stratégies d’accès conditionnel, la MFA, etc. seront en place pour protéger les connexions à Salesforce.

Étapes suivantes

Si vous avez Enterprise Mobility + Security E5 ou une autre licence pour Microsoft Defender for Cloud Apps, vous pouvez collecter une piste d’audit des activités d’application dans ce produit, qui peut être utilisée lors de l’examen des alertes. Dans Defender for Cloud Apps, des alertes peuvent être déclenchées lorsque les activités d’utilisateur, d’administrateur ou de connexion ne sont pas conformes à vos stratégies. En connectant Microsoft Defender for Cloud Apps à Salesforce, les événements de connexion Salesforce sont collectés par Defender for Cloud Apps.

De plus, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.