如本文所述,我已成功设置 Azure AD 和 Salesforce 之间的 SSO 集成。
使用此配置,用户必须知道转到 Azure AD 访问面板才能登录 Salesforce。这似乎是使用 SAML 的标准身份提供者发起的 SSO。
我想将服务提供商启动的 SSO 与 Azure AD 一起使用。我希望用户能够打开深度链接的 Salesforce URL,重定向到 Azure AD 登录页面,然后重定向回最初请求的 URL。这可能吗?
问问题
4343 次
2 回答
3
我已与 Microsoft 确认 Windows Azure AD 不支持 Salesforce 的 SP 启动的 SAML 流。所有访问都必须从 Azure AD 访问面板启动。
微软正在努力在未来解决这个问题。
于 2014-02-18T19:27:11.763 回答
1
我们今天进行了设置,并且使用 Azure AD 身份验证的 Salesforce 发起的 SSO 可以正常工作。
任何 Salesforce SAML / SSO 身份验证的注释/警告:
您将必须设置一个自定义 salesforce 域:例如。yourdomain.my.salesforce.com
然后,用户需要接受培训才能去那里登录,并单击“Azure SSO”按钮而不是输入销售人员凭据。
或者,用户可以继续正常访问salesforce.com,但必须单击“登录到自定义域”,然后手动输入域名,这也构成了再培训,而且难度更大。
您可以选择让“Salesforce 密码”与 SAML/SSO 身份验证共存。如果您使用与 Salesforce 集成的任何东西,例如 DBSync 东西,则必须启用此功能。这是因为您必须在 salesforce 中使用管理员/用户帐户才能进行不太好的集成。现在应该存在一个用于集成的专用服务帐户系统,但这是另一个讨论。
注意:使用 Azure AD auth 登录实际上要快得多……看图。
Salesforce“客户端应用程序”(如 Chatter Desktop、Salesforce1 移动应用程序、Outlook 应用程序等)的设置和行为将发生一些变化。我们能够很容易地弄清楚它们,但是为员工提供教程的组织将需要新的文档。用户必须在手机上注销,手动输入新域……所有这些都需要文档。
设置流畅的用户预配相当复杂,需要在 Azure AD 端进行大量配置。涉及系统之间的匹配属性、定义许可证等。
最后,您正在将两个云系统之间的新依赖关系构建到您的环境中。万一你没有想到……这很重要。
总的来说,我们对集成感到非常高兴。这对我们来说太棒了,而且似乎很快。
于 2015-01-11T03:16:07.193 回答