Configurer Salesforce comme fournisseur d’identité SAML

Configurez Salesforce en tant que fournisseur d’identité SAML en procédant comme suit :

1. Obtenez le certificat et les métadonnées Salesforce.

2. Configurez Auth0 en tant que fournisseur de services.

3. Configurez le fournisseur d’identité (IdP) Salesforce.

4. Accordez des privilèges aux utilisateurs dans Salesforce.

5. Testez la connexion à l’IdP de Salesforce.

Créez un compte sur Salesforce.com. Vous devez sélectionner un type de compte qui inclut la prise en charge du fournisseur d’identité.

1. Connectez-vous à votre compte Salesforce.

2. Créez votre domaine Salesforce.

3. Connectez-vous à votre domaine Salesforce https://{yourDomain}.my.salesforce.com et cliquez sur Configuration en haut à droite.

4. Dans la case Recherche rapide, saisissez Paramètres de l’authentification unique, sélectionnez Paramètres de l’authentification unique, puis cliquez sur Modifier.

5. Pour afficher les paramètres SAML SSO, sélectionnez SAML activé.

6. Sélectionnez le certificat par défaut et cliquez sur Enregistrer.

7. Cliquez sur Télécharger le certificat pour télécharger le certificat du fournisseur d’identité.

8. Cliquez sur Télécharger les métadonnées pour télécharger les métadonnées du fournisseur d’identité.

Configurez Auth0 en tant que fournisseur de services pour communiquer avec le fournisseur d’identité Salesforce pour l’authentification unique.

1. Rendez-vous à Dashboard > Authentification > Entreprise et cliquez sur SAML.

2. Cliquez sur Créer une connexion.

3. Dans la fenêtre de configuration, saisissez les informations suivantes :

   Paramètre	Description
   Nom de connexion	Donnez un nom à votre connexion. Par exemple SFIDP.
   Domaines de messagerie	Entrez le nom de domaine de messagerie à partir duquel vos utilisateurs se connecteront. Par exemple, si vos utilisateurs ont un domaine de messagerie abc-example.com, entrez-le dans ce champ. Vous pouvez entrer plusieurs domaines.
   URL de connexion	Ouvrez le fichier de métadonnées que vous avez téléchargé depuis Salesforce et localisez la ligne qui contient la liaison SingleSignOnService. La valeur de l’attribut location sur cette ligne est votre URL de connexion. Elle devrait ressembler à quelque chose comme : https://{sf-account-name}.my.salesforce.com/idp/endpoint/HttpRedirect où {sf-account-name} est votre nom de domaine Salesforce.
   URL de déconnexion	Entrez la même URL que vous avez saisie pour l’URL de connexion.

4. Pour le Certificat, convertissez le certificat téléchargé depuis Salesforce au format .pem à l’aide de la commande suivante : openssl x509 -in original.crt -out sfcert.pem -outform PEM où original.crt est le nom du fichier .crt téléchargé.

   1. Cliquez sur TÉLÉVERSER LE CERTIFICAT et sélectionnez le fichier .pem que vous venez de créer. (sfcert.pem dans l’exemple ci-dessus). Pour l’instant, vous pouvez ignorer les champs restants.

   2. Cliquez sur ENREGISTRER.

   3. Cliquez sur CONTINUER. La fenêtre qui s’affiche révèle les métadonnées SAML du fournisseur de services Auth0. Gardez cette fenêtre ouverte car vous devrez saisir certaines de ces informations dans Salesforce pour terminer la configuration.

Vous pouvez accéder aux métadonnées d’une connexion SAML Auth0 avec cette syntaxe URL : https://{yourDomain}/samlp/metadata?connection={yourConnectionName}.

Configurez Salesforce avec les métadonnées Auth0. Il pourra ainsi recevoir et répondre aux demandes d’authentification basées sur SAML provenant d’Auth0.

1. Ouvrez le site salesforce.com.

2. Rendez-vous dans Configuration > Gérer les applications. Cliquez sur Applications connectées.

3. Créez une nouvelle application connectée et remplissez les champs suivants.

   Paramètre	Description
   Identifiant entité	urn:auth0:YOUR_TENANT:YOUR_CONNECTION_NAME
   ACS URL	https://{yourDomain}/login/callback
   Type de sujet	Persistent ID
   Format de l’identifiant de nom	Choisissez-en un avec emailAddress
   Émetteur	https://{your-saleforce-domain}.my.salesforce.com

4. Cliquez sur Enregistrer pour terminer la configuration.

1. Ouvrez le site salesforce.com et cliquez sur Configuration.

2. Sous Gestion des utilisateurs, cliquez sur Profils.

3. Faites défiler pour trouver le profil appelé Utilisateur standard (à la page 2).

4. Cliquez sur Modifier pour modifier le profil.

5. Faites défiler jusqu’à la section Accès à l’application connectée.

6. Cochez la case à côté du nom de votre application connectée pour l’activer pour ce profil.

7. Cliquez sur Enregistrer.

8. Sous Gestion des utilisateurs, cliquez sur Utilisateurs.

9. Cliquez sur Modifier pour modifier votre utilisateur test et définir le profil sur Utilisateur standard. Pour utiliser un profil Salesforce différent, activez l’application connectée pour ce profil et assurez-vous que tous les utilisateurs qui se connectent à partir de ce fournisseur d’identité Salesforce possèdent ce profil.

1. Accédez à la section Authentification > Entreprise d’Auth0 Dashboard. Sélectionnez le fournisseur d’identité SAMLP.

2. Cliquez sur le bouton Essayer pour la connexion SAML que vous avez créée précédemment. Depuis Auth0, vous serez redirigé vers la page de connexion de Salesforce.

3. Une fois sur l’écran de connexion de Salesforce, connectez-vous avec les iidentifiants que vous avez fournies lors de la création du compte Salesforce.

   1. Si la configuration SAML fonctionne, votre navigateur sera redirigé vers une page Auth0 indiquant « Ça marche ! ». Cette page affiche le contenu de l’assertion d’authentification SAML envoyée par l’IDP Salesforce à Auth0.

   2. Si cela ne fonctionne pas, vérifiez à nouveau les étapes ci-dessus et consultez la section Dépannage ci-dessous.

Lors du dépannage de l’authentification unique, il est souvent utile de capturer une trace HTTP de l’interaction et de l’enregistrer dans un fichier HAR. Pour en savoir plus, lisez Générer et analyser des fichiers HAR.

Une fois le traceur http en place, capturez la séquence de connexion du début à la fin et analysez la trace pour trouver la séquence de GET. Une redirection de votre site d’origine vers l’IDP devrait s’afficher, ainsi qu’un affichage des identifiants, si vous avez dû vous connecter, puis une redirection vers l’URL de rappel. Le fichier HAR contiendra également la réponse SAML.

Assurez-vous que les témoins et JavaScript sont activés pour votre navigateur.

Assurez-vous que le profil de l’utilisateur dans Salesforce est autorisé à se connecter via l’IDP Salesforce (voir sectionº4 ci-dessus).