Passer au contenu principal
Configurez Salesforce comme en effectuant les étapes suivantes :
  1. Obtenez le certificat et les métadonnées de Salesforce.
  2. Configurez Auth0 comme fournisseur de services.
  3. Configurez le fournisseur d’identité Salesforce (IdP).
  4. Accordez des privilèges aux utilisateurs dans Salesforce.
  5. Testez la connexion à l’IdP Salesforce.

Prérequis

Créez un compte Salesforce.com. Vous devez choisir un type de compte qui prend en charge les fournisseurs d’identité.

Obtenir le certificat et les métadonnées Salesforce

  1. Connectez-vous à votre compte Salesforce.
  2. Créez votre Domaine Salesforce.
  3. Connectez-vous à votre Domaine Salesforce https://{yourDomain}.my.salesforce.com, puis cliquez sur Setup en haut à droite.
  4. Dans la zone Quick Find, saisissez Single Sign-On Settings, puis sélectionnez Single Sign-On Settings et cliquez sur Edit.
  5. Pour afficher les paramètres de SSO SAML, sélectionnez SAML Enabled
  6. Sélectionnez le certificat par défaut, puis cliquez sur Save.
  7. Cliquez sur Download Certificate pour télécharger le certificat du fournisseur d’identité.
  8. Cliquez sur Download Metadata pour télécharger les métadonnées du fournisseur d’identité.

Configurer Auth0 comme fournisseur de services

Configurez Auth0 comme fournisseur de services pour communiquer avec le fournisseur d’identité Salesforce dans le cadre du .
  1. Accédez à Auth0 Dashboard > Authentication > Enterprise et cliquez sur SAML.
  2. Cliquez sur Create Connection.
  3. Dans la fenêtre de configuration, saisissez les renseignements suivants :
ParamètreDescription
Connection NameDonnez un nom à votre connexion. Par exemple, SFIDP.
Email DomainsSaisissez le nom de Domaine de courriel à partir duquel vos utilisateurs se connecteront. Par exemple, si vos utilisateurs ont le Domaine de courriel abc-example.com, saisissez-le dans ce champ. Vous pouvez entrer plusieurs Domaines.
Sign In URLOuvrez le fichier de métadonnées que vous avez téléchargé depuis Salesforce et repérez la ligne qui contient la liaison SingleSignOnService. La valeur de l’attribut location sur cette ligne correspond à votre URL de connexion. Elle ressemblera à ceci : https://{sf-account-name}.my.salesforce.com/idp/endpoint/HttpRedirect, où {sf-account-name} correspond à votre nom de Domaine Salesforce.
Sign Out URLSaisissez la même URL que celle indiquée pour Sign In URL.
  1. Pour le Certificate, convertissez le certificat téléchargé depuis Salesforce au format .pem à l’aide de la commande suivante : openssl x509 -in original.crt -out sfcert.pem -outform PEMoriginal.crt est le nom du fichier .crt téléchargé.
    1. Cliquez sur UPLOAD CERTIFICATE et sélectionnez le fichier .pem que vous venez de créer (sfcert.pem dans l’exemple ci-dessus). Vous pouvez ignorer le reste des champs pour l’instant.
    2. Cliquez sur SAVE.
    3. Cliquez sur CONTINUE. Dans la fenêtre qui s’affiche, les métadonnées SAML du fournisseur de services Auth0 s’affichent. Gardez cette fenêtre ouverte, car vous devrez saisir une partie de ces renseignements dans Salesforce pour terminer la configuration.
Vous pouvez accéder aux métadonnées d’une connexion SAML Auth0 à l’aide de cette syntaxe d’URL : https://{yourDomain}/samlp/metadata?connection={yourConnectionName}.

Configurer Salesforce comme fournisseur d’identité

Configurez Salesforce avec les métadonnées d’Auth0 afin qu’il puisse recevoir les requêtes d’authentification SAML d’Auth0 et y répondre.
  1. Ouvrez salesforce.com.
  2. Accédez à Setup > Manage Apps, puis cliquez sur Connected Apps.
  3. Créez une nouvelle Connected App et remplissez les champs suivants :
ParamètreDescription
Identifiant d’entitéurn:auth0:YOUR_TENANT:YOUR_CONNECTION_NAME
URL ACShttps://{yourDomain}/login/callback
Type de sujetPersistent ID
Format du Name IDChoisissez celui qui contient emailAddress
Émetteurhttps://{your-saleforce-domain}.my.salesforce.com
  1. Cliquez sur Save pour terminer la configuration.

Accorder des autorisations aux utilisateurs dans Salesforce

  1. Ouvrez salesforce.com et cliquez sur Setup.
  2. Sous Manage Users, cliquez sur Profiles.
  3. Faites défiler la page vers le bas pour trouver le profil Standard User (sur la page 2).
  4. Cliquez sur Edit pour modifier le profil.
  5. Faites défiler la page jusqu’à la section Connected App Access.
  6. Cochez la case à côté du nom de votre application connectée pour l’activer pour ce profil.
  7. Cliquez sur Save.
  8. Sous Manage Users, cliquez sur Users.
  9. Cliquez sur Edit pour modifier votre utilisateur de test et définissez le profil sur Standard User. Pour utiliser un autre profil Salesforce, activez l’application connectée pour ce profil et assurez-vous que tous les utilisateurs qui se connectent au moyen du fournisseur d’identité Salesforce ont ce profil.

Tester la connexion à Salesforce

  1. Accédez à la section Authentication > Enterprise dans l’Auth0 Dashboard. Sélectionnez le fournisseur d’identité SAMLP.
  2. Cliquez sur le bouton Try de la connexion SAML que vous avez créée précédemment. Vous devriez être redirigé d’Auth0 vers la page de connexion de Salesforce.
  3. Une fois sur l’écran de connexion Salesforce, connectez-vous avec les identifiants fournis lors de la création du compte Salesforce.
    1. Si la configuration SAML fonctionne, votre navigateur sera redirigé vers une page Auth0 affichant “It works!!!”. Cette page affichera le contenu de l’assertion d’authentification SAML envoyée par l’IdP Salesforce à Auth0.
    2. Si cela ne fonctionne pas, revérifiez les étapes ci-dessus et consultez la section dépannage ci-dessous.
Lors du dépannage du SSO, il est souvent utile de capturer une trace HTTP de l’interaction et de l’enregistrer dans un fichier HAR. Pour en savoir plus, consultez Generate and Analyze HAR Files.
Avant de partager un fichier HAR avec qui que ce soit (y compris Auth0), assurez-vous de supprimer ou d’obfusquer toutes les données sensibles, telles que :
  • renseignements confidentiels sur l’utilisateur
  • renseignements personnels identifiables (PII)
  • renseignements confidentiels sur l’application
Pour en savoir plus, consultez les articles suivants sur Auth0 Community :
Une fois que vous disposez d’un outil de traçage HTTP, capturez la séquence de connexion du début à la fin et analysez la trace afin d’examiner la séquence des requêtes GET. Vous devriez voir une redirection de votre site d’origine vers l’IdP, l’envoi des identifiants si vous avez dû vous connecter, puis une redirection vers l’URL de rappel. Le fichier HAR contiendra également la réponse SAML. Assurez-vous que les témoins et JavaScript sont activés dans votre navigateur. Assurez-vous que le profil de l’utilisateur dans Salesforce est autorisé à se connecter au moyen de l’IdP Salesforce (voir la section 4 ci-dessus).