Configurando OpenID SSO para Salesforce

Estas etapas mostram como configurar a funcionalidade de single sign-on (SSO) usando OpenID entre ManageEngine ADSelfService Plus e Salesforce.

Pré-requisitos

1. Faça login no ADSelfService Plus como administrador.
2. Vá para Configuration > Password Sync/Single Sign On e clique em Add Application. Selecione Salesforce na lista.
Nota: Você também pode usar a barra de pesquisa no canto superior esquerdo da página para buscar o aplicativo.
3. Clique em IdP Details e selecione a aba SSO(OAuth/OpenID) Connect.
4. Copie as informações de Client ID, Client Secret, Issuer, Authorization Endpoint URL, Token Endpoint URL e User Endpoint URL.

Etapas de configuração do Salesforce (provedor de serviço)

1. Faça login no Salesforce com credenciais de administrador.
2. Navegue até a página Setup clicando no Gear icon no canto superior direito.



3. Pesquise por Auth.Provider na caixa Quick Find/Search no canto superior esquerdo. É aqui que você pode adicionar novos provedores de autenticação.
4. Clique em New para adicionar um novo Auth. Provider.
5. Selecione o Provider Type como Open ID Connect.



6. Insira o Name and URL Suffix, que será usado nas URLs de configuração do cliente geradas pelo Salesforce conforme sua preferência.
7. Preencha os seguintes campos com os detalhes correspondentes salvos em Step 4 of the Prerequisites:
1. Consumer Key: Client ID
2. Consumer Secret: Client Secret
3. Token Issuer: Issuer
4. Authorization Endpoint URL: Authorization Endpoint URL
5. Token Endpoint URL: Token Endpoint URL
6. User Info Endpoint URL: User Endpoint URL



8. Agora, clique no link Automatically create a registration handler template abaixo de Registration Handler. O registration handler é um trecho de código que associa os atributos do provedor de serviço aos atributos correspondentes do provedor de identidade.
9. No campo Execute Registration As, forneça os detalhes da conta de administrador do Salesforce.
10. Clique em Save.



11. Após salvar, copie a Callback URL, pois ela será necessária para o Login Redirect URL na configuração do ADSelfService Plus.



12. Agora clique no link ao lado de Registration Handler.



13. Vá para a aba Class Body e substitua o código existente pelo seguinte código:

global class ADSSPOIDCHandler implements Auth.RegistrationHandler{

global User createUser(Id portalId, Auth.UserData data){

//O usuário está autorizado, então crie o usuário Salesforce dele

User u = new User();

String username = data.email;

List userList = [Select Id, Name, Email, UserName From User Where ( UserName =: username) AND isActive = true ];

if(userList != null && userList.size() > 0) {

u = userList.get(0);

}

return u;

}

global void updateUser(Id userId, Id portalId, Auth.UserData data){

User u = new User(id=userId);

update(u);

}

}
14. Agora, para incluir a instância do ADSelfService Plus na tela de login do Salesforce, vá para Administer > Domain Management > My Domain.
15. Clique no Edit button ao lado de Authentication Configuration.



16. Na página seguinte, marque a caixa ao lado da instância do ADSelfService Plus em Authentication Service. Clique em Save.

Etapas de configuração do ADSelfService Plus (provedor de identidade)

1. Volte para a página de configuração do Salesforce no ADSelfService Plus.



2. Insira o Application Name e a Description conforme suas preferências.
3. Insira o Nome de Domínio da sua conta Salesforce. Por exemplo, se seu nome de usuário Salesforce for johnwatts@thinktodaytech.com, então thinktodaytech.com é seu nome de domínio.
4. No campo Assign Policies, selecione as políticas para as quais o SSO deve ser habilitado.
Nota: O ADSelfService Plus permite criar políticas baseadas em OU e grupos para seus domínios AD. Para criar uma política, vá para Configuration > Self-Service > Policy Configuration > Add New Policy.
5. Na aba SSO, selecione Habilitar OAuth/OpenID Connect.
6. Escolha OAuth/OpenID Connect no menu suspenso Select Method.
7. Insira a URL de login do portal Salesforce no campo SP Login Initiate URL.
Nota: Salesforce exige que o login comece pela página deles, conhecida como login iniciado pelo SP. Os usuários são primeiro direcionados para a página de login do Salesforce, especificada no campo SP Login Initiate URL, após o que o Salesforce (o SP) os redireciona para o ADSelfService Plus (o IdP) para autenticação.
8. Insira a URL de redirecionamento copiada no Passo 11 da configuração do Salesforce no campo Redirect URL do SSO.
9. Usando o menu suspenso Scopes, selecione openid, que é o escopo necessário para autenticação OIDC. Você também pode especificar escopos como profile ou email para incluir informações extras do usuário na solicitação de autorização.
Nota: Os escopos especificam o nível de acesso que o token de acesso possui. Eles são normalmente incluídos na solicitação de autorização. Especifique os escopos para os quais deseja permitir acesso ao seu token de autorização, usando o menu suspenso.
10. Clique em Add Application para salvar a configuração.

A Well-known Configuration URL no pop-up de detalhes do IdP contém todos os valores dos endpoints, escopos suportados, modos de resposta, modos de autenticação do cliente e detalhes do cliente. Isso é habilitado somente após você concluir a configuração da aplicação para SSO no ADSelfService Plus. Você pode fornecer isso ao seu provedor de serviço, se necessário.