Konfiguration von OpenID SSO für Salesforce

Diese Schritte zeigen Ihnen, wie Sie die Single-Sign-On-(SSO)-Funktionalität mit OpenID zwischen ManageEngine ADSelfService Plus und Salesforce konfigurieren.

Voraussetzungen

1. Melden Sie sich als Administrator bei ADSelfService Plus an.
2. Gehen Sie zu Konfiguration > Passwort-Synchronisierung/Single Sign On und klicken Sie auf Anwendung hinzufügen. Wählen Sie Salesforce aus der Liste aus.
Hinweis: Sie können auch die Suchleiste oben links auf der Seite verwenden, um nach der Anwendung zu suchen.
3. Klicken Sie auf IdP-Details und wählen Sie den SSO(OAuth/OpenID) Connect-Tab aus.
4. Kopieren Sie die Client-ID, Client-Secret, Herausgeber, URL des Autorisierungsendpunkts, URL des Token-Endpunkts, und URL des Benutzerendpunkts Informationen.

Salesforce (Dienstanbieter) Konfigurationsschritte

1. Melden Sie sich mit Administrator-Anmeldedaten bei Salesforce an.
2. Navigieren Sie zur Setup Seite, indem Sie auf das Zahnrad-Symbol oben rechts klicken.



3. Suchen Sie nach Auth.Provider im Schnellfind-/Suchfeld oben links. Hier können Sie neue Authentifizierungsanbieter hinzufügen.
4. Klicken Sie auf Neu um einen neuen Authentifizierungsanbieter hinzuzufügen.
5. Wählen Sie den Anbietertyp als Open ID Connect.



6. Geben Sie den Namen und URL-Suffixein, die in den von Salesforce generierten Client-Konfigurations-URLs nach Ihren Wünschen verwendet werden.
7. Füllen Sie die folgenden Felder mit den entsprechenden Details aus, die in Schritt 4 der Voraussetzungen:
1. Verbraucher-Schlüssel: Client-ID
2. Verbraucher-Geheimnis: Client-Secret
3. Token-Herausgeber: Herausgeber
4. URL des Autorisierungsendpunkts: URL des Autorisierungsendpunkts
5. URL des Token-Endpunkts: URL des Token-Endpunkts
6. URL des Benutzerinfo-Endpunkts: URL des Benutzerendpunkts



8. Klicken Sie nun auf den Automatisch eine Vorlage für den Registrierungshandler erstellen Link unter Registrierungs-Handler. Der Registrierungs-Handler ist ein Code-Snippet, das die Attribute des Dienstanbieters mit den entsprechenden Attributen des Identitätsanbieters abgleicht.
9. Im Ausführen der Registrierung als Feld geben Sie die Salesforce-Admin-Kontodaten an.
10. Klicken Sie auf Speichern.



11. Nach dem Speichern kopieren Sie die Callback-URL , da diese für die Login-Weiterleitungs-URL in der Konfiguration von ADSelfService Plus benötigt wird.



12. Klicken Sie nun auf den Link neben Registrierungs-Handler.



13. Wechseln Sie zum Code-Körper Tab und ersetzen Sie den vorhandenen Code durch den folgenden Code:

global class ADSSPOIDCHandler implements Auth.RegistrationHandler{

global User createUser(Id portalId, Auth.UserData data){

//Der Benutzer ist autorisiert, erstellen Sie daher den Salesforce-Benutzer

User u = new User();

String benutzername = data.email;

List userList = [Select Id, Name, Email, UserName From User Where ( UserName =: benutzername) AND isActive = true ];

if(userList != null && userList.size() > 0) {

u = userList.get(0);

}

return u;

}

global void updateUser(Id userId, Id portalId, Auth.UserData data){

User u = new User(id=userId);

update(u);

}

}
14. Um die Instanz von ADSelfService Plus im Salesforce-Anmeldebildschirm einzubinden, gehen Sie zu Verwalten > Domainmanagement > Meine Domain.
15. Klicken Sie auf die Schaltfläche Bearbeiten neben Authentifizierungskonfiguration.



16. Aktivieren Sie auf der nächsten Seite das Kontrollkästchen neben der ADSelfService Plus-Instanz unter Authentifizierungsdienst. Klicken Sie auf Speichern.

ADSelfService Plus (Identitätsanbieter) Konfigurationsschritte

1. Wechseln Sie zurück zur Salesforce-Konfigurationsseite von ADSelfService Plus.



2. Geben Sie den Anwendungsname und Beschreibung nach Ihren Präferenzen.
3. Geben Sie den Domainname Ihres Salesforce-Kontos. Zum Beispiel, wenn Ihr Salesforce-Benutzername johnwatts@thinktodaytech.comlautet, dann ist thinktodaytech.com Ihr Domainname.
4. Im Richtlinien zuweisen Feld, wählen Sie die Richtlinien aus, für die SSO aktiviert werden soll.
Hinweis: ADSelfService Plus ermöglicht Ihnen das Erstellen von OU- und gruppenbasierten Richtlinien für Ihre AD-Domänen. Um eine Richtlinie zu erstellen, gehen Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration > Neue Richtlinie hinzufügen.
5. Unter dem SSO Tab, wählen Sie OAuth/OpenID Connect aktivieren.
6. Wählen Sie OAuth/OpenID Connect aus dem Auswahlmethode Dropdown.
7. Geben Sie die Anmelde-URL des Salesforce-Portals im SP Login Initiate URL Feld ein.
Hinweis: Salesforce erfordert, dass die Anmeldung von deren Login-Seite aus gestartet wird, bekannt als SP-initiiertes Login. Die Benutzer werden zuerst zur Salesforce-Anmeldeseite weitergeleitet, die im SP Login Initiate URL Feld angegeben ist, woraufhin Salesforce (der SP) sie zur Authentifizierung an ADSelfService Plus (den IdP) weiterleitet.
8. Geben Sie die kopierte Weiterleitungs-URL in Schritt 11 der Konfiguration von Salesforce im SSO Redirect-URL Feld ein.
9. Verwendung des Scopes Drop-down-Menüs, wählen Sie openid, was der erforderliche Scope für die OIDC-Authentifizierung ist. Sie können auch Scopes wie profile oder email angeben, um zusätzliche Benutzerinformationen in der Autorisierungsanfrage einzuschließen.
Hinweis: Scopes geben die Zugriffsebene an, die das Zugriffstoken hat. Sie werden normalerweise in der Autorisierungsanfrage mitgesendet. Geben Sie die Scopes an, für die Sie den Zugriff auf Ihr Autorisierungstoken erlauben möchten, indem Sie das Drop-down-Menü verwenden.
10. Klicken Sie auf Anwendung hinzufügen um die Konfiguration zu speichern.

Die Well-known Configuration URL im IdP-Details-Popup enthält alle Endpunktwerte, unterstützten Scopes, Antwortmodi, Client-Authentifizierungsmodi und Client-Details. Dies wird erst aktiviert, nachdem Sie die Anwendung für SSO in ADSelfService Plus konfiguriert haben. Sie können diese URL bei Bedarf Ihrem Dienstanbieter bereitstellen.