Configuration de l’OpenID SSO pour Salesforce

Ces étapes vous expliquent comment configurer la fonctionnalité d’authentification unique (SSO) utilisant OpenID entre ManageEngine ADSelfService Plus et Salesforce.

Prérequis

1. Connectez-vous à ADSelfService Plus en tant qu’administrateur.
2. Allez à Configuration > Password Sync/Single Sign On et cliquez sur Ajouter une application. Sélectionnez Salesforce dans la liste.
Remarque : Vous pouvez aussi utiliser la barre de recherche en haut à gauche de la page pour chercher l’application.
3. Cliquez sur Détails IdP et sélectionnez l’onglet SSO (OAuth/OpenID) Connect.
4. Copiez le Client ID, Client Secret, Émetteur, URL du point de terminaison d’autorisation, URL du point de terminaison de jeton, et URL du point de terminaison utilisateur d’informations.

Étapes de configuration de Salesforce (fournisseur de service)

1. Connectez-vous à Salesforce avec les identifiants administrateur.
2. Naviguez vers la page Setup en cliquant sur l’ icône Engrenage en haut à droite.



3. Recherchez Auth.Provider dans la zone Quick Find/Search en haut à gauche. C’est ici que vous pouvez ajouter de nouveaux fournisseurs d’authentification.
4. Cliquez sur Nouveau pour ajouter un nouveau fournisseur Auth.
5. Sélectionnez le Type de fournisseur comme Open ID Connect.



6. Saisissez le Nom et suffixe URL, qui seront utilisés dans les URL de configuration client générées par Salesforce selon votre préférence.
7. Remplissez les champs suivants avec les détails correspondants enregistrés dans l’étape 4 des Prérequis:
1. Clé consommateur : Client ID
2. Secret consommateur : Client Secret
3. Émetteur de jeton : Émetteur
4. URL du point de terminaison d’autorisation : URL du point de terminaison d’autorisation
5. URL du point de terminaison de jeton : URL du point de terminaison de jeton
6. URL du point de terminaison des informations utilisateur : URL du point de terminaison utilisateur



8. Maintenant, cliquez sur le Lien Créer automatiquement un modèle de gestionnaire d’enregistrement sous Gestionnaire d’enregistrement. Le gestionnaire d’enregistrement est un extrait de code qui associe les attributs du fournisseur de service aux attributs correspondants du fournisseur d’identité.
9. Dans le champ Exécuter l’enregistrement en tant que , fournissez les informations du compte administrateur Salesforce.
10. Cliquez sur Enregistrez.



11. Après l’enregistrement, copiez l’ URL de rappel car elle sera requise pour l’URL de redirection de connexion dans la configuration d’ADSelfService Plus.



12. Cliquez maintenant sur le lien à côté du gestionnaire d’enregistrement.



13. Allez à l’onglet Corps de classe et remplacez le code existant par le code suivant :

global class ADSSPOIDCHandler implements Auth.RegistrationHandler{

global User createUser(Id portalId, Auth.UserData data){

// L’utilisateur est autorisé, donc créez son utilisateur Salesforce

User u = new User();

String username = data.email;

List userList = [Select Id, Name, Email, UserName From User Where ( UserName =: username) AND isActive = true ];

if(userList != null && userList.size() > 0) {

u = userList.get(0);

}

return u;

}

global void updateUser(Id userId, Id portalId, Auth.UserData data){

User u = new User(id=userId);

update(u);

}

}
14. Maintenant, pour inclure l’instance d’ADSelfService Plus sur l’écran de connexion Salesforce, allez à Administration > Gestion de domaine > Mon domaine.
15. Cliquez sur le bouton Modifier à côté de Configuration de l’authentification.



16. Sur la page suivante, cochez la case à côté de l’instance d’ADSelfService Plus sous Service d’authentification. Cliquez Enregistrez.

Étapes de configuration d’ADSelfService Plus (fournisseur d’identité)

1. Revenez à la page de configuration Salesforce d’ADSelfService Plus.



2. Saisissez le Nom de l’application et Description selon vos préférences.
3. Saisissez le Nom de domaine de votre compte Salesforce. Par exemple, si votre nom d’utilisateur Salesforce est johnwatts@thinktodaytech.com, alors thinktodaytech.com est votre nom de domaine.
4. Dans le champ Attribuer des stratégies dans le champ, sélectionnez les stratégies pour lesquelles le SSO doit être activé.
Remarque : ADSelfService Plus vous permet de créer des politiques basées sur les OU et groupes de vos domaines AD. Pour créer une politique, allez à Configuration > Libre-service > Configuration des politiques > Ajouter une nouvelle politique.
5. Sous l’onglet SSO , sélectionnez Activer OAuth/OpenID Connect.
6. Choisissez OAuth/OpenID Connect dans le menu déroulant Sélectionner la méthode .
7. Entrez l'URL de connexion du portail Salesforce dans le SP Login Initiate URL champ.
Remarque : Salesforce exige que la connexion commence depuis leur page de connexion, connue sous le nom de connexion initiée par le SP. Les utilisateurs sont d'abord dirigés vers la page de connexion Salesforce, spécifiée dans le SP Login Initiate URL champ, après quoi Salesforce (le SP) les redirige vers ADSelfService Plus (l'IdP) pour l'authentification.
8. Entrez l'URL de redirection copiée dans l'étape 11 de la configuration de Salesforce dans le SSO Redirect URL champ.
9. En utilisant le Scopes menu déroulant, sélectionnez openid, qui est le scope requis pour l'authentification OIDC. Vous pouvez également spécifier des scopes tels que profile ou email pour inclure des informations supplémentaires sur l'utilisateur dans la demande d'autorisation.
Remarque : Les scopes spécifient le niveau d'accès du token d'accès. Ils sont généralement inclus dans la demande d'autorisation. Spécifiez les scopes pour lesquels vous souhaitez autoriser l'accès à votre token d'autorisation, en utilisant le menu déroulant.
10. Cliquez sur Ajouter une application pour enregistrer la configuration.

L' Well-known Configuration URL dans la fenêtre contextuelle des détails de l'IdP contient toutes les valeurs des points de terminaison, les scopes supportés, les modes de réponse, les modes d'authentification client et les détails du client. Ceci est activé uniquement après avoir terminé la configuration de l'application pour le SSO dans ADSelfService Plus. Vous pouvez le fournir à votre fournisseur de services si nécessaire.