La norme SAML (Security Assertion Markup Language) 2.0 vous permet de configurer l'authentification unique (SSO) pour un certain nombre d'applications cloud. Une fois l'authentification unique configurée, vos utilisateurs peuvent se connecter à une application à l'aide de leurs identifiants Google Workspace.
Configurer le SSO pour Salesforce Sandbox via le protocole SAML
Pour cette tâche, vous devez être connecté en tant que super-administrateur.Avant de commencer
Avant de configurer le SSO, vous devez configurer votre sous-domaine Salesforce Sandbox. Pour connaître la procédure à suivre, consultez l'aide Salesforce.
Étape 1 : Définissez Google comme fournisseur d'identité SAML
-
Dans la console d'administration Google, accédez à Menu
ApplicationsApplications Web et mobiles.Pour cette tâche, vous devez être connecté en tant que super-administrateur.
-
Cliquez sur Ajouter une applicationRechercher des applications.
- Dans le champ Saisissez le nom de l'application, saisissez Salesforce Sandbox.
- Dans les résultats de recherche, pointez sur Salesforce Sandbox et cliquez sur Sélectionner.
- Dans la fenêtre Informations sur le fournisseur d'identité Google, pour Option 2 : Copier l'URL SSO, l'ID d'entité et le certificat :
- À côté du champ URL SSO, cliquez sur Copier
et enregistrez l'URL. - À côté de ID d'entité, cliquez sur Copier
et enregistrez l'ID d'entité.
- À côté de Certificat, cliquez sur Télécharger
et enregistrez le certificat.
Vous aurez besoin de ces informations pour effectuer la configuration dans Salesforce Sandbox.
- À côté du champ URL SSO, cliquez sur Copier
- Cliquez sur Continuer.
- Sur la page Détails relatifs au fournisseur de services, remplacez {domain specific} par votre sous-domaine Salesforce Sandbox dans les champs URL ACS, ID d'entité et URL de démarrage.
- Cliquez sur Continuer.
-
(Facultatif) Pour mapper les attributs d'annuaire Google aux attributs de l'application correspondants, dans la fenêtre Mappage des attributs :
- Cliquez sur Ajouter un mappage.
- Cliquez sur Sélectionner un champ sélectionnez un attribut d'annuaire Google.
- Sous Attributs de l'application, saisissez l'attribut de l'application correspondant.
-
(Facultatif) Pour saisir des noms de groupes pertinents pour cette application :
- Dans le champ Appartenance à un groupe (facultatif), cliquez sur Rechercher un groupe, saisissez une ou plusieurs lettres du nom du groupe, puis sélectionnez-en un.
- Ajoutez des groupes si nécessaire (75 groupes au maximum).
- Sous Attribut de l'application, saisissez le nom d'attribut des groupes du fournisseur de services correspondant.
Quel que soit le nombre de noms de groupes saisis, la réponse SAML inclut uniquement les groupes dont un utilisateur est membre (directement ou indirectement). Pour en savoir plus, consultez À propos du mappage des informations d'appartenance à un groupe.
- Cliquez sur Terminer.
Étape 2 : Définissez Salesforce Sandbox comme fournisseur de services SAML 2.0
- Ouvrez une fenêtre de navigation privée dans votre navigateur, accédez à la page de connexion à Salesforce Sandbox, puis connectez-vous avec votre compte administrateur Salesforce Sandbox.
- Cliquez sur Configurer.
- Dans le champ Quick Find (Recherche rapide), saisissez Single Sign-On (Authentification unique), puis cliquez sur Single Sign-On Settings (Paramètres d'authentification unique).
- Dans la section Single Sign-on Settings (Paramètres d'authentification unique), cliquez sur Edit (Modifier), puis cochez la case SAML enabled (SAML activé).
- Cliquez sur Enregistrer.
- Dans la section SAML Single Sign-On Settings (Paramètres d'authentification unique SAML), cliquez sur New (Nouveau).
- Procédez comme suit :
- Dans le champ Nom, saisissez Google.
- Dans le champ API Name (Nom de l'API), saisissez Google.
- Dans le champ Émetteur, collez l'ID d'entité que vous avez copié à l'étape 1.
- Dans le champ Identity Provider Certificate (Certificat du fournisseur d'identité), cliquez sur Choose File (Choisir un fichier), puis sélectionnez le certificat que vous avez téléchargé à l'étape 1.
- Dans le champ Set Service Provider Initiated Request Binding (Définir la liaison de la demande initiée par le fournisseur de services), saisissez HTTP Redirect (Redirection HTTP).
- Dans le champ Identity Provider Login URL (URL de connexion du fournisseur d'identité), collez l'URL d'authentification unique que vous avez copiée à l'étape 1.
- Cliquez sur Enregistrer.
-
(Facultatif) Pour activer l'authentification unique initiée par le fournisseur de services :
- Cliquez sur Domain Management (Gestion du domaine) My Domain (Mon domaine).
- Dans la section Authentication Configuration (Configuration de l'authentification), cliquez sur Edit (Modifier).
- Dans le champ Authentication Service (Service d'authentification), cochez la case Google.
- Cliquez sur Enregistrer.
- Cliquez sur Domain Management (Gestion du domaine)
Étape 3 : Activez l'application pour les utilisateurs
-
Dans la console d'administration Google, accédez à Menu
ApplicationsApplications Web et mobiles.Pour cette tâche, vous devez être connecté en tant que super-administrateur.
- Cliquez sur Salesforce Sandbox.
- Cliquez sur Accès des utilisateurs.
-
Pour activer ou désactiver un service pour tous les membres de votre organisation, cliquez sur Activé pour tous ou sur Désactivé pour tous, puis sur Enregistrer.
-
(Facultatif) Pour activer ou désactiver un service pour une unité organisationnelle :
- Sur la gauche, sélectionnez l'unité organisationnelle.
- Pour modifier l'état du service, sélectionnez Activé ou Désactivé.
- Choisissez une option :
- Si l'état du service est défini sur Hérité et que vous souhaitez conserver le paramètre mis à jour, même si le paramètre parent est modifié, cliquez sur Remplacer.
- Si l'état du service est défini sur Remplacé, cliquez sur Hériter pour rétablir le paramètre parent, ou cliquez sur Enregistrer pour conserver le nouveau paramètre, même si le paramètre parent est modifié.
En savoir plus sur la structure organisationnelle
-
(Facultatif) Pour activer un service pour un ensemble d'utilisateurs dans une ou plusieurs unités organisationnelles, sélectionnez un groupe d'accès. Pour en savoir plus, consultez Personnaliser l'accès aux services à l'aide de groupes d'accès.
- Vérifiez que les domaines de messagerie des comptes utilisateur Salesforce Sandbox correspondent au domaine principal du compte Google géré de votre organisation.
Étape 4 : Vérifiez le bon fonctionnement de l'authentification unique
Salesforce Sandbox est compatible à la fois avec l'authentification unique initiée par le fournisseur d'identité et celle initiée par le fournisseur de services.
Vérifier l'authentification unique initiée par le fournisseur d'identité
-
Dans la console d'administration Google, accédez à Menu
ApplicationsApplications Web et mobiles.Pour cette tâche, vous devez être connecté en tant que super-administrateur.
- Cliquez sur Salesforce Sandbox.
- Dans la section Salesforce Sandbox, cliquez sur Tester la connexion SAML.
L'application s'ouvre dans un onglet distinct. Si ce n'est pas le cas, corrigez le message d'erreur, puis réessayez. Pour savoir comment résoudre les problèmes, consultez Messages d'erreur liés aux applications SAML.
Vérifier l'authentification unique initiée par le fournisseur de services
- Fermez toutes les fenêtres du navigateur.
- Accédez à https://{your-subdomain-name}.my.salesforce.com et remplacez {your-subdomain-name} par le nom de votre sous-domaine Salesforce Sandbox.
Vous devriez être redirigé vers la page de connexion Google. - Sélectionnez votre compte et saisissez votre mot de passe.
Une fois vos identifiants authentifiés, l'application doit s'ouvrir.
Étape 5 : Configurez la gestion des comptes utilisateur
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.