Salesforce SAML 2.0¶

Introducción¶

Harmony admite el inicio de sesión único (SSO) con Salesforce mediante SAML 2.0. Esta página muestra cómo configurar y probar Harmony SSO con Salesforce siguiendo estos pasos:

Habilitar Salesforce como proveedor de identidad y descargar metadatos
Configure la instancia de Salesforce como un proveedor de identidad y obtenga los metadatos del proveedor de identidad que necesitará usar como entrada para configurar SSO en Harmony.
Configurar aplicaciones conectadas en Salesforce
Configure cada cliente de Harmony como una aplicación conectada dentro de Salesforce.
Asignar perfiles a las aplicaciones conectadas de Salesforce
Asigne perfiles a las aplicaciones conectadas de Salesforce para que los usuarios tengan los permisos adecuados.
Construir los metadatos del proveedor de servicios
Cree los metadatos del proveedor de servicios que necesitará usar como entrada para configurar SSO en Harmony.
Configurar SSO en Harmony
Configure y pruebe Salesforce como proveedor de SSO en Harmony Portal. Deberá usar los metadatos del proveedor de identidad y los metadatos del proveedor de servicios obtenidos en los pasos anteriores.

Después de configurar SSO en Salesforce y Harmony, los miembros de su organización de Harmony podrán usar sus credenciales de Salesforce para iniciar sesión en Harmony.

Para obtener información adicional, consulte la documentación de Salesforce Habilitar Salesforce como proveedor de identidad y Definir proveedores de servicios como aplicaciones conectadas habilitadas SAML.

Demostración¶

SAML y Devolución de Llamada URLs¶

Durante la configuración, las URLs SAML y callback a las que se hace referencia en esta página deben reemplazarse con los valores de URL apropiados para su región (consulte Buscar mi región).

URLs de SAML¶

NA: https://na-east.jitterbit.com/jitterbit-cloud-mgmt-console/saml
EMEA: https://emea-west.jitterbit.com/jitterbit-cloud-mgmt-console/saml
APAC: https://apac-southeast.jitterbit.com/jitterbit-cloud-mgmt-console/saml

URLs de Devolución de Llamada¶

NA: https://na-east.jitterbit.com/jitterbit-cloud-mgmt-console/login/studio/callback
EMEA: https://emea-west.jitterbit.com/jitterbit-cloud-mgmt-console/login/studio/callback
APAC: https://apac-southeast.jitterbit.com/jitterbit-cloud-mgmt-console/login/studio/callback

1. Habilite Salesforce Como Proveedor de Identidad y Descargue Metadatos¶

Siga estos pasos para habilitar Salesforce como proveedor de identidad y descargar los metadatos del proveedor de identidad en la interfaz de usuario de Salesforce Classic:

Inicie sesión en la instancia de Salesforce como administrador de Salesforce.

Precaución

Para configurar Harmony SSO, su nombre de usuario de Salesforce debe coincidir con su dirección de correo de Harmony. Esto también se aplica a los miembros de su organización de Harmony, a menos que estén configurados para omitir SSO y, en su lugar, utilicen sus credenciales de Harmony (consulte Configuración de SSO en Management Console).
En la interfaz de usuario de Salesforce Classic, vaya a Configuración > Administrar > Controles de seguridad > Proveedor de identidad.
En la sección Configuración del proveedor de identidad, haga clic en el botón Descargar metadatos para obtener los metadatos del proveedor de identidad. Esta opción está disponible solo si tiene un dominio configurado y habilitado.
- Si no tiene un dominio configurado, haga clic en el enlace para Configurar un nombre de dominio y siga los pasos para configurar un dominio e desplegar para los usuarios. Esto activa automáticamente Salesforce como proveedor de identidad. Luego descargue los metadatos como se describe.
- Si tiene un dominio configurado pero deshabilitado como proveedor de identidad, haga clic en el botón Habilitar proveedor de identidad, luego descargue los metadatos como se describe.
Configuración del proveedor de identidad¶

Consejo

Después de realizar cambios en Configuración del proveedor de identidad, es posible que deba actualizar la página.

2. Configurar Aplicaciones Conectadas en Salesforce¶

Siga estos pasos para configurar cada cliente de Harmony como una aplicación conectada dentro de Salesforce:

Si continúa desde Habilitar Salesforce como proveedor de identidad y descargar metadatos, en la misma pantalla, en la sección Proveedores de servicios, haga clic en el enlace para crear a través de Aplicaciones conectadas. De lo contrario, navegue por Configuración > Crear > Crear > Aplicaciones y haga clic en Nuevo en la sección Aplicaciones conectadas.
Debe crear una aplicación conectada para cada uno de estos clientes de Harmony:
- WMC: Este cliente de Harmony es para el Portal de Harmony y sus aplicaciones.
  
  Nota
  
  Aunque la interfaz de usuario hace referencia a WMC (el nombre anterior de Management Console), la configuración del cliente WMC Harmony se aplica a todos los productos accesibles a través del Portal Harmony.
- Studio: Este cliente de Harmony es para Design Studio. Se debe crear una aplicación para este cliente incluso si no tiene la intención de utilizar Design Studio.
Para cada aplicación conectada:
1. En Información básica, proporcione un Nombre de la aplicación conectada (por ejemplo, Harmony Portal o Design Studio) y complete otros campos obligatorios.
2. En Configuración de la aplicación web, seleccione Habilitar SAML. Esto habilita los campos adicionales Id. de entidad y URL ACS:
  - ID de entidad: El ID de entidad debe ser único por cliente de Harmony. Como recomendación, busque en su archivo de metadatos XML descargado del proveedor de identidad y busque el entityID listado. Debe ser igual que su dominio de Salesforce (https://yourdomain.my.salesforce.com/). Para crear una Id. de entidad única por cliente, puede agregar /wmc o /studio a la identificación predeterminada. Por ejemplo:
    - WMC: https://yourdomain.my.salesforce.com/wmc
    - Estudio: https://yourdomain.my.salesforce.com/studio
  - URL ACS: La URL ACS también se conoce como URL de redireccionamiento en Management Console, o como Location dentro de los metadatos del proveedor de servicios. Este valor también es único y depende del cliente de Harmony y de la región de Harmony (consulte Buscar mi región):
    - WMC: Ingrese la URL de SAML para la región Harmony (consulte URLs de SAML).
    - Studio: Ingrese la URL de devolución de llamada para la región de Harmony (consulte URLs de devolución de llamada).
  WMC: configuración de la aplicación web¶
  
  Studio: configuración de la aplicación web¶
Complete cualquier otro campo opcional que desee y haga clic en Guardar para crear cada aplicación conectada.

3. Asigne Perfiles a las Aplicaciones Conectadas de Salesforce¶

Estos pasos muestran cómo asignar perfiles a las aplicaciones conectadas para que los usuarios tengan los permisos adecuados:

Si continúa desde Configurar aplicaciones conectadas en Salesforce, en la pantalla que aparece para cada aplicación conectada, haga clic en el botón Administrar. De lo contrario, regrese a esta pantalla desde Configuración > Administrar > Administrar aplicaciones > Aplicaciones conectadas.
Debe asignar perfiles para cada aplicación conectada. Para cada:
1. En la sección Perfiles, haga clic en Administrar perfiles.
2. En la pantalla Asignación de perfil de aplicación, seleccione Administrador del sistema para proporcionar acceso al proveedor de servicios. Seleccione también los perfiles asociados con los usuarios que desea que puedan usar Harmony SSO.
  
  Advertencia
  
  Los perfiles asociados con los usuarios que desea que puedan usar SSO deben asignarse a cada aplicación, o estos usuarios no podrán iniciar sesión en Harmony usando SSO.
3. Cuando se hayan asignado todos los perfiles deseados, haga clic en Guardar.
4. Los clientes de Harmony ahora deberían aparecer en Administrar aplicaciones conectadas. Tenga en cuenta que es posible que no vea las aplicaciones de la página del proveedor de identidad en la lista de proveedores de servicios.

4. Construir los Metadatos del Proveedor de Servicios¶

Utilice estas instrucciones para construir la entrada para el campo Metadatos del proveedor de servicios requerido para configurar SSO en Harmony.

WMC¶

Esta sección muestra cómo construir los metadatos XML para el Portal de Harmony, que se ingresará para el cliente WMC.

Nota

Aunque la interfaz de usuario se refiere a WMC, el nombre anterior de Management Console, la configuración del cliente de WMC Harmony se aplica a todos los productos basados en web accesibles a través del Portal de Harmony.

Use la muestra proporcionada a continuación, reemplazando [entityid] con el Id. de entidad de Salesforce y reemplazando Location con la URL de SAML para la región de Harmony (consulte URLs de SAML).

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
    xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
entityID="[entityid]">
    <md:SPSSODescriptor
        protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
        <md:AssertionConsumerService index="1" isDefault="true"
            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://na-east.jitterbit.com/jitterbit-cloud-mgmt-console/saml"/>
    </md:SPSSODescriptor>
</md:EntityDescriptor>

Estudio¶

Esta sección muestra cómo construir los metadatos XML para Design Studio, que se ingresará para el cliente de Studio.

Use la muestra proporcionada a continuación, reemplazando [entityid] con el Id. de entidad de Salesforce y reemplazando Location con la URL de devolución de llamada para la región Harmony (ver URLs de devolución de llamada).

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
    xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
    entityID="[entityid]">
    <md:SPSSODescriptor
        protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
        <md:AssertionConsumerService index="1" isDefault="true"
            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
            Location="https://na-east.jitterbit.com/jitterbit-cloud-mgmt-console/login/studio/callback"/>
    </md:SPSSODescriptor>
</md:EntityDescriptor>

5. Configurar SSO en Harmony¶

Siga las instrucciones para Configurar SSO en Management Console. Al ingresar información en la pantalla Editar información del proveedor de SSO de la organización, use los valores obtenidos anteriormente:

Metadatos del proveedor de identidad: Pegue el contenido de los metadatos obtenidos durante Habilitar Salesforce como proveedor de identidad y descargar metadatos arriba.
Metadatos del proveedor de servicios: Pegue el contenido de los metadatos construidos en Construir los metadatos del proveedor de servicios anterior para los clientes WMC y Studio Harmony.

adjunto

Haga clic en Probar configuración para cada cliente de Harmony y luego haga clic en Guardar. Ambos clientes deben probarse correctamente antes de que se habilite el botón Guardar.

Solucionar Problemas¶

Si recibe un error de "No se encontró un certificado de firma válido", asegúrese de que los metadatos del proveedor de identidad tengan un KeyDescriptor etiqueta y subetiqueta con use="signing", similar a este ejemplo:

<?xml version="1.0" encoding="UTF-8"?><md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://example.my.salesforce.com" validUntil="2028-04-30T17:39:13.559Z" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
 <md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <md:KeyDescriptor use="signing">
   <ds:KeyInfo>
    <ds:X509Data>
     <ds:X509Certificate>MIIErDCCA5SgAwIBA...