Proveedor de Seguridad - Salesforce¶
El proveedor de seguridad de Salesforce habilita la autenticación y autorización de Salesforce. Es fundamentalmente un proveedor de seguridad OAuth 2.0, que admite las siguientes subvenciones:
Configuración¶
Consulte el proveedor de seguridad OAuth para la configuración.
Tenga en cuenta que Salesforce hace referencia al identificador del cliente (client_id
) y secreto (client_secret
) como "clave del consumidor" y "secreto del consumidor".
Valores Predeterminados¶
El proveedor de seguridad de Salesforce tiene por defecto los siguientes extremos:
-
- Extremo de autorización*:
https://login.salesforce.com/services/oauth2/authorize
- Extremo de autorización*:
-
- Extremo del token*:
https://login.salesforce.com/services/oauth2/token
- Extremo del token*:
Afirmación de Portador de SAML 2.0¶
Al utilizar la concesión de Aserción de portador de SAML 2.0, el proveedor de Salesforce predeterminará las siguientes propiedades:
- Emisor: El valor predeterminado es el identificador del cliente (
client_id
). - Audiencia:
https://login.salesforce.com
- Recipiente:
https://login.salesforce.com/services/oauth2/token
Token al Portador JWT¶
Al utilizar la concesión de JWT Bearer Token, el proveedor de Salesforce predeterminará las siguientes propiedades:
- Emisor: El valor predeterminado es el identificador del cliente (
client_id
).
Problemas Conocidos y Limitaciones¶
Actualizar Sincronización de Tokens¶
Salesforce solo mantiene los 4 tokens de actualización anteriores. En la práctica, esto significa que se requiere una aplicación conectada diferente para cada instancia de Vinyl. De lo contrario, cada instancia de Vinyl recuperará un token de actualización independiente, lo que posiblemente invalide un token de actualización utilizado por otra instancia.
Múltiples Instancias de Salesforce¶
Es posible configurar múltiples instancias de Salesforce. Vinyl mantendrá un conjunto separado de tokens de seguridad para cada instancia. Sin embargo, el usuario deberá iniciar sesión en cada instancia al menos una vez. Si el usuario ya inició sesión en una instancia, debe cerrar sesión en esa instancia antes de iniciar sesión en la segunda. De lo contrario, Salesforce omitirá el proceso de inicio de sesión. En otras palabras, cuando el usuario intenta iniciar sesión en la segunda instancia, Salesforce puede iniciar sesión automáticamente en la primera instancia.
Previa Autorización¶
Al utilizar las concesiones SAML Bearer Assertion o JWT Bearer Token, Salesforce requiere una autorización previa. En la práctica, esto significa que los usuarios deben autenticarse una vez utilizando la concesión del Código de autorización.
Fuente de Afirmación SAML¶
El proveedor de seguridad de Salesforce no puede obtener aserciones SAML de un proveedor de inicio de sesión único (SSO) SAML. Hay dos razones para esto:
- Salesforce requiere una autorización previa (ver arriba). Obligar a los usuarios a iniciar sesión con OAuth antes de autenticarse con SAML SSO anula el propósito.
- Salesforce espera que el Emisor de la aserción SAML coincida con la Clave de Consumidor del Cliente Conectado. Las claves del consumidor son manchas opacas. Aunque algunos proveedores de identidad (IdP) SSO de SAML se pueden configurar para generar una aserción SAML con un emisor arbitrario, pueden describir al emisor como
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
. Ese formato describe un URI. Dado que la clave del consumidor no se puede analizar como un URI, Vinyl rechaza la afirmación SAML.