我已成功設置Azure AD和Salesforce之間的SSO集成,如this article中所述。Windows Azure AD SAML與Salesforce的集成是否支持由服務提供商啓動的SSO?
使用此配置,用戶必須知道要轉到Azure AD訪問面板才能登錄到Salesforce。這似乎是使用SAML的標準身份提供商啓動的SSO。
我想用服務提供程序啓動的SSO與Azure AD代替。我希望用戶能夠打開深層鏈接的Salesforce URL,將其重定向到Azure AD登錄頁面,然後重定向回原始請求的URL。這可能嗎?
我已向Microsoft確認,Windows Azure AD不支持Salesforce的SP發起的SAML流。所有訪問必須從Azure AD訪問面板啓動。
微軟正在努力解決這個問題。
我們今天進行設置,並且Salesforce啓動了使用Azure AD身份驗證的SSO。
備註/注意事項,以任何Salesforce的SAML/SSO驗證:
你將不得不建立一個自定義的Salesforce域: 如。 yourdomain.my.salesforce.com
然後,用戶需要接受培訓才能登錄,然後單擊「Azure SSO」按鈕而不是輸入salesforce憑據。
或者,用戶可以繼續訪問salesforce.com,但必須點擊「登錄到自定義域名」,然後手動輸入域名,這也構成了再培訓,而且更難。
您有讓「Salesforce密碼」與SAML/SSO身份驗證共存的全局選擇。如果您使用任何與Salesforce集成的任何東西(如DBSync),則必須將其啓用。這是因爲您必須在salesforce中使用管理員/用戶帳戶才能實現不太好的集成。現在應該有一個專門的整合服務賬戶系統,但這是另一個討論。
注意:使用Azure AD認證時,登錄實際上要快得多。
像Chatter Desktop,Salesforce1 Mobile App,Outlook Apps等Salesforce「客戶端應用程序」的設置和行爲會有所變化。我們能夠很容易地將它們全部弄清楚,但爲向員工提供教程的組織需要新的文檔。用戶必須在手機上註銷,手動輸入新域名......都需要文檔。
設置順暢的用戶配置相當複雜,需要在Azure AD端進行大量配置。涉及系統之間的匹配屬性,定義許可證等。
最後,您將在兩個雲系統之間構建一個新的不重要的依賴關係到您的環境中。如果你沒有想過它......這很重要。
總的來說,我們對集成非常滿意。這對我們來說太棒了,似乎很快。