使用SalesForce.com進行SSO

Question

我們希望使用Salesforce.com進行SSO。 從他們的文檔中，我們發現此選項“委托身份驗證”以滿足我們的需求。 基本上，當給定用戶名和密碼時，Salesforce.com將啟動對原始組織的Web服務調用以使其經過驗證。

我們正在考慮以下方式實現這一點 - 我們的用戶將使用用戶ID和密碼登錄我們的系統，我們將對其進行身份驗證。 然后，當他們必須訪問Salesforce.com時，我們會將用戶名和cookie（我們從身份驗證中獲得）提供給Salesforce.com，然后Salesforce.com會在Web服務調用中將這些傳遞給我們的組織，我們將能夠驗證使用此cookie的用戶。

有沒有人嘗試/聽說過這種方法？ 有任何已知的限制。 任何幫助，將不勝感激。

Answer 1

這是使用委托身份驗證時的常用方法，主要問題是如果您的DA偵聽器僅接受身份驗證cookie，則無法從網站以外的應用程序登錄salesforce（例如移動應用程序，數據加載程序等）。 您可以編寫DA偵聽器以接受身份驗證cookie或密碼並以此方式工作，或者您可以查看許多應用程序現在支持的基於SAML的新功能。

Answer 2

一種方法是使用Salesforce支持的SAML2 Web瀏覽器SSO配置文件。 您需要在Salesforce管理設置中配置SAML2 SSO。 以下是簡要概述： https ： //help.salesforce.com/apex/HTViewHelpDoc？id = sso_saml.htm＆language =

最終用戶的流程如下所示：

• 用戶導航到Salesforce並在登錄表單中提供完全限定的用戶名（例如joe@acme.com）。
• Salesforce重定向用戶並將SAML2身份驗證請求發送到負責驗證用戶身份的身份服務（idp.acme.com）。 SAML2身份驗證請求作為HTTP重定向的GET參數發送。
• 身份服務對用戶進行身份驗證（例如，通過提交登錄表單並驗證用戶名和密碼）
• 身份服務將SAML2斷言返回給Salesforce。 實際上，斷言是通過HTTP響應發送給用戶的，並且它會在頁面加載時通過javascript函數自動POST到Salesforce。
• Salesforce驗證斷言（數字簽名，時間有效期等）並讓用戶進入。