Windows Azure AD SAML与Salesforce的集成是否支持服务提供商发起的SSO?

时间:2014-02-11 21:17:08

标签: azure salesforce single-sign-on saml azure-active-directory

我已成功设置Azure AD和Salesforce之间的SSO集成,如this article中所述。

使用此配置,用户必须知道转到Azure AD访问面板才能登录Salesforce。这似乎是使用SAML的标准身份提供商发起的SSO。

我想将服务提供商发起的SSO与Azure AD一起使用。我希望用户能够打开深度链接的Salesforce URL,重定向到Azure AD登录页面,然后重定向回最初请求的URL。这可能吗?

2 个答案:

答案 0 :(得分:3)

我已与Microsoft确认Windows Azure AD不支持SP发起的Salesforce SAML流程。必须从Azure AD访问面板启动所有访问。

微软正在努力在未来解决这个问题。

答案 1 :(得分:1)

我们今天进行了此设置,并且使用Azure AD身份验证的Salesforce Initiated SSO正常运行。

任何Salesforce SAML / SSO身份验证的注意事项:

您必须设置自定义salesforce域:      例如。 yourdomain.my.salesforce.com

然后,用户需要接受培训才能登录,然后单击“Azure SSO”按钮而不是输入salesforce凭据。

或者,用户可以继续正确访问salesforce.com,但必须单击“登录到自定义域”,然后手动输入域名,这也构成了再培训,而且更难。

您可以选择让“Salesforce密码”与SAML / SSO身份验证共存。如果您使用与Salesforce集成的任何内容(如DBSync),则必须启用此功能。这是因为您必须在salesforce中使用管理员/用户帐户进行集成,这不是很好。现在应该存在用于集成的专用服务帐户系统,但这是另一个讨论。

注意:使用Azure AD身份验证实际上登录速度要快得多... go figure。

Salesforce“客户端应用程序”(如Chatter Desktop,Salesforce1移动应用程序,Outlook应用程序等)的设置和行为将发生一些变化。我们能够非常轻松地完成所有工作,但是为员工提供教程的组织将需要新的文档。用户必须在手机上注销,手动输入新域名...所有都需要文档。

设置流畅的用户配置相当复杂,需要在Azure AD端进行大量配置。涉及系统之间的匹配属性,定义许可证等。

最后,您正在构建一个新的非平凡的两个云系统之间的依赖关系到您的环境中。万一你没有想过它......这很重要。

总的来说,我们对整合感到非常高兴。这对我们来说太棒了,而且看起来很快。