使用Google作为身份提供商使用Salesforce进行Api身份验证

Question

我对身份验证/授权领域有些陌生，并且需要一些有关如何架构/实现最终将连接到Salesforce并检索信息的应用程序的建议。从高度上讲，我正在构建一个移动应用程序，它将需要提取与Salesforce相关的数据以显示给用户。他们的特定Salesforce实例使用Google作为身份提供者。另外，我们计划放置一个网关来协调与Salesforce的所有通信，并可能进行一些响应汇总。我们还计划使用Cognito处理身份管理。我的具体问题是：

1. 我将通过Salesforce身份验证端点进行身份验证吗？如果Salesforce最终将Google用作身份提供者，那么直接从Salesforce本身检索该令牌是否有意义？
   1. 我是否还需要在Salesforce或Google中将移动应用程序注册为应用程序？我了解Salesforce本身需要在Google中进行注册，以允许将Google用作Salesforce中的身份提供者，但是同时注册两者是否有意义？
   2. 当前无需限制资源访问，因为任何可以登录的用户都可以看到所有内容。这会完全影响实施吗？本质上，如果用户可以使用自己的Google凭据登录到Salesforce（也就是他们已经映射了用户），那么他们应该能够看到任何内容。

我确定我要问一些幼稚的问题，而且真的不知道从哪里开始。我最近使用Azure作为身份提供程序来构建供Salesforce Connect使用的Api，这相当简单，尽管这是机器对机器并且简单得多。任何帮助将不胜感激。谢谢。

Answer 1

已经有一段时间了...不确定您是否还有问题。

假设salesforce配置为使用Google进行身份验证/作为Auth Provider：您必须将应用auth转换为salesforce，并且salesforce将自动重定向用户对Google进行身份验证（或确保现有有效的Google用户会话，并允许您访问salesforce）。 Google向salesforce发行令牌，而salesforce将向您的应用发行自己的令牌。