我们正在使用OpenAM为SalesForce实施SSO。 我们按照步骤@ http://blogs.oracle.com/rangal/entry/saml2_salesforce_com
进行操作有两种情况 1. Idp(OpenAM)启动了SSO。 2.服务提供商(salesForce)发起了SSO。
场景1运行正常。场景2没有。
我在SalesForce的SSO最佳实践中读到,无法为SalesForce SSO实现方案2。它是否正确? 问候 萨米尔
答案 0 :(得分:3)
Salesforce中SP启动的SAML SSO现在使用“My Domain”功能来消除对持久性cookie的需求。设置“我的域”,然后,当用户转到http://your_cust_name.my.salesforce.com时,Salesforce将使用主机名找出将重定向用户的正确身份提供者(IdP)。
This article gives a good overview of the concept和this one explains it specifically in the context of SSO from Microsoft Active Directory Federation Services。即使你在IdP上使用不同的软件,那里也有很多有用的信息!
答案 1 :(得分:1)
SP可以使用SFDC启动SSO,并依赖预先存在于浏览器中的cookie(ssostartpage)。这意味着用户应该在第一次设置cookie时执行IdP init SSO,然后从那一点开始就可以使用SP init SSO。
有关详细信息,请参阅this post at SFDC security forum。