Salesforce中的單點登錄簡介
單點登錄的定義
引自維基百科:
單點登錄(英語:Single sign-on,縮寫為 SSO),又譯為單一簽入,一種對於許多相互關連,但是又是各自獨立的軟體系統,提供訪問控制的屬性。當擁有這項屬性時,當用戶登錄時,就可以獲取所有系統的訪問許可權,不用對每個單一系統都逐一登錄。這項功能通常是以輕型目錄訪問協議(LDAP)來實現,在伺服器上會將用戶信息存儲到LDAP資料庫中。相同的,單一註銷(single sign-off)就是指,只需要單一的註銷動作,就可以結束對於多個系統的訪問許可權。
使用單點登錄的好處包括:- 降低訪問第三方網站風險(用戶密碼不存儲或外部管理)。
- 從不同的用戶名和密碼的組合減少密碼疲勞。- 減少花費的時間重新輸入密碼相同的身份。- 降低IT成本適當降低一些IT幫助台調用有關密碼。- SSO集中的所有其他應用程序和系統,用於身份驗證伺服器的身份驗證,並與技術相結合是為了確保用戶不必主動輸入憑據一次以上。
Salesforce中的單點登錄方式
在Salesforce中有以下方法實現單點登錄:
- 使用「Security Assertion Markup Language (SAML)」在相關的網路系統中發送驗證信息。
- 使用代理驗證單點登錄將Salesforce與管理員選擇的驗證方法集成。可以與LDAP(輕量目錄訪問協議)伺服器進行集成,或使用標記(而不是密碼)進行身份驗證。
- 使用身份提供商。身份提供商是受信任的提供商,提供其他網站的驗證信息用來登錄Salesforce。
Salesforce中的單點登錄工作原理
- 當用戶嘗試登錄時,Salesforce會生成並發出一個SAML請求
- SAML請求會發送到身份提供商
- 身份提供商會驗證該用戶的身份,並發回一個SAML驗證結果
- Salesforce接收此結果,並決定是否允許用戶登錄
SAML
SAML是Salesforce提供的類XML語言,可以用於從企業入口網站或身份提供商單點登錄到Salesforce。通過SAML,不同的服務之間可以進行用戶信息的轉移,例如從 Salesforce 到 Microsoft 365。
身份提供商會執行大部分工作來設置單點登錄:
- 建立一個SAML身份提供商,並得到連接到Salesforce的信息。單點登錄的請求會由身份提供商向Salesforce發送,當Salesforce收到請求之後會根據系統中的配置進行驗證,決定登錄是否成功。
- 提供登錄和登出頁面的URL給身份提供商。
- 在Salesforce中配置SAML的單點登錄。
為單點登錄配置SAML設置
啟用SAML單點登錄配置的步驟如下:
- 在Salesforce中,從「設置」中,在快速查找方框中輸入「單點登錄設置」,選擇「單點登錄設置」鏈接,單擊編輯。
- 選擇「啟用SAML」。
- 指定身份提供商使用的SAML版本。
- 保存。
在SAML單點登錄設置中,可以用三種方式新建配置:
- 新建:手動指定所有設置。
- 從元數據文件中新建:從身份提供商的XML文件中導入SAML 2.0設置。此選項讀取XML文件,並用其完成儘可能多的設置。
- 從元數據URL中新建:從公用URL中導入SAML 2.0設置。此選項讀取公用URL上的XML文件,並用其完成儘可能多的設置。URL必須事先添加到「遠程站點設置」,以從Salesforce組織中進行訪問。
證書和密鑰管理
在「設置」界面中,搜索「證書和密鑰管理」,點擊「證書和密鑰管理」鏈接,即可進入「證書和密鑰管理」界面。
在此界面中,可以新建和管理證書,以通過外部網站對單點登錄進行身份驗證,或將此Salesforce組織用作身份提供商,或驗證從此Salesforce組織到外部站點的請求。
啟用即時用戶配置
在新建或編輯SAML的設置中,可以選擇是否啟用「即時用戶配置」(Just-in-Time Provisioning)。
在「用戶配置類型」中,有兩種選擇:
- 標準:可以自動配置用戶
- 帶有Apex處理器的自定義SAML JIT:根據Apex類中的邏輯配置用戶。然後要在「SAML JIT處理器」中選擇一個現有的Apex類或自動創建一個新的Apex類,此類必須實現了「SamlJitHandler」介面
使用即時用戶配置,可以在用戶通過SAML配置第一次試圖登錄的時候立即創建普通和入口網站用戶,而無需提前創建用戶。即時用戶配置配合使用SAML身份提供商以將正確的用戶信息以SAML 2.0聲明傳遞到Salesforce。
測試單點登錄連接
在配置了SAML設置後,可以通過訪問身份提供商的應用程序來測試它。
在「設置」界面中的「單點登錄設置」界面,可以點擊「SAML聲明驗證器」來驗證SAML配置。
在「設置」界面中的「登錄歷史」界面,可以查看登錄的歷史。當單點登錄出現問題時,可以通過這裡來查找原因,也可以使用「SAML聲明驗證器」來驗證SAML配置。
推薦閱讀:
※來自CISO的5條管理網路安全威脅的建議
※幾維安全分享2017上半年:2227起安全事件泄露60億條數據
※復盤2017,中國網路安全的難題與破題
※網站被黑了怎麼恢復
※2018網路安全行業全景圖,幾維安全名列前茅
TAG:Salesforce | 網路安全 | 單點登錄 |