Salesforce中的單點登錄簡介

單點登錄的定義

引自維基百科:

單點登錄(英語:Single sign-on,縮寫為 SSO),又譯為單一簽入,一種對於許多相互關連,但是又是各自獨立的軟體系統,提供訪問控制的屬性。當擁有這項屬性時,當用戶登錄時,就可以獲取所有系統的訪問許可權,不用對每個單一系統都逐一登錄。這項功能通常是以輕型目錄訪問協議(LDAP)來實現,在伺服器上會將用戶信息存儲到LDAP資料庫中。相同的,單一註銷(single sign-off)就是指,只需要單一的註銷動作,就可以結束對於多個系統的訪問許可權。

使用單點登錄的好處包括:

- 降低訪問第三方網站風險(用戶密碼不存儲或外部管理)。

- 從不同的用戶名和密碼的組合減少密碼疲勞。

- 減少花費的時間重新輸入密碼相同的身份。

- 降低IT成本適當降低一些IT幫助台調用有關密碼。

- SSO集中的所有其他應用程序和系統,用於身份驗證伺服器的身份驗證,並與技術相結合是為了確保用戶不必主動輸入憑據一次以上。

Salesforce中的單點登錄方式

在Salesforce中有以下方法實現單點登錄:

  • 使用「Security Assertion Markup Language (SAML)」在相關的網路系統中發送驗證信息。
  • 使用代理驗證單點登錄將Salesforce與管理員選擇的驗證方法集成。可以與LDAP(輕量目錄訪問協議)伺服器進行集成,或使用標記(而不是密碼)進行身份驗證。
  • 使用身份提供商。身份提供商是受信任的提供商,提供其他網站的驗證信息用來登錄Salesforce。

Salesforce中的單點登錄工作原理

  1. 當用戶嘗試登錄時,Salesforce會生成並發出一個SAML請求
  2. SAML請求會發送到身份提供商
  3. 身份提供商會驗證該用戶的身份,並發回一個SAML驗證結果
  4. Salesforce接收此結果,並決定是否允許用戶登錄

SAML

SAML是Salesforce提供的類XML語言,可以用於從企業入口網站或身份提供商單點登錄到Salesforce。通過SAML,不同的服務之間可以進行用戶信息的轉移,例如從 Salesforce 到 Microsoft 365。

身份提供商會執行大部分工作來設置單點登錄:

  1. 建立一個SAML身份提供商,並得到連接到Salesforce的信息。單點登錄的請求會由身份提供商向Salesforce發送,當Salesforce收到請求之後會根據系統中的配置進行驗證,決定登錄是否成功。
  2. 提供登錄和登出頁面的URL給身份提供商。
  3. 在Salesforce中配置SAML的單點登錄。

為單點登錄配置SAML設置

啟用SAML單點登錄配置的步驟如下:

  1. 在Salesforce中,從「設置」中,在快速查找方框中輸入「單點登錄設置」,選擇「單點登錄設置」鏈接,單擊編輯。
  2. 選擇「啟用SAML」。
  3. 指定身份提供商使用的SAML版本。
  4. 保存。

在SAML單點登錄設置中,可以用三種方式新建配置:

  • 新建:手動指定所有設置。
  • 從元數據文件中新建:從身份提供商的XML文件中導入SAML 2.0設置。此選項讀取XML文件,並用其完成儘可能多的設置。
  • 從元數據URL中新建:從公用URL中導入SAML 2.0設置。此選項讀取公用URL上的XML文件,並用其完成儘可能多的設置。URL必須事先添加到「遠程站點設置」,以從Salesforce組織中進行訪問。

證書和密鑰管理

在「設置」界面中,搜索「證書和密鑰管理」,點擊「證書和密鑰管理」鏈接,即可進入「證書和密鑰管理」界面。

在此界面中,可以新建和管理證書,以通過外部網站對單點登錄進行身份驗證,或將此Salesforce組織用作身份提供商,或驗證從此Salesforce組織到外部站點的請求。

啟用即時用戶配置

在新建或編輯SAML的設置中,可以選擇是否啟用「即時用戶配置」(Just-in-Time Provisioning)。

在「用戶配置類型」中,有兩種選擇:

  • 標準:可以自動配置用戶
  • 帶有Apex處理器的自定義SAML JIT:根據Apex類中的邏輯配置用戶。然後要在「SAML JIT處理器」中選擇一個現有的Apex類或自動創建一個新的Apex類,此類必須實現了「SamlJitHandler」介面

使用即時用戶配置,可以在用戶通過SAML配置第一次試圖登錄的時候立即創建普通和入口網站用戶,而無需提前創建用戶。即時用戶配置配合使用SAML身份提供商以將正確的用戶信息以SAML 2.0聲明傳遞到Salesforce。

測試單點登錄連接

在配置了SAML設置後,可以通過訪問身份提供商的應用程序來測試它。

在「設置」界面中的「單點登錄設置」界面,可以點擊「SAML聲明驗證器」來驗證SAML配置。

在「設置」界面中的「登錄歷史」界面,可以查看登錄的歷史。當單點登錄出現問題時,可以通過這裡來查找原因,也可以使用「SAML聲明驗證器」來驗證SAML配置。


推薦閱讀:

來自CISO的5條管理網路安全威脅的建議
幾維安全分享2017上半年:2227起安全事件泄露60億條數據
復盤2017,中國網路安全的難題與破題
網站被黑了怎麼恢復
2018網路安全行業全景圖,幾維安全名列前茅

TAG:Salesforce | 網路安全 | 單點登錄 |