Salesforce configureren voor eenmalige aanmelding in Microsoft Entra ID

In dit artikel leert u hoe u Salesforce integreert met Microsoft Entra ID. Wanneer u Salesforce integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra ID bepalen wie er toegang heeft tot Salesforce.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Salesforce.
  • Beheer uw accounts op één centrale locatie.

Notitie

We zijn ons ervan bewust dat Salesforce de wijzigingen in apparaatactivatie voor Single Sign-On (SSO) aanmeldingen heeft afgedwongen vanaf 3 februari 2026. We hebben nauw samengewerkt met het Salesforce-team en vanaf 3 februari accepteert Salesforce de claim authnmethodreferences standaard opgenomen in het SAML-token dat is uitgegeven door Entra ID. Als de claim authnmethodreferences de waarde multipleauthn bevat, behandelt Salesforce het apparaat als vertrouwd. Zorg ervoor dat uw beleid voor voorwaardelijke toegang dat MFA afdwingt, is geconfigureerd om aan deze vereiste te voldoen. U kunt hier meer lezen over deze claim.

Voor klanten die gebruikmaken van OpenID Connect Authentication met Salesforce of als u Salesforce hebt geconfigureerd met een aangepaste OpenID Connect-provider, moet u ervoor zorgen dat u alleen het Entra ID V1-eindpunt gebruikt, omdat alleen het V1-eindpunt de AMR-claim in het token naar Salesforce kan leveren. V2-eindpuntondersteuning komt binnenkort beschikbaar, maar tot die tijd kunt u alleen V1-eindpunt gebruiken.

Voor klanten die AD FS gebruiken als federatieprovider met Entra ID, volgt u de richtlijnen die zijn gepubliceerd here zodat Entra ID deze claim in het SAML-token zal hebben.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

  • Een Salesforce-abonnement met ingeschakelde Single Sign-On (SSO).

Beschrijving van scenario

In dit artikel configureert en test u Microsoft Entra Single Sign-On in een testomgeving.

  • Salesforce biedt ondersteuning voor door SP geïnitieerde SSO.

  • Salesforce biedt ondersteuning voor het automatisch inrichten en uitschrijven van gebruikers (aanbevolen).

  • Salesforce biedt ondersteuning voor het Just-In-Time inrichten van gebruikers.

  • Salesforce Mobile-applicatie kan nu worden geconfigureerd met Microsoft Entra ID voor het inschakelen van SSO. In dit artikel configureert en test u Microsoft Entra Single Sign-On in een testomgeving.

Als u de integratie van Salesforce in Microsoft Entra ID wilt configureren, moet u Salesforce vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij de Microsoft Entra-beheercentrum als ten minste een Cloud-toepassingsbeheerder.
  2. Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
  3. Typ in de sectie Toevoegen vanuit de galerie, Salesforce in het zoekvak.
  4. Selecteer Salesforce in het resultatenvenster en voeg de app toe. Wacht enkele seconden terwijl de app wordt toegevoegd aan je tenant.

U kunt in plaats daarvan ook de Enterprise App Configuration Wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365 wizards.

Microsoft Entra SSO (Eenmalige Aanmelding) configureren en testen voor Salesforce

Configureer en test Microsoft Entra SSO met Salesforce, gebruikmakend van een testgebruiker genaamd B.Simon. Opdat Single Sign-On werkt, moet u een koppelingsrelatie tot stand brengen tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Salesforce.

Voer de volgende stappen uit om Microsoft Entra SSO met Salesforce te configureren en te testen:

  1. Configure Microsoft Entra SSO : zodat uw gebruikers deze functie kunnen gebruiken.
    • Maak een testgebruiker voor Microsoft Entra – om Microsoft Entra SSO te testen met B.Simon.
    • Wijs de Microsoft Entra-testgebruiker toe - om B.Simon in staat te stellen om Microsoft Entra single sign-on te gebruiken.
  2. Salesforce-eenmalige aanmelding configureren: als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Microsoft Entra Single Sign-On configureren

Volg deze stappen om Microsoft Entra Single Sign-On (SSO) in te schakelen.

  1. Meld u aan bij de Microsoft Entra-beheercentrum als ten minste een Cloud-toepassingsbeheerder.

  2. Blader naar Entra ID>Enterprise apps>Salesforce>Single sign-on.

  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  4. Selecteer op de pagina Eenmalige aanmelding met SAML het pictogram bewerken/pen voor Standaard SAML-configuratie om de instellingen te wijzigen.

    Standaard SAML-configuratie bewerken

  5. In de sectie Standaard-SAML-configuratie voert u de waarden in voor de volgende velden:

    een. Typ in het tekstvak Identifier de waarde met het volgende patroon:

    Bedrijfsaccount: https://<subdomain>.my.salesforce.com

    Ontwikkelaarsaccount: https://<subdomain>-dev-ed.my.salesforce.com

    b. Typ in het tekstvak Antwoord-URL een URL met de volgende indeling:

    Bedrijfsaccount: https://<subdomain>.my.salesforce.com

    Ontwikkelaarsaccount: https://<subdomain>-dev-ed.my.salesforce.com

    Hoofdstuk c. Typ in het tekstvak Aanmeldings-URL een URL met de volgende indeling:

    Bedrijfsaccount: https://<subdomain>.my.salesforce.com

    Ontwikkelaarsaccount: https://<subdomain>-dev-ed.my.salesforce.com

    Notitie

    Deze waarden zijn niet echt. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. Neem contact op met het Salesforce-klantondersteuningsteam om deze waarden te verkrijgen.

  6. Ga op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat naar XML-bestand met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden en vervolgens op te slaan op de computer.

    De link om het certificaat te downloaden

  7. In de sectie Salesforce instellen kopieert u de juiste URL('s) op basis van uw behoeften.

    Configuratie-URLs kopiëren

Testgebruiker voor Microsoft Entra maken en toewijzen

Volg de richtlijnen in de snelstartgids gebruikersaccount maken en toewijzen om een testgebruikersaccount met de naam B.Simon aan te maken.

SSO configureren voor Salesforce

  1. Meld u in een ander browservenster als beheerder aan bij uw Salesforce-bedrijfssite

  2. Kies de Setup- bij het instellingen-icoon in de rechterbovenhoek van de pagina.

    Eenmalige aanmelding configureren - Instellingspictogram

  3. Scroll naar beneden naar de instellingen in de navigatiekolom en selecteer Identiteit om de gerelateerde sectie uit te vouwen. Selecteer vervolgens Eénvoudige Sign-On Instellingen.

    Eenmalige aanmelding configureren - Instellingen

  4. Selecteer op de pagina Instellingen voor enkele Sign-On de knop Bewerken.

    Eenmalige aanmelding configureren - Bewerken

    Notitie

    Als u de instellingen voor eenmalige aanmelding voor uw Salesforce-account niet kunt inschakelen, moet u mogelijk contact opnemen met ondersteuningsteam van Salesforce.

  5. Selecteer SAML enableden selecteer Opslaan.

    Eenmalige aanmelding configureren - SAML is ingeschakeld

  6. Als u de saml-instellingen voor eenmalige aanmelding wilt configureren, selecteert u Nieuw in het metagegevensbestand.

    Eenmalige aanmelding configureren - Nieuw op basis van een metagegevensbestand

  7. Selecteer Bestand kiezen om het XML-bestand met metagegevens te uploaden dat u hebt gedownload, en klik vervolgens op Maken.

    Single Sign-On configureren - Kies bestand

  8. Op de pagina SAML Single Sign-On Settings worden velden automatisch ingevuld. Als u SAML JIT wilt gebruiken, selecteert u de optie User Provisioning Enabled en selecteert u SAML Identity Type als Assertion bevat de federatie-id uit het gebruikersobject. Anders deselecteert u de optie User Provisioning Enabled en selecteert u SAML Identity Type als Assertion bevat de Salesforce-gebruikersnaam van de gebruiker. Selecteer opslaan.

    Single Sign-On configureren - Gebruikersvoorziening is ingeschakeld

    Notitie

    Als u SAML JIT hebt geconfigureerd, moet u een extra stap uitvoeren in de sectie Microsoft Entra Eenmalige aanmelding configureren. In de Salesforce-toepassing worden specifieke SAML-asserties verwacht. Hiervoor moet u specifieke kenmerken hebben in de configuratie van uw SAML-tokenkenmerken. De volgende schermopname toont de lijst met vereiste kenmerken door Salesforce.

    Schermopname met het deelvenster met vereiste JIT-kenmerken.

    Als u nog steeds problemen ondervindt met het inrichten van gebruikers met SAML JIT, raadpleegt u Just-In-Time-inrichtingsvereisten en SAML-assertievelden. Wanneer JIT mislukt, ziet u in het algemeen mogelijk een fout zoals We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. Selecteer in het linkernavigatiedeelvenster in Salesforce Bedrijfsinstellingen om de gerelateerde sectie uit te vouwen en selecteer vervolgens Mijn domein.

    Eenmalige aanmelding configureren - Mijn domein

  10. Schuif omlaag naar de sectie Verificatieconfiguratie en selecteer de knop bewerken.

    Eenmalige aanmelding configureren - Verificatieconfiguratie

  11. Controleer in de sectie Verificatieconfiguratie de aanmeldingspagina en AzureSSO als Authentication Service van uw SAML SSO-configuratie en selecteer vervolgens Opslaan.

    Notitie

    Als er meer dan één verificatieservice wordt geselecteerd, wordt gebruikers gevraagd met welke verificatieservice ze zich graag willen aanmelden om gebruik te maken van eenmalige aanmelding in uw Salesforce-omgeving. Als u niet wilt dat dit gebeurt, moet u andere verificatieservices uitgeschakeld laten.

Een Salesforce-testgebruiker maken

In deze sectie wordt een gebruiker met de naam B.Simon gemaakt in Salesforce. Salesforce biedt ondersteuning voor just-in-time voorzieningen, dat standaard is ingeschakeld. Er is geen actie-item voor u in deze sectie. Als een gebruiker nog niet bestaat in Salesforce, wordt er een nieuwe gemaakt wanneer u Salesforce opent. Salesforce ondersteunt ook automatische inrichting van gebruikers. Meer details over het configureren van automatische inrichting van gebruikers vindt u hier.

Testen van Single Sign-On (SSO)

In deze sectie test u de configuratie van uw Microsoft Entra eenmalige aanmelding met de volgende opties.

  • Selecteer deze toepassing testen. Met deze optie wordt u omgeleid naar de aanmeldings-URL van Salesforce, waar u het inlogproces kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van Salesforce en initieer daar de aanmeldingsstroom.

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u de tegel Salesforce selecteert in de Mijn apps-portal, wordt u automatisch aangemeld bij het exemplaar van Salesforce waarvoor u SSO hebt geconfigureerd. Zie Invoer naar de Mijn apps-portal voor meer informatie over de Mijn apps-portal.

Test SSO voor Salesforce (mobiel)

  1. Open de mobiele Salesforce-toepassing. Selecteer op de aanmeldingspagina Aangepast domein gebruiken.

    Mobiele app van Salesforce - Aangepast domein gebruiken

  2. Voer in het tekstvak Aangepast domein uw geregistreerde aangepaste domeinnaam in en selecteer Doorgaan.

    Mobiele app van Salesforce - Aangepast domein

  3. Voer uw Microsoft Entra-referenties in om u aan te melden bij de Salesforce-toepassing en selecteer Next.

    Salesforce mobiele app Microsoft Entra inloggegevens

  4. Op de pagina Toegang toestaan, zoals hieronder weergegeven, selecteer Toestaan om toegang te verlenen tot de Salesforce-toepassing.

    Mobiele app van Salesforce - Toegang toestaan

  5. Na een geslaagde aanmelding wordt de startpagina van de toepassing weergegeven.

    Startpagina van mobiele Salesforce-app Mobiele Salesforce-toepassing

Bestaande gebruikers ontdekken in Salesforce

Voorafgaand aan de integratie met Microsoft Entra heeft uw Salesforce-account mogelijk al een of meer gebruikers. Met behulp van de functionaliteit voor accountdetectie kunt u met één klik een rapport genereren van alle gebruikers in Salesforce, bepalen welke gebruikers overeenkomende accounts hebben in Entra en welke gebruikers lokaal zijn in Salesforce. Meer informatie over de functionaliteit voor accountdetectie vindt u hier. Hierdoor kunt u onboarding voor Entra vereenvoudigen, terwijl u ook periodiek kunt controleren op onbevoegde toegang.

Toegang tot toepassingen voorkomen via lokale accounts

Nadat u hebt gevalideerd dat eenmalige aanmelding werkt en het hebt uitgerold in uw organisatie, schakelt u toepassingstoegang uit door gebruik van lokale referenties. Dit zorgt ervoor dat uw beleid voor voorwaardelijke toegang, MFA, enzovoort is ingesteld om aanmeldingen bij Salesforce te beveiligen.

Verwante inhoud

Als u Enterprise Mobility + Security E5 of een andere licentie voor Microsoft Defender for Cloud Apps hebt, kunt u een audittrail van toepassingsactiviteiten in dat product verzamelen, die kunnen worden gebruikt bij het onderzoeken van waarschuwingen. In Defender for Cloud Apps kunnen waarschuwingen worden geactiveerd wanneer activiteiten van gebruikers, beheerders of aanmeldingen niet voldoen aan uw beleid. Door het verbinden van Microsoft Defender for Cloud Apps met Salesforce verzamelt Defender for Cloud Apps aanmeldingsgebeurtenissen van Salesforce.

Daarnaast kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Leer hoe u sessiebeheer kunt afdwingen met Microsoft Defender voor Cloud-apps.

  • Last updated on