Partilhar via

Configure o Salesforce para autenticação única no Microsoft Entra ID

Neste artigo, aprende como integrar o Salesforce com o Microsoft Entra ID. Quando integra o Salesforce com o Microsoft Entra ID, pode:

  • Controle quem tem acesso ao Salesforce no Microsoft Entra ID.
  • Permita que os seus utilizadores sejam automaticamente autenticados no Salesforce através das suas contas Microsoft Entra.
  • Gerencie suas contas em um local central.

Nota

Estamos cientes de que a Salesforce aplicou as alterações à ativação de dispositivos para os Logins Single Sign-On (SSO) a partir de 3 de fevereiro de 2026. Trabalhámos de perto com a equipa da Salesforce e, a partir de 3 de fevereiro, a Salesforce começará a aceitar a reivindicação authnmethodreferences incluída por defeito no token SAML emitido pela Entra ID. Se a reivindicação authnmethodreferences contiver o valor multipleauthn, o Salesforce tratará o dispositivo como confiável. Por favor, certifique-se de que a sua política de Acesso Condicional, que irá aplicar a MFA, está configurada para satisfazer este requisito. Pode ler mais sobre esta afirmação aqui.

Para clientes que utilizam autenticação OpenID Connect com Salesforce ou se tiver configurado o Salesforce com fornecedor personalizado OpenID Connect por favor certifique-se de que está a usar apenas Entra ID endpoint V1, pois o endpoint V1 pode fornecer a reivindicação AMR no token ao Salesforce. O suporte para endpoints da V2 chegará em breve, mas até lá por favor use apenas o endpoint da V1.

Para clientes que utilizam o AD FS como fornecedor de federação com Entra ID, por favor siga as orientações publicadas aqui para que Entra ID tenha esta reivindicação no token SAML.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura habilitada para logon único (SSO) do Salesforce.

Descrição do cenário

Neste artigo, configura e testa o Microsoft Entra SSO num ambiente de teste.

  • O Salesforce oferece suporte ao SSO iniciado pelo SP .

  • O Salesforce oferece suporte ao provisionamento e desprovisionamento automatizados de usuários (recomendado).

  • O Salesforce oferece suporte ao provisionamento de usuários Just In Time .

  • A aplicação Salesforce Mobile pode agora ser configurada com o Microsoft Entra ID para ativar o SSO. Neste artigo, configura e testa o Microsoft Entra SSO num ambiente de teste.

Para configurar a integração do Salesforce no Microsoft Entra ID, precisa de adicionar o Salesforce da galeria à sua lista de aplicações SaaS geridas.

  1. Inicie sessão no centro de administração Microsoft Entra pelo menos como Cloud Application Administrator.
  2. Navegue para Entra ID>aplicações empresariais>Nova aplicação.
  3. Na seção Adicionar da galeria, digite Salesforce na caixa de pesquisa.
  4. Selecione Salesforce no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente de configuração, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e também configurar o SSO. Aprenda mais sobre Microsoft 365 magos.

Configure e teste o Microsoft Entra SSO para Salesforce

Configure e teste Microsoft Entra SSO com o Salesforce usando um utilizador de teste chamado B.Simon. Para o SSO funcionar, é necessário estabelecer uma relação de ligação entre um utilizador da Microsoft Entra e o utilizador relacionado no Salesforce.

Para configurar e testar o Microsoft Entra SSO com o Salesforce, execute os seguintes passos:

  1. Configure Microsoft Entra SSO - para permitir que os seus utilizadores usem esta funcionalidade.
    • Criar um utilizador de teste Microsoft Entra - para testar Microsoft Entra login único com o B.Simon.
    • Atribuir o utilizador de teste Microsoft Entra - para permitir que B.Simon use a autenticação única do Microsoft Entra.
  2. Configure o Salesforce SSO - para definir as configurações de logon único no lado do aplicativo.
  3. Teste SSO - para verificar se a configuração funciona.

Configure Microsoft Entra SSO

Siga estes passos para ativar o Microsoft Entra SSO.

  1. Inicie sessão no centro de administração Microsoft Entra pelo menos como Cloud Application Administrator.

  2. Navegue por Entra ID>Aplicações empresariais>Salesforce>Login único.

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Na página Configurar início de sessão único com SAML, selecione o ícone de lápis para Configuração Básica do SAML para editar as definições.

    Editar configuração básica de SAML

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    a) Na caixa Identificador, introduza o valor usando o seguinte padrão:

    Conta Empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    b) Na caixa de texto URL de Resposta, digite o valor usando o seguinte padrão:

    Conta Empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    c. Na caixa de texto de URL de início de sessão, escreva o valor utilizando o seguinte padrão:

    Conta Empresarial: https://<subdomain>.my.salesforce.com

    Conta de desenvolvedor: https://<subdomain>-dev-ed.my.salesforce.com

    Nota

    Esses valores não são reais. Atualize esses valores com o Identificador, URL de resposta e URL de logon reais. Entre em contato com a equipe de suporte ao cliente Salesforce para obter esses valores.

  6. Na página Configurar logon único com SAML, na secção Certificado de Assinatura do SAML, localize Metadados de Federação XML e selecione Transferir para baixar o certificado e guardá-lo no seu computador.

    O link de download do certificado

  7. Na seção Configurar o Salesforce , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    Copiar URLs de configuração

Criar e atribuir utilizador de teste Microsoft Entra

Siga as orientações do guia rápido para criar e atribuir uma conta de utilizador e crie uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do Salesforce

  1. Em uma janela diferente do navegador da Web, faça login no site da empresa Salesforce como administrador

  2. Selecione o Configurações sob ícone de configurações no canto superior direito da página.

    Ícone para Configurar definições de Logon Único

  3. Role para baixo até às CONFIGURAÇÕES no painel de navegação, selecione Identidade para expandir a seção relacionada. Em seguida, selecione Único Sign-On Configurações.

    Definir configurações de logon único

  4. Na Página de Configurações Sign-On Única, selecione o botão Editar.

    Editar Configuração de Logon Único

    Nota

    Se você não conseguir habilitar as configurações de logon único para sua conta do Salesforce, talvez seja necessário entrar em contato com equipe de suporte ao cliente Salesforce.

  5. Selecione SAML Enablede, em seguida, selecione Salvar.

    Configurar logon único ativado por SAML

  6. Para definir as configurações de logon único do SAML, selecione Novo no Arquivo de Metadados.

    Configurar Novo Logon Único a partir do Ficheiro de Metadados

  7. Selecione Escolher arquivo para carregar o arquivo XML de metadados que você baixou e selecione Criar.

    Configurar Logon Único Escolher Arquivo

  8. Na página Configurações de Logon Único SAML, os campos são preenchidos automaticamente; se pretender usar o JIT SAML, selecione User Provisioning Enabled e escolha SAML Identity Type como Assertion contém o ID de Federação do objeto do Utilizador; caso contrário, desmarque o User Provisioning Enabled e selecione SAML Identity Type como Assertion contém o nome de utilizador do Salesforce do Utilizador. Selecione Salvar.

    Configurar o Provisionamento de Utilizador de Logon Único Habilitado

    Nota

    Se configurou JIT SAML, deve completar um passo adicional na secção Configurar Microsoft Entra SSO. O aplicativo Salesforce espera asserções SAML específicas, o que exige que você tenha atributos específicos em sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos necessários pelo Salesforce.

    Captura de tela que mostra o painel de atributos necessários do JIT.

    Se ainda tiveres problemas com o provisionamento de utilizadores através do SAML JIT, consulta Just-in-time provisioning requirements and SAML assertion fields. Geralmente, quando o JIT falha, você pode ver um erro como We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

  9. No painel de navegação esquerdo do Salesforce, selecione Configurações da Empresa para expandir a seção relacionada e, em seguida, selecione Meu Domínio.

    Configurar o Logon Único Meu Domínio

  10. Role para baixo até a seção Configuração de Autenticação e selecione o botão Editar.

    Configurar configuração de autenticação de logon único

  11. Na seção Configuração de Autenticação, marque a Página de Logon e AzureSSO como Serviço de Autenticação da sua configuração de SSO SAML e, em seguida, selecione Salvar.

    Nota

    Se mais de um serviço de autenticação for selecionado, os usuários serão solicitados a selecionar com qual serviço de autenticação desejam fazer login ao iniciar o logon único em seu ambiente Salesforce. Se você não quiser que isso aconteça, então você deve deixar todos os outros serviços de autenticação desmarcados.

Criar usuário de teste do Salesforce

Nesta seção, um usuário chamado B.Simon é criado no Salesforce. O Salesforce oferece suporte ao provisionamento just-in-time, que é habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Salesforce, um novo será criado quando você tentar acessar o Salesforce. O Salesforce também oferece suporte ao provisionamento automático de usuários, você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuários.

Teste de SSO

Nesta secção, testa a sua configuração de login único do Microsoft Entra com as seguintes opções.

  • Selecione Testar este aplicativo, essa opção redireciona para a URL de logon do Salesforce, onde você pode iniciar o fluxo de login.

  • Acesse diretamente a URL de logon do Salesforce e inicie o fluxo de login a partir daí.

  • Podes usar Microsoft As Minhas Aplicações. Quando seleciona o tile do Salesforce no portal As Minhas Aplicações, deverá iniciar sessão automaticamente no Salesforce para o qual configurou o SSO. Para mais informações sobre o portal As Minhas Aplicações, consulte Introdução ao portal As Minhas Aplicações.

Testar o SSO para Salesforce (Mobile)

  1. Abra o aplicativo móvel Salesforce. Na página de início de sessão, selecione Utilizar Domínio Personalizado.

    App móvel da Salesforce Utilizar domínio personalizado

  2. Na caixa de texto Domínio Personalizado, introduza o seu nome de domínio personalizado registado e selecione Continuar.

    Domínio personalizado do aplicativo móvel Salesforce

  3. Introduza as suas credenciais de Microsoft Entra para iniciar sessão na aplicação Salesforce e selecione Próximo.

    Credenciais do aplicativo móvel Salesforce Microsoft Entra

  4. Na página Permitir acesso, conforme mostrado abaixo, selecione Permitir que dê acesso ao aplicativo Salesforce.

    Permitir acesso à aplicação móvel Salesforce

  5. Finalmente, após o login bem-sucedido, a página inicial do aplicativo é exibida.

    Página inicial do aplicativo móvel Salesforce Aplicativo móvel Salesforce

Descubra utilizadores existentes no Salesforce

Antes da integração com a Microsoft Entra, a sua conta Salesforce pode já ter um ou mais utilizadores. Usando a funcionalidade de descoberta de contas, pode gerar um relatório de todos os utilizadores no Salesforce, identificar quais os utilizadores que têm contas correspondentes no Entra, e quais são locais no Salesforce com um clique. Saiba mais sobre a funcionalidade de descoberta de contas aqui. Isto permite-lhe simplificar a integração no Entra, ao mesmo tempo que monitoriza periodicamente para acessos não autorizados.

Impedir o acesso ao aplicativo por meio de contas locais

Depois de validar que o SSO funciona e implementá-lo em sua organização, desative o acesso ao aplicativo usando credenciais locais. Isso garante que suas políticas de Acesso Condicional, MFA, etc. estejam em vigor para proteger as entradas no Salesforce.

Conteúdo relacionado

Se tiver a Enterprise Mobility + Security E5 ou outra licença para Microsoft Defender for Cloud Apps, pode recolher um registo de auditoria das atividades da aplicação nesse produto, que pode ser usado para investigar alertas. No Defender for Cloud Apps, podem ser ativados alertas quando atividades de um utilizador, de um administrador ou de início de sessão não cumprem as suas políticas. Ao ligar Microsoft Defender for Cloud Apps ao Salesforce , os eventos de início de sessão do Salesforce são recolhidos por Defender for Cloud Apps.

Além disso, você pode aplicar o Controle de Sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O Controle de Sessão se estende do Acesso Condicional. Aprenda a impor controlo de sessão com Microsoft Defender for Cloud Apps.

  • Last updated on