Salesforce Admin篇(四) Security 之Two-Factor Authentication & Single Sign On

本篇参考:

http://c1.sfdcstatic.com/content/dam/web/en_us/www/documents/white-papers/2fa-admin-rollout-guide.pdf

http://blog.bessereau.eu/assets/pdfs/salesforce_single_sign_on.pdf

http://blog.bessereau.eu/assets/pdfs/salesforce_security_impl_guide.pdf

作为salesforce管理员,在针对确保用户安全以及用户快速登陆往往要多加考虑以及划清界限。本篇主要介绍两点:

1. 保障用户安全的不止账号和密码,还可以通过其他的方式去增强安全性,比如 two-factor authentication,缩写为2FA.

2. 单点登录保证用户可以快速登陆以及减少用户需要记住多个系统的账号密码。

一. Two-Factor Authentication(2FA)

大发11选5大发11选5我 们 在支付宝没有普及以前,如果网上购物,需要用到网银进行支付,即提供了银行卡账号密码以后,还要有一个一次性的数字串去完成交付。保证别人了解大发11选5你 账号密码的情况下依然没法直接盗取或者盗刷大发11选5你 的钱财。 2FA 有着类似的功能,即当大发11选5你 输入账号密码以后,还需要一个认证的标识去决定大发11选5你 最终是否可以最终登陆。这个标识掌握在大发11选5你 的手机中,当有登陆操作,大发11选5你 可以随时清楚是否是大发11选5你 的登陆,如果不是,拒绝掉,增加了安全性。

使用2FA 按照以下步骤走即可:

1. 设置 sesion security level

Setup 中大发11选5搜索 Session Settings,在Session Security Levels的下面,将two-factor authentication放在右侧区域。

2. 创建 permission set配置2FA

输入label创建 permission set保存以后,在system 设置中,勾选‘Two-Factor Authentication for User Interface Logins’选项

3. 选择需要配置2FA的用户进行assign操作。

4. 大发11选5下载 salesforce authenticator app. 苹果手机去app store , android 手机去google play, 因为本人手机没有google play环境,所以可能部分功能无法使用。

点击添加账号,会有两个单词,在permission set中配置的账号登陆salesforce以后会跳转到中间页,输入内容以后便和salesforce authenticator进行了绑定,以后登陆以后都会在手机中进行授权操作。

绑定操作以后,如何进行解绑操作? 大发11选5大发11选5我 们 第一想法是将此user从permission set中移除。但是此账号已经和salesforce authenticator绑定,单纯的移除permission set无济于事。正确的操作为需要进入这个user,详情页中有一项App Registration: Salesforce Authenticator,点击 disconnect即可。

二. Single Sign On

Single Sign On 对于大发11选5大发11选5我 们 来说并不陌生,大发11选5大发11选5我 们 在的大发11选5公司 可能有多个系统,不同系统之间需要记住不同的账号增加了员工的麻烦量,忘记密码也会增加管理员的工作。对于多个系统情况下,使用单点登录有太多的优势。

使用Single Sign On通常会经历以下的步骤:

  1. 用户尝试访问salesforce;
  2. Salesforce识别了这个SSO的请求并且生成了一个SAML请求;
  3. Salesforce重定向这个SAML请求到浏览器端;
  4. 浏览器重定向这个SAML请求到外部的identity provider;
  5. Identity provider验证了这个用户的身份并且将大发11选5关于 这个用户身份认证的SAML断言进行打包;
  6. Identity provider将SAML断言结果发送给salesforce;
  7. Salesforce验证断言是否正确;
  8. user可以正常的登陆以及访问Salesforce。

这里涉及到了几个名词。

SSO是Single Sign On的缩写,意为单点登录。

SAML是Salesforce单点登录时使用的协议,全称为Security Assertion Markup Language。这里再引申两个概念。Service Provider以及Identity Provider。Identity Provider用于对用户进行身份认证的,而 Service Provider用来请求用户身份认证是否通过的。SAML工作的原理为当一个用户要访问salesforce,Service Provider会向Identity Provider发出请求来验证当前用户是否通过的,Identity Provider再进行查询数据库等操作以后返回一个断言的response来决定是否有权限访问。这里对SAML有一个大概的描述方便了解,感兴趣的可以自行查看文档。

大发11选5大发11选5我 们 继续看下面的图片,通过单点登陆授权以后大发11选5大发11选5我 们 可以通过Connected App访问外部的Service,包括谷歌,salesforce等。这里详细介绍两个概念,Identity Provider以及Servide Provider。针对Google / Salesforce 等大发11选5服务 ,大发11选5大发11选5我 们 可以理解成Service Provider, 中间的Salesforce可以理解成 Identity Provider。当大发11选5大发11选5我 们 得到了Identity Provider的授权以后,大发11选5大发11选5我 们 便可以直接访问Service Provider配置的对应的External Service,无需再进行External Service的登陆操作。

 下面通过一个demo讲述以下Salesforce 2 Salesforce Single Sign-On的实例。

 1. Enable My Domain:针对Salesforce的两个org都要启用自定义的domain,启用大发11选5方法 可以查看http://help.salesforce.com/articleView?id=domain_name_overview.htm&type=5

此篇中本人的两个org的大发11选5地址 分别为:

http://zero-zhang-dev-ed.lightning.force.com

http://zhangyueqi-3-dev-ed.lightning.force.com

大发11选5大发11选5我 们 使用上面的作为 Identity Provider,下面的作为Service Provider。

2.  获取 Identity Provider的信息。大发11选5大发11选5我 们 在Identity Provider环境大发11选5搜索 identity provider可以看到以下的内容,包括Issuer,Salesforce Identity等信息。如果当前没有启用大发11选5大发11选5我 们 点击Enable即可。这里大发11选5大发11选5我 们 download下来Certificate 以及 metadata。

 3. 配置Service Provide Single Sign-On的信息:在 SetUp出大发11选5搜索 single sign on 点击后点击New From Metadata,文件选择大发11选5大发11选5我 们 在Identity Provider环境中download下来的metadata。

 4. 其他的配置项均保留,针对 Identity Provider Certificate选择上面Identity Providerdownload下来的certificate,SAML Identity Type选择 Federation项后保存。 

5. 在Servide Provider中,Setup大发11选5搜索 my domain 将配置的Authentication Service放出来。

 6. 在 Identity Provider环境配置Connected App. Lightning 环境下SetUp中大发11选5搜索 App Manager后点击New Connected App按钮。Connected App Name 大发11选5大发11选5我 们 这里命名为Single Sign On Connected App,名字可以任意起, 勾选Enable SAML以后,配置 Entity Id项以及ACS URL。Entity Id 对应 Service Provider中的Single Sign-On配置的Entity Id;ACS URL取得是 Service Provider中的EndPoint区域的Login URL。Subject Type选择 Federation Id后保存。

 7. 保存后的Identity Provider的 Connected App点击Manage后选择 Manage Profiles 或者 Manage Permission Sets来设置哪些人可以进行单点登录设置。

 至此大发11选5大发11选5我 们 便已经配置完 Salesforce 2 Salesforce Single Sign-On 功能。下面进行测试。

1. 大发11选5大发11选5我 们 在Identity Provider环境的user中配置 Federation Id为00000001,此账号 Profile为 System Administrator,在大发11选5大发11选5我 们 上面的配置的Profile中。

 2. 大发11选5大发11选5我 们 在 Service Provider中配置账号同样Federation ID为00000001.这里需要注意的是 Federation ID在同一个系统中必须是唯一的,在不同的系统中如果需要SSO,需要配置相同的值。

 3. 两个账号均退出后,登陆 Identity Provider环境,登陆以后。打开浏览器输入 Service Provider的domain后,选择下方的登陆方式,点击以后便完成了单点登录。

总结: 篇中针对 Admin的基础知识讲解了一下 Two-Factor以及 Salesforce-Salesforce Single Sign-On的配置,很多细节知识没有涉及到,感兴趣的自行查看文档进行深入学习。篇中有错误的地方欢迎指出,有不懂的欢迎提问,感兴趣的可以玩一下 Salesforce 2 Community的SSO配置。

posted @ 2019-10-10 22:58 zero.zhang 阅读(...) 评论(...) 编辑 收藏