<spanclass="curid"><ahref="salesforce.html"class="wikilink1"title="documentation:2.0:applications:salesforce">Salesforce</a></span> Salesforce Inc. est une entreprise d'infonuagique (cloud). Elle est connue pour ses CRM et applications de réseaux sociaux.
It allows one to use <abbrtitle="Security Assertion Markup Language">SAML</abbr> to authenticate users. Il peut utiliser les modes initiés par le SP ou l'IdP.
Il est nécessaire d'avoir configuré <abbrtitle="LemonLDAP::NG">LL::NG</abbr> comme <ahref="../idpsaml.html"class="wikilink1"title="documentation:2.0:idpsaml">fournisseur d'identité SAML</a>,
Pour utiliser le mode initié par le SP, il faut créer le domaine salesforce. Cette création prend jusqu'à 1 heure. (au-dessus d'1h, il y a un problème. Ces problèmes sont généralement résolus en moins de 72 heures)
</p>
<p>
Ensuite <strong>deployer</strong> ce domaine pour accéder à sa configuration.
</p>
<p>
Finalement, vérifier que :
</p>
<ul>
<liclass="level1"><divclass="li"> La politique de connexion</div>
</li>
<liclass="level1"><divclass="li"> La politique de redirection</div>
</li>
<liclass="level1"><divclass="li"> le nom de domaine</div>
</li>
<liclass="level1"><divclass="li"> le service d'authentification</div>
</li>
</ul>
<p>
correspondent aux bonnes valeurs. (adapter le domaine si nécessaire)
</p>
<divclass="noteimportant">Pour l'instant, le paramètre du service d'authentification ne dispose pas d'un domaine disponible. Il faudra revenir plus tard pour adapter ce paramètre. Une fois que la cinématique <abbrtitle="Security Assertion Markup Language">SAML</abbr> fonctionne, mettre le domaine, et supprimer le formulaire de connexion, la redirection se fera alors automatiquement vers le fournisseur d'identité (plus besoin de cliquer pour l'utilisateur). Noter que l'on peut toujours accéder à Salesforce par la page générale de connexion : <ahref="https://login.salesforce.com"class="urlextern"title="https://login.salesforce.com"rel="nofollow">https://login.salesforce.com</a>
<liclass="level1"><divclass="li"> Identity Provider Certificate: whereas it is mentioned that this is the authentication certificate, you must give your LemonLDAP::NG (IdP) signing certificate. S'il n'en dispose pas, en créer un avec la paire de clef déjà générée (on peut le faire avec openssl). "SSL authentication (https)" ne semble pas devoir être sélectionné.</div>
<liclass="level1"><divclass="li"> Signing Certificate : choisir un certificat pour la signature du SP. (en créer un à défaut)</div>
</li>
<liclass="level1"><divclass="li"> Assertion decryption Certificate : choisir un certificat seulement si on veut chiffrer les assertions. (aucun par défaut)</div>
</li>
<liclass="level1"><divclass="li"><abbrtitle="Security Assertion Markup Language">SAML</abbr> Identity Type : choisir "Federation ID". Ceci signifie que l'identifiant utilisateur correspondra avec le champ Federation ID. (voir section suivante)</div>
</li>
<liclass="level1"><divclass="li"><abbrtitle="Security Assertion Markup Language">SAML</abbr> Identity Location : choisir si l'identifiant utilisateur est maintenu dans le sujet ou dans un autre attribut</div>
</li>
<liclass="level1"><divclass="li"> Identity Provider Login <abbrtitle="Uniform Resource Locator">URL</abbr> : l'emplacement du portail utilisateur/mot-de-passe <abbrtitle="Security Assertion Markup Language">SAML</abbr> dans l'IdP</div>
</li>
<liclass="level1"><divclass="li"> Identity Provider Logout <abbrtitle="Uniform Resource Locator">URL</abbr> : l'URL de déconnexion de l'IdP</div>
</li>
<liclass="level1"><divclass="li"> Custom Error <abbrtitle="Uniform Resource Locator">URL</abbr> : on peut rediriger l'utilisateur sur une page particulière en cas d'erreur</div>
</li>
<liclass="level1"><divclass="li"> SP Initiated Binding : choisir n'importe quel protocole supporté (ils le sont actuellement tous par LemonLDAP::NG), HTTP POST est un bon choix</div>
</li>
<liclass="level1"><divclass="li"> Salesforce Login <abbrtitle="Uniform Resource Locator">URL</abbr> : générée automatiquement. C'est le point d'entrée de la cinématique de connexion.</div>
</li>
<liclass="level1"><divclass="li"> OAuth 2.0 Token Endpoint : pas utilisé ici</div>
</li>
<liclass="level1"><divclass="li"><abbrtitle="Interface de programmation">API</abbr> Name : renseigné automatiquement</div>
</li>
<liclass="level1"><divclass="li"> User Provisioning Enabled : création automatique des utilisateurs dans Salesforce (pas fonctionnel à l'heure actuelle)</div>
</li>
<liclass="level1"><divclass="li"> EntityId : identifiant d'entité Salesforce (le SP). Remplir ce champ en conséquence. Ce devrait être la même valeur que l'URL du domaine indiqué dans la section précédente</div>
<h3class="sectionedit6"id="configure_federation_id">Configurer l'identifiant de fédération</h3>
<divclass="level3">
<p>
Finalement, configurer pour chaque utilisateur son identifiant de fédération. Ce sera le lien entre l'assertion <abbrtitle="Security Assertion Markup Language">SAML</abbr> provenant de LemonLDAP::NG (l'IdP) et l'identifiant Salesforce. Ici, le mail a été choisi comme identifiant utilisateur.
Une fois ceci terminé, cliquer pour exporter les métadatas Salesforce et les importer dans LemonLDAP::NG, dans la déclaration du fournisseur de service Salesforce.
</p>
<p>
Voir <ahref="../idpsaml.html"class="wikilink1"title="documentation:2.0:idpsaml">Enregistrer un fournisseur de service dans LemonLDAP::NG</a>.