Als IT-dienstverlener zijn we telkens op zoek naar een zo hoog mogelijke gebruiksvriendelijkheid voor de applicaties die we opleveren. Single Sign-On (SSO), het eenmalig aanmelden voor meerdere applicaties tegelijk, is zo’n hulpmiddel wat hieraan bijdraagt. In deze blog leg ik uit hoe je relatief eenvoudig een integratie kunt maken tussen Azure Active Directory (Azure AD) en Salesforce.

Laten we eerst eens inzoomen op de voordelen van een integratie tussen Salesforce en Azure AD. Met deze integratie benut je de volgende voordelen:

• Beheer uw gebruikers vanuit een centrale locatie, de Azure portal, en bepaal wie er toegang heeft tot Salesforce. Dit maakt on- en offboarding eenvoudiger.
• Met het inschakelen van SSO hoeven gebruikers slechts eenmalig in te loggen voor gebruik van de Office applicaties en Salesforce. In de praktijk zijn gebruikers vaak al ingelogd in Office en hoeven zij dus niet opnieuw in te loggen bij Salesforce. Dit werkt drempelverlagend.

Wellicht ten overvloede om te vermelden: voor het configureren van Azure AD heeft u een Azure AD-abonnement en een Salesforce licentie met toegang tot SSO nodig. Wellicht minder voor de hand liggend maar randvoorwaardelijk voor deze integratie is dat je in Salesforce een domein hebt ingesteld.

Het inrichten van de Azure AD integratie bestaat op hoofdlijnen uit twee stappen met een aantal sub-stappen:

Stap 1: Salesforce toevoegen aan Azure Active Directory

1. Ga naar de Azure Portal. Klik in het linkermenu op Azure Active Directory
   
2. Navigeer naar Enterprise Applications en klik op All Applications
   
3. Klik op de knop New Application
   
4. Gebruik het zoekvak, typ Salesforce en klik op Add

Stap 2: Azure Active Directory SSO configureren en testen

In deze 2e stap gaan we SSO configureren aan de kant van Azure en Salesforce en uiteindelijk ook testen. Je kunt hiervoor gebruikmaken van een testgebruiker aan beide kanten of bijvoorbeeld als Admin je eigen Azure- en Salesforce-account gebruiken.

Stap 1: Azure AD Single Sign-On configureren

We starten met de configuratie aan de kant van Azure.

1. Klik in het linkermenu op Azure Active Directory, navigeer naar Enterprise Applications en klik op All Applications.
2. Klik in de lijst met alle toepassingen op Salesforce. Klik in het menu dat nu opent op Single sign-on.
3. In het venster dat nu opent klik je op de modus SAML.
4. Klik vervolgens op het potlood (in het vak aangeduid met een 1) en vul de volgende 2 velden: Identifier (Entity ID) en Sign on URL. Vul deze velden met een waarde in het volgende format: https://<subdomain>.my.salesforce.com (wanneer je SSO instelt voor een productie-omgeving). Raadpleeg hiervoor Salesforce Setup > Company Settings > My Domain om te achterhalen welk domein je organisatie gebruikt.
   
5. Ga verder naar vak/stap 3 (SAML Signing Certificate) en klik achter Federation Metadata XML op Download.
   

Stap 2: Salesforce Single Sign-On configureren

We vervolgen het proces met het configureren van SSO aan de kant van Salesforce.

1. Ga naar Salesforce > Setup > Identity > Single Sign-On Settings. Klik op Edit.
2. Zet het vinkje achter SAML Enabled aan en klik op Save. Je keert nu terug naar het scherm Single Sign-On Settings.
3. Klik op de knop New from Metadata File.
   
4. Selecteer het zojuist uit de Azure Portal gedownloade XML en klik op Create. De velden op de instellingen-pagina worden nu automatisch gevuld. Pas alleen de naam van de configuratie even aan naar Azure SSO.
5. Ga naar Company Settings > My Domain. Klik achter Authentication Configuration op Edit. Bij het onderdeel Authentication Service selecteer je nu Azure SSO. Klik op Save.

Stap 3: De gebruiker van Azure AD-toewijzen

In deze stap geef je een of meerdere gebruikers toestemming om gebruik te maken van SSO.

1. Ga in de Azure Portal naar Enterprise Applications > All Applications > Salesforce.
2. Klik in het menu aan de linkerkant op Users and Groups. Klik vervolgens op Add User.
   
3. Selecteer nu in venster dat opent de AD gebruikers die je toegang wilt geven tot SSO, in eerste instantie bijvoorbeeld alleen je eigen account, en klik op Select. Selecteer vervolgens de rol van deze gebruikers, gelijk aan het Salesforce-profiel en klik op Select.
4. Klik op Assign.
   

Stap 4: SSO testen.

Nu kun je de geconfigureerde Azure AD integratie voor SSO testen. Dit kan op 2 manieren:

1. Via de MyApps-portal: klik op de tegel Salesforce. Als je SSO goed hebt ingesteld word je nu automatisch ingelogd bij de Salesforce-omgeving waarvoor je SSO hebt ingesteld.
2. Via de reguliere inlogpagina: ga naar https://<subdomain>.my.salesforce.com, bijvoorbeeld https://growteq.my.salesforce.com. Hier zie je nu een knop Azure SSO. Als je SSO goed hebt ingesteld wordt je nu automatisch ingelogd bij de Salesforce-omgeving waarvoor je SSO hebt ingesteld.
   

Je kunt dit proces ook uitvoeren met een Active Directory- en Salesforce-testgebruiker, mits je hiervoor een licentie beschikbaar hebt.

Tot Slot

Maak je gebruik van de integratie met Gmail of Outlook? Dan dienen gebruikers zich na het instellen mogelijk opnieuw in te loggen. Zij moeten hierbij zelf kiezen voor inloggen met een aangepast domein en dit zelf invullen, bijvoorbeeld growteq.my.salesforce.com/.

Heb je vragen over deze integratie of wil je de integratie door Growteq laten configureren? Neem gerust contact met mij op.