Presentación
Este artículo describe cómo configurar Salesforce como un proveedor de identidad (IdP) SAML 2.0 para el SSO SAML Standard en Docebo. Hay instrucciones disponibles tanto para la experiencia Salesforce Classic como Salesforce Lightning.
Buena práctica: Cuando se deban configurar a la vez una integración SSO y un dominio personalizado que se haya configurado en la Gestión de dominios, se recomienda encarecidamente configurar primero el dominio personalizado. Las URL de extremos necesarias para la integración SSO dependen de la URL de la plataforma.
Requisitos y limitaciones
- La configuración que se describe en este artículo hace referencia a la integración de Salesforce V2. Más información sobre la habilitación del SSO para la integración de Salesforce V3.
- La integración Docebo para SAML debe estar activa en su plataforma.
- Para configurar Salesforce como proveedor de identidad para el SSO SAML no es necesario que esté activa la aplicación Salesforce de Docebo en su plataforma. La aplicación conectada a Salesforce que se describe en este artículo está creada específicamente con fines de SSO y no puede ser reemplazada por ninguna aplicación conectada que esté ya configurada para la integración de Salesforce de Docebo.
- Docebo no ofrece asistencia para Salesforce u otras tecnologías de terceros que implementen el protocolo SAML 2.0. Este artículo debe entenderse únicamente como un conjunto de buenas prácticas para administradores informáticos. Docebo no puede asumir responsabilidad por posibles daños o fallos de funcionamiento debidos a una configuración incorrecta de Salesforce.
A tener en cuenta: Este artículo cubre solo el SSO SAML Standard. La configuración de SSO SAML Smart no se detalla aquí.
Paso 1: Configure su identidad de Salesforce
La identidad de Salesforce conecta a los usuarios de Salesforce que haya en su organización con aplicaciones y servicios externos y proporciona herramientas administrativas para la supervisión, el mantenimiento y la comunicación de autorizaciones y aplicaciones de usuarios. Está disponible en las ediciones Salesforce Classic, Enterprise, Performance, Unlimited, Developer y Database.com.
Empiece por configurar My Domain (Set-up → Domain management → My Domain) introduciendo su nombre de dominio y comprobando su disponibilidad. A continuación, registre su dominio. Cuando lo haya registrado, pulse el botón Click here to Login y, después, seleccione Deploy to Users.
Salesforce Identity conecta a los usuarios de su organización de Salesforce con aplicaciones y servicios externos a la vez que proporciona herramientas administrativas para la supervisión, el mantenimiento y la comunicación de autorizaciones y aplicaciones de usuarios. Está disponible en las ediciones Salesforce Classic, Enterprise, Performance, Unlimited, Developer y Database.com.
Empiece por configurar My Domain. En Salesforce, vaya a Setup, luego Domain Management y luego My Domain. Introduzca su nombre de dominio, compruebe su disponibilidad y regístrelo. Una vez registrado, seleccione el botón Click here to Login y seleccione Deploy to Users.
A continuación, active SAML. La ruta es diferente en función de su experiencia de Salesforce:
- Classic: Setup, luego Security Controls, luego Single Sign-on Settings, luego Federated Single Sign-On Using SAML. Seleccione el botón Edit y active SAML.
- Lightning: Setup, luego Identity, luego Single Sign-on Settings, luego Federated Single Sign-On Using SAML. Seleccione el botón Edit y active SAML.
Paso 2: Configure la aplicación conectada
La ruta de navegación para crear una aplicación conectada es diferente en función de su experiencia de Salesforce:
- Classic: Setup, luego Create, luego Apps, luego Connected App, luego New.
- Lightning: Setup, luego New External Client Apps Settings, luego Connected Apps, luego New Connected App.
Una vez abierto el formulario de la nueva aplicación conectada, rellene la siguiente información básica:
| Campo | Valor |
|---|---|
| Connected App Name | DOCEBO |
| API Name | DOCEBO_SSO_SAML_APP |
| Contact Email | Su dirección de correo electrónico de administrador de Salesforce |
| Logo Image URL | https://www.docebo.com/wp-content/uploads/2015/10/docebo_logo_200x125.png |
| Icon URL | https://www.docebo.com/wp-content/uploads/2015/10/docebo_icon16x16.png |
A continuación, rellene la siguiente información en el área Webapp Settings:
| Campo | Valor |
|---|---|
| Start URL | [Your platform domain name]/lms/index.php?r=site/sso&sso_type=saml |
| Enable SAML | TRUE |
| Entity Id | El valor EntityID de sus metadatos de Docebo SAML 2.0 |
| ACS URL | El valor AssertionConsumerService Location de sus metadatos de Docebo SAML 2.0 |
| Subject Type | Nombre de usuario |
| Name ID Format | urn:oasis:names:tc:SAML:2.0:nameid-format:transient |
| Issuer | [Your platform domain name].my.salesforce.com |
A tener en cuenta: Los valores Entity ID y ACS URL deben copiarse desde su archivo de metadatos de Docebo SAML 2.0. Los metadatos están disponibles en Docebo en el Menú de administrador, Configuración, Configuración de SAML. Los valores mostrados anteriormente tienen únicamente fines ilustrativos y variarán en función de la configuración de su plataforma. Si su plataforma utiliza la aplicación Extended enterprise, el Entity ID y la ACS URL podrán variar para cada dominio.
Solo para Lightning: En la sección Security, configure Signing Algorithm for SAML Messages como SHA256 y seleccione un certificado en el campo Select an IDP Certificate.
Cuando haya terminado, pulse Guardar.
Paso 3: Descargue los metadatos
A continuación, descargue los metadatos de Salesforce que necesitará para configurar el SSO de SAML en Docebo. La ruta de navegación difiere en función de su experiencia de Salesforce:
- Classic: Setup, luego Manage Apps, luego Connected App, luego DOCEBO.
- Lightning: Setup, luego Connected App, luego Manage Connected Apps, luego DOCEBO.
Una vez en la página de la aplicación DOCEBO, seleccione el botón Download Metadata en la sección SAML Login Information.
A tener en cuenta:
- Cuando un usuario inicia sesión a través del SSO de Salesforce, Salesforce envía atributos de usuario en la respuesta de SAML Estas incluyen de forma predeterminada el nombre de usuario y la dirección de correo electrónico del usuario. Si su configuración requiere que se pasen a Docebo atributos adicionales, puede añadir declaraciones de atributos personalizadas en los ajustes de Connected App en Salesforce.
- Si su configuración requiere el cierre de sesión único (SLO), deberá activar el certificado del proveedor de servicios en Docebo. También deberá configurar el certificado correspondiente y solicitar los ajustes de firma del lado de Salesforce Consulte la documentación de SSO de SAML para obtener una guía sobre cómo activar la firma de solicitudes en Docebo.
Paso 4: Implemente la aplicación conectada para los usuarios de Salesforce
Asigne la aplicación conectada a los perfiles de Salesforce o los conjuntos de permisos que deban poder utilizarla para el SSO. La ruta de navegación es diferente en función de su experiencia de Salesforce:
- Classic: Si su configuración requiere el cierre de sesión único (SLO), deberá activar el certificado del proveedor de servicios en Docebo. También deberá configurar el certificado correspondiente y los ajustes de firma de solicitudes en el lado de Salesforce. Consulte la documentación de SSO SAML para obtener una guía sobre cómo activar la firma de solicitudes en Docebo.
- Lightning: Setup, luego Connected App, luego Manage Connected Apps, luego DOCEBO. En la página de la aplicación, seleccione Manage Profiles en el área Profiles, seleccione los perfiles relevantes y pulse Save.
A tener en cuenta: Los usuarios que no estén asignados a uno de los perfiles o conjuntos de permisos seleccionados no podrán iniciar sesión en Docebo a través del SSO de Salesforce.
Paso 5: Configure el SSO SAML en Docebo
Ahora ya puede configurar la aplicación SAML en Docebo utilizando su información de Salesforce. Inicie sesión como Superadministrador en la plataforma y acceda al Menú de navegación >Complementos e integraciones (icono de puzzle)> SAML. Rellene los campos obligatorios de la siguiente manera:
- ID del proveedor de identidad
-
Su dominio de Salesforce
- Metadatos XML
-
Los metadatos que haya descargado de Salesforce
- Atributo del nombre de usuario
-
En el campo Atributo nombre de usuario, introduzca el atributo de Salesforce que identifique de forma unívoca a cada usuario de Docebo. En la mayor parte de las configuraciones, esto es la dirección de correo electrónico del usuario. Puede utilizarse cualquier atributo de usuario de Salesforce siempre y cuando coincida con el valor del Cmapo único configurado para sus usuarios en Docebo. Puede configurarse como Campo único el Nombre de usuario, UUID o el Correo electrónico en su configuración SAML de Docebo.
A tener en cuenta: Los atributos
sfdc_user_typeysfdc_idsolo se requieren cuando se utiliza la aplicación Salesforce de Docebo Salesforce para la sincronización y el aprovisionamiento de usuarios. No se requieren para el SSO SAML Standard.
Consulte la sección de SAML de la base de conocimientos para completar el resto de los campos SAML en su plataforma de aprendizaje.
Paso 6: Lanzador de aplicaciones activado
Ahora ya puede ver directamente el lanzador de aplicaciones de Docebo en Salesforce. Fíjese en las dos capturas de pantalla siguientes para hacerse una idea de cómo se muestra el lanzador de aplicaciones en la interfaz de Salesforce: