我们正在使用OpenAM为SalesForce实施SSO。 我们遵循的步骤@http://blogs.oracle.com/rangal/entry/saml2_salesforce_comSalesForce使用openAM启动SSO
有两种情况 1. Idp(OpenAM)发起的SSO。 2.服务提供者(salesForce)启动了SSO。
情况1正常工作。情景2不。
我阅读了SalesForce的SSO最佳实践,即无法为SalesForce SSO实施方案2。它是否正确? 关于 Sameer
SP发起的SSO可能与SFDC一起使用,并且依靠预先存在于浏览器中的cookie(ssostartpage)。这意味着用户应该首次执行IdP init SSO来设置cookie,然后从此点开始,SP init SSO就有可能实现。
查看this post at SFDC security forum了解更多详情。
Salesforce中由SP发起的SAML SSO现在使用'My Domain'功能来删除对持久性cookie的需求。设置“我的域名”,然后,当用户转到http://your_cust_name.my.salesforce.com时,Salesforce将使用主机名来确定将重定向用户的正确身份提供商(IdP)。
This article gives a good overview of the concept和this one explains it specifically in the context of SSO from Microsoft Active Directory Federation Services。即使你在IdP上使用不同的软件,也有很多有用的信息!
谢谢。这有帮助!问候Sameer – user179056 2012-01-09 04:18:39
这篇文章现在已经过时了。您可以使用“我的域名”功能执行SP启动的SSO,而不需要笨重的Cookie。我会通过链接发布另一个答案以获取更多信息。 – metadaddy 2012-01-10 19:20:47