Configurer Salesforce pour UserLock Single Sign-On (SSO)

Activez l’authentification unique (SSO) Salesforce avec UserLock pour centraliser l’authentification, appliquer les politiques d’accès de l’entreprise et simplifier l’accès des utilisateurs à Salesforce.

Publié le 26 septembre 2025

Introduction

Ce guide explique comment intégrer Salesforce avec UserLock Single Sign-On (SSO) en utilisant le protocole SAML 2.0.

Une fois configurées, les connexions Salesforce sont authentifiées par UserLock auprès d’Active Directory, ce qui permet aux administrateurs d’appliquer les stratégies d’accès UserLock (MFA, restrictions d’horaires, de machine ou de localisation) aux sessions Salesforce.

🚩️ Avant de commencer :

  • Vous devez disposer d'un compte administrateur Salesforce avec accès à Setup.

  • Le SSO UserLock doit déjà être installé et configuré.

Étape 1. Configurer Salesforce pour l’authentification unique

Choisissez l’une des deux méthodes suivantes :

  • Utiliser le fichier de métadonnées UserLock SSO (recommandé)

  • Méthode manuelle

Méthode A — Utiliser le fichier de métadonnées SSO (recommandée)

  1. Dans la console UserLock, allez dans ⚙️ Paramètres du serveur ▸ SSO.

  2. Cliquez sur Télécharger ▸ Certificate SAML et enregistrez le fichier.

  3. Dans Salesforce, ouvrez Setup ▸Identity ▸Single Sign-On Settings.

  4. Cliquez sur Edit dans Federated Single Sign-On Using SAML, cochez SAML Enabled, puis cliquez sur Save.

  5. À côté de SAML Single Sign-On Settings, cliquez sur New from Metadata File.

  6. Sélectionnez et chargez le fichier de métadonnées téléchargé depuis UserLock, puis cliquez sur Create.

  7. Salesforce préremplit automatiquement le formulaire SSO. Vérifiez et ajustez les champs suivants si nécessaire :

    • SAML Identity Type : Assertion contains the Federation ID from the User object

    • Service Provider Initiated Request Binding : HTTP POST

    • Single Logout Enabled : décoché

    • Name : nom d’affichage optionnel

  8. Cliquez sur Save.

Méthode B — Méthode manuelle

  1. Dans Salesforce, ouvrez Setup ▸Identity ▸Single Sign-On Settings.

  2. Cliquez sur Edit dans Federated Single Sign-On Using SAML, cochez SAML Enabled, puis cliquez sur Save.

  3. À côté de SAML Single Sign-On Settings, cliquez sur New.

  4. Renseignez les valeurs ci-dessous :

    Propriété

    Valeur

    Name

    Nom d’affichage souhaité (ex. : UserLock SSO)

    Issuer

    Adresse du SSO UserLock
    (visible dans la console UserLock ▸ ⚙ Paramètres du serveur ▸ SSO)

    Identity Provider Certificate

    1. Allez dans UserLock ▸ ⚙️ Paramètres serveur ▸ Single Sign-On

    2. Cliquez sur Télécharger ▸ Certificat SAML.

    3. Uploader le fichier téléchargé

    Request Signing Certificate

    Laisser la valeur par défaut (si vous n’utilisez pas de requêtes signées)

    Request Signature Method

    RSA-SHA256

    Assertion Decryption Certificate

    Laisser la valeur par défaut

    SAML Identity Type

    "Assertion contains the Federation ID from the User object"

    SAML Identity Location

    "Identity is in the Name Identifier element of the Subject statement"

    Service Provider Initiated Request Binding

    HTTP POST

    Identity Provider Login URL

    https://<SSO address>/saml/sso

    Custom Logout URL

    https://<SSO address>/connect/endsession

    Custom Error URL

    Laisser vide

    Single Logout Enabled

    Non coché

    API Name

    Laisser la valeur par défaut

    Entity ID

    https://saml.salesforce.com

    User Provisioning Enabled

    Non coché

  5. Cliquez sur Save.

Étape 2. Configurer les utilisateurs Salesforce

Pour chaque utilisateur utilisant le SSO, le champ Federation ID de l’utilisateur Salesforce doit correspondre à l’attribut ImmutableID (ou équivalent) du compte Active Directory associé.

  1. Dans Salesforce, accédez à Administration ▸ Users ▸ Users.

  2. Cliquez sur Edit sur la fiche utilisateur.

  3. Dans la section Single Sign-On Information, renseignez Federation ID avec l’ImmutableID de l’utilisateur AD (ou l’attribut de mappage choisi).

  4. Cliquez sur Save.

Étape 3. Activer le SSO pour le domaine

Activez le SSO sur votre domaine Salesforce :

  1. Dans Salesforce Setup, accédez à Company Settings ▸ My Domain.

  2. À côté de Authentication Configuration, cliquez sur Edit.

  3. Cochez la case correspondant à UserLock SSO.

  4. Cliquez sur Save.

Étape 4. Activer Salesforce dans UserLock SSO

  1. Dans Salesforce, allez dans Setup ▸ Security ▸ Certificate and Key Management.

  2. Sous Certificates, cliquez sur le dernier certificat de la liste (par ex. SelfSignedCert_... .crt) puis téléchargez-le.

  3. Dans la console UserLock, accédez à ⚙️ Paramètres du serveur ▸ SSO.

  4. Cliquez sur la ligne Salesforce.

  5. Renseignez les champs avec les valeurs issues de votre configuration Salesforce :

    Paramètres

    Valeurs

    Application Domain

    https://<yourInstance>.my.salesforce.com
    (domaine de votre instance Salesforce)

    Émetteur

    ClientId / Entity ID du fournisseur de services Salesforce

    Certificat

    Ouvrez le certificat téléchargé avec un éditeur de texte et copiez son contenu (y compris -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----)

Dépannage

Pour les problèmes courants, consultez la page Dépannage du SSO.
Si le problème persiste, contactez le support IS Decisions.

Gérer l'indisponibilité du SSO

Si le SSO est temporairement indisponible et que les administrateurs doivent se connecter avec des identifiants standards :

  1. Rendez-vous sur https://MyDomain.my.salesforce.com?login

  2. Connectez-vous avec un compte administrateur.

  3. Rétablissez une session de connexion standard pendant la période d’indisponibilité du SSO.