委派身份验证类似于单点登录 (SSO),即允许用户访问多个应用程序而无需单独登录每个应用程序。Vault 委派身份验证提供 SSO 功能,允许已登录参与应用程序的用户访问 Vault 而无需再次登录。
委派身份验证是 SAML 的轻量级 SSO 替代方案,因为它不需要身份提供方的开销作为两个系统之间的中介。但它不如 SAML 那么灵活,因为它要求用户首先在参与的应用程序中建立活动会话,然后使用该会话来建立 Vault 会话。
委派身份验证非常适用于以下场景:用户主要使用其中一个参与的应用程序并将 Vault 用作支持文档储存库。呼叫中心的用户就是这样一个例子,该用户使用 Salesforce Service Cloud 作为前端,与 Vault 集成作为后端文档储存库。Vault 文档可以直接显示在使用 Vault API 和委派身份验证的 Salesforce UI 中。Vault 中委派身份验证目前适用于 Salesforce.com/Veeva CRM。
关键概念
- 委派身份验证是根据安全策略启用的。它不会取代用户的 Vault 密码,而是提供另一种建立 Vault 会话的机制。
- 只有具有有效密码的活动 Vault 用户才能使用委派身份验证。禁用用户、锁定用户(由于密码输入失败)和密码过期的用户无法通过委派身份验证访问 Vault。
- 在技术方面,委派身份验证允许 Vault 使用活动的 salesforce.com 会话来建立相应的 Vault 会话。触发机制是为所需的 Vault 页面或文档发送 URL,并且包含几个提供所需会话上下文的 URL 查询字符串参数。
配置 Salesforce.com 的身份验证
注意:在其 Spring ‘18 版本中,Salesforce 宣布了一项重要更新,即从 Visualforce 的 URL 中删除实例名称。Vault 完全支持此重要更新中详述的更改。
通过 Salesforce 委派身份验证在 Vault 和 Salesforce.com/Veeva CRM 组织之间建立了一对一的关系。对于拥有多个 Salesforce.com 组织和 Veeva Vault 实例的客户,这是实施时需要考虑的一个因素。此外,它要求参与应用程序中的用户与 Vault 用户之间建立起一对一的关系。这就意味着,例如,您不能将多个 Salesforce.com 用户与单个 Vault 用户关联。您也不能将多个 Vault 用户与参与应用程序中的单个用户关联,例如,您不能让 Salesforce.com 用户在生产 Vault 以及测试或预发布版 Vault 中委派身份验证。
要使用 salesforce.com 配置委派身份验证:
- 在一个或多个安全策略中选中允许通过 salesforce.com 登录复选框。输入 Salesforce.com 组织的 18 位 Salesforce 组织 ID。您需要转换 15 位 Salesforce ID。有许多在线工具可执行此操作。
- 如果您的 Vault 用户名与 salesforce.com 用户名相同,则无需进一步配置。如果用户名不同,请为将使用委派身份验证的每个 Vault 用户提供 Salesforce 用户名。
- 有关配置 URL 以通过委派身份验证访问 Vault 页面和文档的详细信息,请参阅 Vault API 文档。