将SAML断言从SalesForce发送到已连接的应用程序

因此，我向SalesForce添加了一个已连接的应用程序。连接的应用程序链接到外部web应用程序

当用户通过应用程序启动器或右上角下拉菜单单击已连接的应用程序时，我希望这样做：
1:SalesForce将会话SAML令牌或SAML请求转发给外部应用程序SAML端点/标识提供程序
2：外部Web应用程序SAML端点/身份提供程序验证SAML令牌或请求
3：外部应用程序接收SAML断言并进行验证。将用户登录到外部应用程序

这可能吗

或者，如果在步骤2中使用SalesForce作为身份提供者，该工作流是否可能工作

---

谢谢

如果SalesForce被用作SAMLv2 IdP（身份提供者-发行方），那么这是可能的。您的应用程序将充当SAMLv2 SP（服务提供商-依赖方）。在Web SSO中，身份验证总是发生在IdP上。只有在执行帐户链接时（当您有不同的标识库时），才能在两个实体上进行身份验证，否则无法链接标识。

Bernhard提供的链接为我提供了将SAML断言从连接的应用程序发布到外部应用程序所需的信息

---

谢谢你。知道如何让SF将SAML断言发布到我设置的“已连接的应用程序”/“服务提供商”中吗？我遵循了本教程，但当我单击SF中的应用程序链接时，解释SAML是否真的发布到我的服务提供商有点容易。可能会发出更多的光。如SF IdP所示，执行IdP初始化SSO。这意味着IdP使用配置的“绑定”（最有可能是HTTP POST绑定）直接将SAML断言发送到配置ACS（断言使用者服务）端点/URL您可以使用Firefox的SAML跟踪插件来检查发送的SAML协议消息，gmail连接的应用程序示例提供了将SAML断言从连接的应用程序发布到外部应用程序所需的所有信息。托马斯：实施指南已更改。您能否分享如何“将SAML断言从我连接的应用程序发布到我的外部应用程序”？一个想法是将Salesforce配置为IdP，然后按照Salesforce帮助文档：将SSO从Salesforce配置为Google Apps（）中的描述将canvas应用程序设置为SP。如果您能证实，我将不胜感激。