Integrieren von Serviceanbietern in Salesforce

SSO (Single Sign-On, einmaliges Anmelden) ermöglicht Benutzern den Zugriff auf andere Anwendungen, ohne sich jeweils separat anmelden und für jede Anwendung eigene Anmeldeinformationen erstellen (und sich merken) zu müssen. Mit SSO können Sie Ihre Benutzer mit externen Anwendungen verbinden. So kann beispielsweise ein Callcenter-Mitarbeiter auf die Kachel "Kundensupport" im Portal seiner Salesforce-Organisation klicken und auf die Kundensupport-Organisation zugreifen, ohne seine Anmeldeinformationen erneut eingeben zu müssen.

Identitätsanbieter und Serviceanbieter

Um die Abläufe bei SSO zu verstehen, ist es wichtig, mit den Rollen vertraut zu sein, die Identitätsanbieter und Serviceanbieter spielen.

Anbietertyp	Rolle
Identitätsanbieter	Ein vertrauenswürdiger Service, der Benutzern ohne erneute Anmeldung den Zugriff auf andere externe Anwendungen ermöglicht.
Serviceanbieter	Ein Service, der die Identität im Namen der externen Anwendung von einem Identitätsanbieter akzeptiert.

Wenn Salesforce als Ihr Identitätsanbieter fungiert, können Sie eine verbundene Anwendung verwenden, um einen Serviceanbieter in Ihre Organisation zu integrieren. Für diese Art von SSO-Ablauf implementiert die angeschlossene Anwendung zur Benutzerauthentifizierung SAML 2.0 oder OpenID Connect.

Um einen Serviceanbieter in Ihre Salesforce-Organisation zu integrieren, können Sie eine verbundene Anwendung verwenden, die zur Benutzerauthentifizierung SAML 2.0 implementiert. Wählen Sie diese Option, wenn Ihre Organisation bereits das Protokoll SAML verwendet.

Angenommen, Sie haben eine benutzerdefinierte Webanwendung namens "Your Benefits" erstellt, die SAML 2.0 für die Benutzerauthentifizierung implementiert. Sie möchten, dass sich Ihre Benutzer mit ihren Salesforce-Anmeldeinformationen bei dieser Anwendung anmelden können. Um diesen SSO-Flow einzurichten, konfigurieren Sie die Webanwendung Your Benefits als verbundene Anwendung. Da Ihre Organisation das Protokoll SAML implementiert, ist Ihre Salesforce-Organisation bereits als Identitätsanbieter konfiguriert. Wenn sich Benutzer bei ihrer Salesforce-Organisation anmelden, können sie auf die Webanwendung "Your Benefits" zugreifen, ohne sich separat anmelden zu müssen.

1. Ein Vertriebsmitarbeiter meldet sich bei seiner Salesforce-Organisation an und öffnet die Webanwendung "Your Benefits".
2. Salesforce sendet eine SAML-Antwort an den Serviceanbieter, den Sie bei der Konfiguration der verbundenen Anwendung definiert haben.
3. Der Serviceanbieter identifiziert den Benutzer und überprüft die von Salesforce in der SAML-Antwort gesendete digitale Signatur.
4. Der Benutzer ist bei der Webanwendung "Your Benefits" angemeldet.

Wie SAML ist auch OpenID Connect ein Protokoll, das SSO zwischen zwei Services ermöglicht. Im Gegensatz zu SAML ist OpenID Connect für die heutige API-Welt konzipiert. Das Protokoll fügt eine Authentifizierungsschicht oberhalb von OAuth 2.0 hinzu, um einen sicheren Austausch von ID-Token zu ermöglichen, die neben OAuth-Zugriffs-Token auch Benutzerinformationen enthalten.

Um einen Serviceanbieter in Ihre Salesforce-Organisation zu integrieren, können Sie eine verbundene Anwendung verwenden, die zur Benutzerauthentifizierung OpenID Connect implementiert. Zur Nutzung dieser Option muss der Serviceanbieter OpenID Connect-Token akzeptieren. Konfigurieren Sie für Ihren Serviceanbieter eine verbundene App mit dem OpenID Connect-Geltungsbereich. Der OpenID Connect-Geltungsbereich übergibt Benutzerinformationen in einem ID-Token. Benutzer können sich dann mit ihren Salesforce- oder Experience Cloud-Anmeldeinformationen bei der externen Anwendung anmelden.

Angenommen, Sie möchten, dass sich Ihre Benutzer direkt aus Ihrer Salesforce-Organisation bei der externen Anwendung Wellness Tracker anmelden, die OpenID Connect akzeptiert. Deshalb erstellen Sie eine verbundene Anwendung für die Anwendung "Wellness Tracker". Für die verbundene Anwendung aktivieren Sie OAuth-Einstellungen, wählen den Geltungsbereich "Zugriff auf Ihre eindeutige Kennung (openid) zulassen" und konfigurieren ein ID-Token. Diese Konfiguration ermöglicht den SSO-Flow für Ihre Anwendung Wellness Tracker, indem sie den Serviceanbieter in Ihre Salesforce-Organisation integriert.

1. Ein Benutzer öffnet die Anwendung "Wellness Tracker".
2. Salesforce sendet die Client-ID und das Geheimnis der verbundenen Anwendung zusammen mit zusätzlichen Authentifizierungsdaten an den Wellness Tracker-Service.
3. Der Wellness Tracker-Service bestätigt die Anforderung des Zugriffs auf die Anwendung. Der Service gibt die Informationen dann an den Salesforce-Server im Austausch gegen Token für den Zugriff auf Benutzerdaten zurück.
4. Salesforce sendet die Token an den Wellness Tracker-Service.
5. Der Wellness Tracker-Service autorisiert den Zugriff auf den Wellness Tracker-Account des Benutzers.
6. Der Benutzer ist bei der Anwendung Wellness Tracker angemeldet.

Läuft bei Ihnen! Sie haben erfahren, wie Sie verbundene Anwendungen verwenden können, um externe Anwendungen in die Salesforce-API zu integrieren, und wie Sie sie zur Integration von Serviceanbietern in Salesforce verwenden können. Nun wollen wir uns damit befassen, wie Sie verbundene Anwendungen verwenden können, um Autorisierung für externe API-Gateways zu ermöglichen.