Informationen zu verbundenen Anwendungen
Lernziele
- Beschreiben, was eine verbundene Anwendung ist
- Erklären der Einsatzmöglichkeiten einer verbundenen Anwendung
- Bestimmen Ihrer Rolle (Entwickler oder Administrator) bei verbundenen Anwendungen
Machen Sie sich auf den Weg
Wenn Sie mit verbundenen Anwendungen vertraut sind, wissen Sie, dass sie auf vielfältige Weise genutzt werden können. Und wenn Sie noch nicht mit verbundenen Anwendungen vertraut sind, werden Sie feststellen, dass sie das Framework zur Verbindung Ihrer Benutzer, externen Services und Salesforce darstellen. Die Funktion "Verbundenen Anwendungen" ist sehr umfangreich und es bedarf eines Trailhead-Trails, um sie zu beherrschen. Doch keine Sorge! Wir begleiten Sie auf Ihrem Weg und fangen hier mit den Grundlagen an.
In diesem Modul wird erläutert, wie Sie verbundene Anwendungen nutzen können. In den folgenden Modulen gehen wir auf die Details der Erstellung und Konfiguration verbundener Anwendungen ein. Am Ende unseres Wegs werden Sie ein Experte für verbundene Anwendungen sein.
Was ist eine verbundene Anwendung?
Eine verbundene Anwendung ist ein Framework, das einer externen Anwendung über APIs und Standardprotokolle wie Security Assertion Markup Language (SAML), OAuth und OpenID Connect die Integration in Salesforce ermöglicht. Verbundene Anwendungen verwenden diese Protokolle, um externe Anwendungen zu autorisieren, zu authentifizieren und SSO (Single Sign-On, einmaliges Anmelden) zu ermöglichen. Die in Salesforce integrierten externen Anwendungen können auf der Plattform für den Kundenerfolg, anderen Plattformen, Geräten oder in SaaS-Abonnements ausgeführt werden.
Wenn Sie sich beispielsweise bei Ihrer mobilen Salesforce-Anwendung anmelden und die Daten in Ihrer Salesforce-Organisation anzeigen, verwenden Sie eine verbundene Anwendung.
Durch die Erfassung von Metadaten zu einer externen Anwendung teilt eine verbundene Anwendung Salesforce mit, welches Protokoll (SAML, OAuth oder OpenID Connect) die externe Anwendung verwendet und wo sie ausgeführt wird. Salesforce kann der externen Anwendung dann Zugriff auf deren Daten gewähren und Richtlinien hinzufügen, die Zugriffsbeschränkungen festlegen, z. B. wann der Zugriff der Anwendung abläuft. Salesforce kann auch die Nutzung verbundener Anwendungen überwachen.
Wie kann meine Salesforce-Organisation verbundene Anwendungen nutzen?
Es gibt mehrere Möglichkeiten, wie Ihre Organisation von der Nutzung verbundener Anwendungen profitieren kann. Lassen Sie uns Ihnen diese Anwendungsfälle vorstellen.
Zugriff auf Daten über API-Integration
Wenn Entwickler oder unabhängige Softwareanbieter (Independent Software Vendors, ISV) webbasierte oder mobile Anwendungen erstellen, die Daten aus Ihrer Salesforce-Organisation abrufen müssen, können Sie verbundene Anwendungen als Clients verwenden, um diese Daten anzufordern. Dazu erstellen Sie eine verbundene Anwendung, die sich in die Salesforce-APIs integriert.
Angenommen, Sie möchten eine webbasierte Anwendung erstellen, die den Auftragsstatus aus Ihrer Salesforce-Organisation abruft. Dann können Sie eine verbundene Anwendung dafür erstellen. Die verbundene Anwendung integriert die webbasierte Anwendung mithilfe von OAuth 2.0 in Ihre Salesforce-API und gewährt ihr autorisierten Zugriff auf die festgelegten Daten.
Oder vielleicht möchten Sie eine mobile Anwendung entwickeln, die Kundenkontaktdaten aus Ihrer Salesforce-Organisation abruft. Mit dem Salesforce Mobile SDK können Sie OAuth 2.0 für Ihre verbundene Anwendung implementieren. Ihre verbundene Anwendung integriert die mobile Anwendung in Ihre Salesforce-API und gewährt ihr autorisierten Zugriff auf die festgelegten Daten.
Je nach Art der verbundenen Anwendung, die Sie in die Salesforce-API integrieren, können Sie aus mehreren OAuth 2.0-Autorisierungs-Flows wählen. In der nächsten Einheit beschäftigen wir uns mit diesen Flows.
Integrieren von Serviceanbietern in Salesforce
Wenn Salesforce als Ihr Identitätsanbieter fungiert, können Sie eine verbundene Anwendung verwenden, um einen Serviceanbieter in Ihre Organisation zu integrieren. Abhängig von der Konfiguration Ihrer Organisation können Sie eine dieser Methoden verwenden.
Verwenden Sie eine verbundene App mit SAML 2.0, um einen Serviceanbieter in Ihre Organisation zu integrieren. Salesforce unterstützt SSO (Single Sign-On, einmaliges Anmelden) über SAML, wenn entweder der Service- oder Identitätsanbieter den Flow einleitet.
Angenommen, Sie haben eine benutzerdefinierte Webanwendung namens Your Benefits erstellt, die SAML 2.0 für die Benutzerauthentifizierung implementiert. Sie möchten, dass sich Ihre Benutzer mit ihren Salesforce-Anmeldeinformationen bei dieser Anwendung anmelden können. Um diesen SSO-Flow einzurichten, konfigurieren Sie die Webanwendung Your Benefits als verbundene Anwendung. Da Ihre Organisation das Protokoll SAML implementiert, ist Ihre Salesforce-Organisation bereits als Identitätsanbieter konfiguriert. Ihre Benutzer können sich nun mit ihren Salesforce-Anmeldeinformationen bei der Webanwendung Your Benefits anmelden.
Sie können auch eine verbundene Anwendung mit OpenID Connect verwenden, um einen Serviceanbieter in Ihre Salesforce-Organisation zu integrieren. Zur Nutzung dieser Option muss der Serviceanbieter OpenID Connect-Token akzeptieren.
Angenommen, Sie möchten, dass sich Ihre Benutzer direkt aus Ihrer Salesforce-Organisation bei der externen Anwendung Wellness Tracker anmelden, die OpenID Connect akzeptiert. Um diesen SSO-Flow zu nutzen, konfigurieren Sie die Anwendung "Wellness Tracker" als verbundene Anwendung mit dem OpenID Connect-Geltungsbereich. Diese Konfiguration ermöglicht den SSO-Flow für Ihre Anwendung Wellness Tracker, indem sie den Serviceanbieter in Ihre Salesforce-Organisation integriert.
In einer späteren Lektion befassen wir uns eingehender mit diesen Anwendungsfällen. In der Zwischenzeit können Sie alles Wissenswerte über Salesforce Identity Connect und SSO im Trailhead-Modul "Salesforce Identity – Grundlagen" erfahren.
Ermöglichen einer Autorisierung für externe API-Gateways
Salesforce kann als unabhängiger OAuth-Autorisierungsserver fungieren, um Ressourcen zu schützen, die auf einem externen API-Gateway gehostet werden. Mithilfe der dynamischen Clientregistrierung von OpenID Connect können Ressourcenserver Clientanwendungen dynamisch als verbundene Anwendungen in Salesforce erstellen. Salesforce kann diese verbundenen Anwendungen dann autorisieren, um auf geschützte Ressourcen zuzugreifen, die vom Drittanbieter-Service gehostet werden.
So kann beispielsweise Salesforce als OAuth-Autorisierungsserver für API-Gateways fungieren, die auf der Anypoint Plattform von MuleSoft gehostet werden. Mithilfe der dynamischen Clientregistrierung von OpenID Connect können Ressourcenserver Clientanwendungen dynamisch als verbundene Anwendungen erstellen. Diese verbundenen Anwendungen können eine Anforderung an Salesforce senden, in der sie um Zugriff auf Daten bitten, die durch die API-Gateways geschützt sind. Salesforce kann dann die verbundenen Anwendungen autorisieren und authentifizieren und ihnen Zugriff auf die durch die API-Gateways geschützten Daten gewähren.
Wenn dieser Anwendungsfall etwas kompliziert erscheint, machen Sie sich keine Sorgen. Wir gehen in einer späteren Einheit näher darauf ein.
Verwalten des Zugriffs auf Drittanbieteranwendungen
Wenn Ihre Organisation Drittanbieteranwendungen verwendet, wie beispielsweise eine aus AppExchange, können Administratoren Sicherheitsrichtlinien festlegen, um zu steuern, auf welche Daten diese in Ihrer Organisation zugreifen darf. Administratoren können auch festlegen, wer die Drittanbieteranwendung nutzen darf.
Sie können beispielsweise eine Drittanbieteranwendung installieren, die es Benutzern in Ihrer Organisation ermöglicht, Reisereservierungen vorzunehmen. Durch die Auswahl der Option "Vom Administrator genehmigte Benutzer sind vorab autorisiert" für die verbundene Anwendung können Sie der Anwendung bestimmte Benutzerprofile zuweisen. Nur die Benutzer mit diesem Benutzerprofil haben Zugriff auf die Anwendung. Sie können auch eine Richtlinie für die Aktualisierung von Token festlegen, um den Zugriff der Reisereservierungsanwendung auf Ihre Salesforce-Daten nach Ablauf eines bestimmten Zeitraums aufzuheben.
Zusätzlich zur Festlegung von Sicherheitsrichtlinien für die Verwaltung von Drittanbieteranwendungen können Sie diese Anwendungen aus der Salesforce-Organisation deinstallieren und bei Bedarf blockieren.
Wir gehen diesen Anwendungsfall in einem späteren Modul zur Verwaltung verbundener Anwendungen durch.
Welche Rolle spiele ich bei verbundenen Anwendungen?
Um es einfach auszudrücken, erstellen und konfigurieren Entwickler Autorisierungs-Flows für verbundene Anwendungen, und Administratoren legen Richtlinien und Berechtigungen fest, um die Nutzung verbundener Anwendungen zu kontrollieren. Aber jede Rolle birgt noch viel mehr.
Entwickler verbundener Anwendungen
Ein Entwickler verbundener Anwendungen ist ein Salesforce-Entwickler oder ISV, der API-Integrationen oder externe Anwendungen erstellt, die als verbundene Anwendungen auf Salesforce-Daten zugreifen können. Als Entwickler können Sie eine verbundene Anwendung für Ihre Organisation erstellen, die jedoch auch von anderen Salesforce-Organisationen installiert und verwendet werden kann.
Administrator verbundener Anwendungen
Als Administrator verbundener Anwendungen installieren, deinstallieren und (falls erforderlich) blockieren Sie verbundene Anwendungen in der Salesforce-Organisation. Sie konfigurieren auch Berechtigungen und Richtlinien für die Anwendungen, indem Sie explizit festlegen, wer die verbundenen Anwendungen verwenden darf und von wo aus auf die Anwendungen zugegriffen werden darf. Diese Berechtigungen und Richtlinien, die Profile, Berechtigungssätze, IP-Bereichsbeschränkungen und die Multi-Faktor-Authentifizierung umfassen, bieten Ihrer Organisation zusätzliche Sicherheit.
Was kommt als Nächstes?
Wir haben Ihnen einen Überblick gegeben, wie Sie verbundene Anwendungen nutzen können. Nachdem wir Ihnen eine Einführung gegeben haben, lernen wir jeden Anwendungsfall etwas besser kennen. Wir beginnen damit, wie Sie mit verbundenen Anwendungen auf Daten zugreifen können.
Ressourcen
- Salesforce-Hilfe: Verbundene Anwendungen
- Trailhead-Modul: Salesforce Identity – Grundlagen
- Salesforce Developers Website: Identity Developer Center