Die nächsten Schritte mit Heroku Enterprise
Lernziele
Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
- Verwalten des Benutzerzugriffs in einem Heroku Enterprise-Team
- Beschreiben der Berechtigungssätze, mit denen der Benutzerzugriff auf Ihre Anwendungen feinmaschig gesteuert werden kann
- Erläutern, wie Ihnen das Add-On Heroku Connect ermöglicht, Salesforce-Organisationsdaten mit Heroku Enterprise zu synchronisieren
- Angeben von zwei Anwendungsfällen für die Funktion 'Private Spaces'
Optimale Nutzung von Heroku
Bis jetzt wurde beschrieben, wie Heroku funktioniert, aus welchen Bestandteilen es besteht und, wann die Verwendung der Plattform sinnvoll ist. Heroku Enterprise erweitert die Heroku-Plattform um zusätzliche Funktionen. In dieser Lektion zeigen wir Ihnen einige weitere Funktionen, mit denen Sie Heroku Enterprise optimal nutzen können.
Wir stellen hier die Benutzerverwaltung, die Steuerung des Anwendungszugriffs und die konsolidierte Abrechnung vor. Außerdem werden einige der speziellen Features von Heroku Enterprise behandelt, wie Heroku Connect, Single Sign-On und Private Spaces, und es wird erläutert, wo Sie mehr Informationen oder auch technische Unterstützung erhalten.
Das Heroku Enterprise-Team
Organisationen, die Heroku Enterprise verwenden, müssen zusammengehörende Anwendungen in Gruppen zusammenfassen können, um Abrechnung, Benutzerverwaltung, Anwendungszugriff und Anwendungsentwicklung zu vereinfachen. Diese Möglichkeit und mehr bietet das Heroku Enterprise-Team.
Benutzerverwaltung
In einem Heroku Enterprise-Team werden zugriffsberechtigte Heroku-Benutzer zentral an einer Stelle verwaltet. Auf der Registerkarte "Access" können Sie Zugriff auf das Enterprise-Team bzw. spezifische Anwendungen innerhalb des Enterprise-Teams erteilen oder entziehen. Zudem können Sie leicht erkennen, welche Benutzer die Zwei-Faktoren-Authentifizierung für ihren Heroku-Account aktiviert haben. Der folgende Screenshot zeigt die Registerkarte 'Access' für eine Beispielorganisation namens 'csa-training' und ein Beispiel eines Enterprise-Teams namens 'csa-connect'.
Innerhalb eines Heroku Enterprise-Teams können vier Zugriffsebenen gewährt werden: 'admin', 'member', 'viewer' und 'collaborator'.
Dabei ist 'admin' die höchste Zugriffsebene. Admin-Benutzer haben volle Kontrolle über das gesamte Enterprise-Team. Sie können Mitglieder hinzufügen und entfernen, den Benutzerzugriff ändern und Abrechnungsinformationen anzeigen und verfügen über sämtliche Berechtigungen für alle Anwendungen innerhalb des Enterprise-Teams. Dies gilt sogar für Anwendungen, die für den Zugriff gesperrt sind. Wie Sie im Screenshot sehen, hat ein Mitglied 'admin'-Zugriff im Enterprise-Team 'csa-connect'. Es hat Anzeige-, Abrechnungs-, Verwaltungs- und Erstellungszugriff.
Die nächste Zugriffsebene ist 'member'. Benutzer mit der Berechtigung 'member' können alle Mitglieder und Administratoren anzeigen, die Zugriff auf ein Enterprise-Team haben. Sie können Anwendungen in den Account übertragen, eine Liste der Anwendungen im Enterprise-Team anzeigen und Anwendungen erstellen. Außerdem können ihnen bestimmte Berechtigungen für Anwendungen innerhalb des Enterprise-Teams zugeordnet werden. Benutzer mit der Berechtigung 'member' können gesperrten Anwendungen nicht beitreten – dazu muss ihnen der Zugriff explizit gewährt werden. Im Enterprise-Team 'csa-training' hat ein Mitglied 'member'-Zugriff.
Die dritte Zugriffsebene ist 'viewer'. 'Viewer' ist eine eingeschränkte Rolle, die es Benutzern ermöglicht, Anwendungen und Pipelines, Räumlichkeiten, Benutzer und Ressourcen einzusehen.
Die vierte Zugriffsebene ist 'collaborator'. Mitarbeiter sind Benutzer, die nicht Teil des Enterprise-Teams sind. Sie sind externe Heroku-Benutzer, denen der Zugriff auf eine oder mehrere Anwendungen innerhalb des Enterprise-Teams gewährt wurde. Der häufigste Anwendungsfall für den 'collaborator'-Zugriff besteht darin, Auftragnehmern zu ermöglichen, gemeinsam mit Benutzern des Typs 'member' innerhalb des Unternehmens an einer Anwendung auf der Heroku-Plattform zu arbeiten. Zum Enterprise-Team 'csa-training' gehört ein einzelner Benutzer des Typs 'collaborator', der Zugriff auf eine Anwendung hat. Benutzer des Typs 'collaborator' haben keinen Zugriff auf Teamebene.
Für alle Mitglieder ist MFA aktiviert. Ausgezeichnet!
Weitere Informationen zur Zusammenarbeit mit einem Enterprise-Team finden Sie im Heroku Dev Center unter "Getting Started as a Collaborator".
Detaillierte Zugriffssteuerung
Heroku Enterprise-Teams bieten eine detaillierte Kontrolle darüber, was ein Benutzer in einer Anwendung auf der Plattform darf. Dies gibt Unternehmen, die Heroku verwenden, Flexibilität und Sicherheit.
Sie können Benutzern Berechtigungssätze zuordnen, um zu steuern, wie ein Benutzer mit einer Anwendung interagiert.
Berechtigungssatz |
Berechtigungen |
|---|---|
view |
Sehen, dass die Anwendung existiert, und Anzeigen von Details über die Anwendung |
deploy |
Bereitstellen von Code, Ausführen von Einmal-Dynos, Hinzufügen oder Entfernen kostenloser Add-Ons sowie Anzeigen und Bearbeiten von Konfigurationsvariablen |
operate |
Ändern der Dyno-Formation, Hinzufügen oder Entfernen kostenpflichtiger Add-Ons und Neustarten der Anwendung |
manage |
Hinzufügen oder Entfernen von Benutzern, Übertragen der Anwendung und Löschen der Anwendung |
Wenn Sie sich ganz genau über die Optionen und Schalter der einzelnen Berechtigungssätze informieren möchten, sehen Sie sich die großartige Übersichtsseite zu Anwendungsberechtigungen im Heroku Dev Center an.
Sehen Sie sich an, wie dies im Heroku Enterprise-Dashboard aussieht. Der nachfolgende Screenshot zeigt die Registerkarte "Access" auf Anwendungsebene für eine Anwendung namens "heroku-101-demo-app" innerhalb des Enterprise-Teams "how-to-heroku". Anwendungen verfügen über eine eigene Registerkarte "Access", die von der Zugriffssteuerung auf Ebene des Enterprise-Teams getrennt ist.
Wie Sie sehen können, wurde diese Anwendung entsperrt. Wenn eine Anwendung entsperrt ist, können alle Teammitglieder teilnehmen.
Sie können eine Anwendung auch sperren. Wenn eine Anwendung gesperrt wurde, werden nur zugriffsberechtigten admin- und member-Benutzern des Enterprise-Teams überhaupt Informationen zur Anwendung angezeigt. Darüber hinaus können nur admin- und bestehende viewer-Benutzer anderen Enterprise-Teammitgliedern Zugriff gewähren.
Im Abschnitt 'App Members' sind 'Enterprise-Team-Admins' aufgeführt. Alle admin-Benutzer des Enterprise-Teams 'csa-training' haben Zugriff auf diese und alle anderen Anwendungen im Enterprise-Team. Admins verfügen immer auch über sämtliche Berechtigungen für jede Anwendung.
Für sensible oder Produktionsanwendungen können Sie detaillierte Zugriffssteuerungen einsetzen, um die Sicherheit beim Sperren der Anwendung mit der Flexibilität zu kombinieren, Mitgliedern die zur Durchführung ihrer Aufgaben notwendigen Rechte einzuräumen. Entwickler und operative Teams können ihre Aufgaben ohne Stress erledigen, und das Sicherheitsteam kann in dem Wissen, dass der Zugriff detailliert kontrolliert wird, ruhiger schlafen.
Kontrolle über die Nutzung von Add-Ons von Drittanbietern
Zusätzlich zu den detaillierten Steuerungsmöglichkeiten beim Zugriff auf Ihr Enterprise-Team und Anwendungen bietet Heroku Enterprise die Möglichkeit zu steuern, welche Add-Ons Anwendungen im Enterprise-Team verwenden dürfen. Sie können die Nutzung dieser Drittanbieterservices auf diejenigen beschränken, die genehmigt und zu Ihrer Add-On-Zulassungsliste hinzugefügt wurden.
Sie können Steuerelemente für die Add-On-Zulassungsliste wie unten gezeigt auf der Registerkarte "Settings" eines Enterprise-Teams aktivieren.
Erstellen Sie Ihre Zulassungsliste und klicken Sie auf "Enable Add-ons Whitelisting Restrictions", wenn diese Einschränkungen für das gesamte Enterprise-Team gelten sollen. Nutzt eine Anwendung Add-Ons, die nicht auf der Zulassungsliste verzeichnet sind, wird sie unter "Whitelist Exceptions" aufgeführt. Klicken Sie auf die Anzahl der Installationen, um festzustellen, welche Anwendungen ein nicht auf der Zulassungsliste verzeichnetes Add-On verwenden.
Mithilfe dieser Liste können Sie Anwendungen nachverfolgen und verwalten, die Ausnahmen erfordern oder geändert werden müssen, damit sie der Zulassungsliste Ihres Enterprise-Teams entsprechen.
Jährliche Abrechnung und konsolidierte Nutzung
An Heroku Enterprise schätzen Unternehmen die Möglichkeit, ihre jährlichen Kosten für die Heroku-Plattform im Vorhinein zu kennen und Ressourcen über alle ihre Anwendungen hinweg verwalten zu können. Für alle Anwendungen innerhalb des Enterprise-Teams wird die Ressourcennutzung auf der Registerkarte 'Usage' erfasst, auf die nur admin-Benutzer des Enterprise-Teams zugreifen können.
Der folgende Screenshot zeigt die Registerkarte 'Usage' für das Enterprise-Team 'csa-training'.
Wie Sie sehen, hat dieses Enterprise-Team eine Lizenz für die Add-On-Nutzung von bis zu 15.000 USD und die Dyno-Nutzung von bis zu 75 Stück pro Monat. Da die gesamte Ressourcennutzung des Enterprise-Teams zentral an einer Stelle erfasst wird, sehen Administratoren auf einen Blick, welche Ressourcen die Anwendung im Enterprise-Team bis dato im laufenden Monat verbraucht haben.
Sie können auch einen Monatsvergleich anzeigen, um Trends bei Ihrer Heroku-Nutzung innerhalb des Enterprise-Teams zu erkennen. Der folgende Screenshot zeigt die Ressourcennutzung des Enterprise-Teams 'csa-training' seit Februar 2016. Bewegen Sie die Maus über den Monat im Diagramm, um die konkreten Werte anzuzeigen.
Überwachungsprotokolle
Sehen Sie sich die Ereignisse im Zusammenhang mit Ihrem Enterprise-Account genauer an, indem Sie ein Überwachungsprotokoll exportieren. Das Überwachungsprotokoll ist ein Archiv im JSON-Format, in dem bestimmte Ereignisse im Zusammenhang mit dem Account protokolliert werden. Es enthält u. a. Ereignisse im Zusammenhang mit Add-Ons, Anwendungen, der Mitgliedschaft im Enterprise-Account und der Teammitgliedschaft.
Hier sehen Sie einen Screenshot der Registerkarte mit den Einstellungen, auf der Sie auf Ihre Überwachungsprotokolle für das Enterprise-Team "csa-training" zugreifen können:
Aktivierungsprotokolle können Ihnen dabei helfen, eine Vielzahl von Compliance-, Überprüfungs- und Zuständigkeitsanforderungen zu erfüllen. Heroku bietet für jeden Kalendermonat ein separates Ereignisarchiv im Aktivierungsprotokoll.
Heroku Connect
Heroku Connect ist ein Add-On, das Daten in einer Salesforce-Organisation mit einer Heroku Postgres-Datenbank synchronisiert und umgekehrt. Sie können auf der leistungsfähigen Heroku-Plattform auf Daten in einer Salesforce-Organisation zugreifen und diese ändern. Die Synchronisierung zwischen einer Salesforce-Organisation und Heroku erfolgt schnell. Sie geschieht nicht ganz in Echtzeit, aber fast.
Synchronisieren von Daten aus Salesforce und umgekehrt
Sie können Heroku Connect so konfigurieren, dass nur Daten aus einer Salesforce-Organisation mit Heroku synchronisiert werden, oder eine bidirektionale Synchronisierung festlegen. Sie können also Anwendungen auf der Heroku-Plattform erstellen, die nur Daten Ihrer Salesforce-Organisation nutzen, und auch Anwendungen, die die Daten ändern und sie wieder in Ihre Datenbank zurückschreiben. Sie können Änderungen an Ihren Heroku-Daten durchführen, um automatisch Salesforce-Workflows auszulösen und andere, leistungsfähige Funktionen der Lightning-Plattform zu nutzen.
Im Heroku Connect-Dashboard können Sie auswählen, welche Objekte und Felder aus der Salesforce-Organisation synchronisiert werden sollen. Die Objekte werden in Ihrer Heroku Postgres-Datenbank als Tabellen und Zeilen repliziert und können sofort von Ihren benutzerdefinierten Anwendungen genutzt werden. Weitere Informationen über dieses leistungsfähige Add-On finden Sie in der zugehörigen Dokumentation im Heroku Connect Dev Center.
Schneller, nahtloser Datenzugriff
Heroku Connect bietet einige enorme Vorteile gegenüber den Salesforce-Plattform-APIs. Erstens muss Ihre Anwendung in Heroku nicht mehr direkt die API aufrufen, um Daten zu dem Moment zu lesen, in dem sie benötigt werden. Ihre Heroku Postgres-Daten wird von Heroku Connect automatisch auf dem aktuellen Stand gehalten. Das Abfragen der Datenbank anstelle des Aufrufs an die API kann Ihre Heroku-Anwendung enorm vereinfachen, Programmieraufwand und -zeit einsparen und bei jeder Anforderung die Latenz um spürbare Hunderte von Millisekunden verringern. Und in der Welt von Webanwendungen ist dies eine lange Zeit!
Zweitens macht es das Add-On Heroku Connect sehr einfach, innerhalb Ihrer Anwendungen in Heroku mit Ihren Salesforce-Organisationsdaten zu arbeiten. Alle beliebten Open Source-Frameworks haben Datenbanktreiber und ORMs (Object Relational Mappings), die das Laden von Daten in und aus einem Datenspeicher optimieren. Diese Tools arbeiten nahtlos mit Heroku Postgres-Datenbanken zusammen. Mit Heroku Connect ist es fast so, als wären Ihre Salesforce-Organisationsdaten integriert.
Single Sign-On
Viele Unternehmen setzen auf SSO-Lösungen (Single Sign-On), um die Benutzerverwaltung zu vereinfachen. Bei Heroku Enterprise-Teams können Sie einen externen Identitätsanbieter für die Verwaltung von Benutzern nutzen, die die Heroku Enterprise-Plattform verwenden. Ihre Benutzer müssen sich dann nur ein Kennwort merken, und alle bekannten Heroku-Zugriffssteuerungen funktionieren weiterhin.
Heroku Enterprise verfügt über integrierte Unterstützung für die Identitätsanbieter Salesforce Identity, Okta, Bitium und Ping. Sie können auch Heroku Enterprise als Serviceanbieter mit anderen SAML 2.0-kompatiblen Identitätsanbietern konfigurieren. Die Unterstützung für Microsoft Active Directory und Azure Identity ist in Arbeit.
Falls SSO genau Ihr Ding ist, finden Sie weitere Informationen über Funktionen und Einrichtung in der Dokumentation zu 'SSO for Heroku' im Heroku Dev Center.
Heroku Private Spaces
Heroku Private Spaces sind eines der coolsten Features von Heroku Enterprise. Jeder Private Space, den Sie erstellen, ist eine komplett vom Netzwerk isolierte Umgebung innerhalb der Heroku-Plattform, in der Sie Ihre Anwendungen ausführen können. Sie können also voller Leichtigkeit Anwendungen in Heroku entwickeln und verwalten und haben zusätzlich die Sicherheit, dass Ihre Anwendung vom Datenverkehr anderer Anwendungen getrennt ist. Sie können sogar als Bedingung festlegen, dass alle eingehenden Anforderungen an Ihre Anwendung nur von spezifischen IP-Adressen auf einer Zulassungsliste stammen. Sicherheit – volle Kraft voraus!
Neben der Abgrenzung gegenüber dem Netzwerk können Sie Private Spaces auch in mehreren verschiedenen, geografischen Regionen erstellen. Wenn sich der Großteil Ihrer Kunden in Tokio befindet, können Sie sicherstellen, dass Ihre Dynos auf einem Teil der Heroku Enterprise-Plattform ausgeführt werden, der sich physisch in Tokio befindet. Dies führt zu kürzeren Antwortzeiten für die Nutzer Ihrer Anwendung. Und wer wartet schon gerne?
Zumeist ist die gemeinsam genutzte Plattforminfrastruktur mehr als ausreichend. Es gibt jedoch Fälle, in denen Sie die zusätzliche Sicherheit benötigen, Ihre Anwendungen in einem 'Walled Garden', also einer abgegrenzten Umgebung auszuführen, oder Sie kürzere Antwortzeiten erreichen möchten, indem Sie Ihre Dynos auf Infrastruktur ausführen, die sich physisch näher bei den Benutzern befindet. In diesen Fällen bieten sich Private Spaces an.
Entwickeln Sie kundenorientierte Anwendungen mit hohen Compliance-Anforderungen? Heroku Shield Private Spaces bieten zusätzliche Sicherheitsfunktionen für regulierte Branchen wie Gesundheitswesen, Biowissenschaften und Finanzdienstleistungen. Ihre Shield Private Space-Anwendung läuft in einer im Netzwerk isolierten Umgebung mit zusätzlichen Sicherheitskontrollen für hohe Compliance, einschließlich Protokollierung des Produktionszugriffs und strenger TLS-Erzwingung.
Wie üblich finden Sie weitere Informationen über Private Spaces im Dev Center!
Das Heroku Dev Center
Da wir schon die ganze Zeit auf das Dev Center hingewiesen haben, wissen Sie wahrscheinlich bereits, dass das umfassendste Handbuch, das Sie bei der Verwendung von Heroku Enterprise unterstützt, das Dev Center ist. Es ist eine thematisch gegliederte, gut gepflegte und ständig weiterentwickelte Sammlung von Artikeln und Dokumentation über so ziemlich alles, was Sie über jemals über Heroku wissen möchten.
Sie können detaillierte Beschreibungen über die verschiedenen Teile der Plattform lesen oder sich mit einem der Getting Started-Handbücher für die nativ unterstützten Sprachen der Plattform direkt ins Geschehen stürzen. Jedes Getting Started-Handbuch enthält schrittweise Anleitungen für die Installation des Heroku Toolbelt für die Befehlszeile, das Bereitstellen einer Anwendung und das Skalieren und Ausführen der Anwendung in Heroku.
Heroku-Support
Wenn Sie ein Problem haben, das im Dev Center nicht beschrieben wird, hilft Ihnen das Heroku-Supportteam gerne weiter. Sie können unter help.heroku.com online ein Support-Ticket erstellen, und einer der Supportmitarbeiter unterstützt Sie dann beim Lösen des Problems. Und falls Probleme auftreten, die zu Ausfallzeiten bei Ihren in Heroku Enterprise laufenden Produktionsanwendungen führen, erhalten Sie mit einem SLA noch schneller Unterstützung. Sogar um drei Uhr morgens am Neujahrstag. Das meinen wir mit 'allzeit bereit'!
Abschluss
Heroku ist ein leistungsfähiges Instrument für die beschleunigte Erstellung moderner, leistungsstarker Anwendungen. Es macht das Verwalten und Skalieren der Ihren Anwendungen zugrunde liegenden Infrastruktur einfach, sodass Sie sich voll und ganz auf das konzentrieren können, was Ihren Kunden am wichtigsten ist. In Kombination mit den leistungsfähigen Geschäftstools von Lightning-Plattform, Marketing Cloud Engagement, Service Cloud und Sales Cloud können Sie ganz leicht leistungsfähige, kundenorientierte Anwendungen mit gleichermaßen leistungsfähigen Back-Office-Tools erstellen.
