Skip to main content

Sichern der Identität Ihrer Benutzer

Lernziele

Nachdem Sie dieses Modul abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Einrichten der Multi-Faktor-Authentifizierung (MFA) für Ihre Benutzer
  • Verwenden der Anwendung "Salesforce Authenticator" für MFA-Anmeldungen
  • Abrufen von Anmeldedaten über Benutzer, die sich bei Ihrer Organisation anmelden
Hinweis

Hinweis

Lernen Sie auf Deutsch? In diesem Badge ist für die praktischen Trailhead-Aufgaben Englisch als Bearbeitungssprache festgelegt. Übersetzungen werden zur Referenz in Klammern angegeben. Vergewissern Sie sich, dass Sie in Ihrem Trailhead-Playground (1) das Gebietsschema auf USA und (2) die Sprache auf Englisch festgelegt haben. (3) Verwenden Sie zum Kopieren und Einfügen nur die englischen Werte. Die zugehörigen Anweisungen finden Sie hier.

Weitere Details dazu, wie Sie die übersetzte Trailhead-Umgebung optimal nutzen können, finden Sie unter dem Badge "Trailhead in Ihrer Sprache".

Sicherer Accountzugriff mit Multi-Faktor-Authentifizierung und Salesforce Authenticator

Alleine genommen bieten Benutzernamen und Kennwörter keinen ausreichenden Schutz vor Cyberbedrohungen wie Phishing-Angriffen. Eine effektive Möglichkeit, die Sicherheit Ihres Anmeldevorgangs zu erhöhen und die Daten Ihrer Organisation zu schützen, besteht darin, von den Benutzern zusätzliche Identitätsnachweise bei der Anmeldung zu fordern. Sicherheitsexperten bezeichnen dies als Multi-Faktor-Authentifizierung oder kurz MFA. Wir bei Salesforce halten MFA für so wichtig, dass wir sie für jeden vorschreiben, der auf unsere Produkte und Services zugreift. Wenn Sie mehr über unsere MFA-Anforderungen erfahren möchten, lesen Sie den Hilfeartikel Häufig gestellte Fragen zur Salesforce Multi-Faktor-Authentifizierung.

Hinweis

Zur Durchführung der Aufgaben in dieser Lektion benötigen Sie ein Mobilgerät mit Android oder iOS als Betriebssystem.

Was ist die Multi-Faktor-Authentifizierung?

Klingt nach Mathematik? Egal, ob Mathematik Sie be- oder entgeistert: MFA hat rein gar nichts mit Schulalgebra zu tun. Es hat aber sehr wohl damit zu tun sicherzustellen, dass Ihre Benutzer diejenigen sind, die sie zu sein behaupten.

Übrigens sind Sie vielleicht mit den Begriffen Zwei-Faktoren-Authentifizierung oder 2FA vertrauter. Keine Sorge! 2FA ist zwar eine Untergruppe von MFA, doch wir sprechen im Grunde genommen über dieselbe Sache.

Was genau sind also die Multi-Faktoren? Es handelt sich um verschiedene Arten von Identitätsnachweisen, die Benutzer beim Anmelden eingeben.

  • Ein Faktor ist etwas, das die Benutzer kennen. Bei der Salesforce-Anmeldung ist dies eine Kombination aus Benutzername und Kennwort.
  • Andere Faktoren sind Überprüfungsmethoden, über die der Benutzer bereits verfügt, wie etwa ein Mobilgerät, um dem eine Authentifizierungsanwendung installiert ist, oder einen physischen Sicherheitsschlüssel.

Einzelheiten zum Berechtigungssatz 'MFA Authorization for User Logins'

Wahrscheinlich haben Sie die Multi-Faktor-Authentifizierung bereits verwendet, ohne dass Ihnen die Bezeichnung ein Begriff war. Jedes Mal, wenn Sie am Geldautomaten Geld holen, verwenden Sie etwas, das Sie haben (Ihre Bankkarte) und etwas, das Sie wissen (Ihre PIN). 

Wird zusätzlich zu Benutzername und Kennwort ein weiterer Faktor gefordert, wird damit eine weitere, wichtige Sicherheitsebene für Ihre Organisation hinzugefügt. Selbst wenn das Kennwort eines Benutzers gestohlen wird, ist die Wahrscheinlichkeit sehr gering, dass ein Angreifer einen Faktor erraten oder vorgeben kann, den ein Benutzer physisch besitzt.

Klingt gut? Dann sehen wir uns an, wie das geht.

Funktionsweise der Multi-Faktor-Authentifizierung

MFA fügt einen weiteren Schritt zum Salesforce-Anmeldevorgang hinzu.

  1. Der Benutzer gibt seinen Benutzernamen und sein Kennwort ein,.
  2. Der Benutzer aufgefordert, eine der von Salesforce unterstützten Überprüfungsmethoden anzuwenden.

Sie können nur bestimmte oder alle diese Überprüfungsmethoden zulassen.

Salesforce Authenticator
 Eine kostenlose mobile Anwendung, die nahtlos in Ihren Anmeldeprozess integriert ist. Benutzer können ihre Identität schnell per Push-Benachrichtigungen nachweisen. In Kürze werden wir uns ausführlicher mit dieser Anwendung beschäftigen.

TOTP-Authentifizierungsanwendungen von Drittanbietern

Anwendungen, die eindeutige, temporäre Prüfcodes generieren, die Benutzer bei der entsprechenden Aufforderung eingeben. Diese Art von Prüfcode wird manchmal auch als "zeitbasiertes Einmalkennwort" oder TOTP (Time-Based On-Time Passwort) bezeichnet. Den Benutzern steht dabei eine breite Palette von Möglichkeiten zur Auswahl, wie etwa Google Authenticator, Microsoft Authenticator oder Authy.

Sicherheitsschlüssel

Kleine physische Token, die wie ein USB-Stick aussehen. Das Einloggen mit dieser Methode ist schnell und einfach: Die Benutzer verbinden den Schlüssel einfach mit ihrem Computer und drücken dann die Taste des Schlüssels, um ihre Identität zu bestätigen. Es kann dabei jeder Schlüssel verwendet werden, der mit den FIDO Universal Second Factor (U2F)- oder FIDO2 WebAuthn-Standards kompatibel ist, z. B. der YubiKey von Yubico oder der Titan-Sicherheitsschlüssel von Google.

Integrierte Authentifizierung

Biometrische Lesegeräte, wie z. B. Fingerabdruck- oder Gesichtserkennungsscanner, die in das Gerät eines Benutzers integriert sind. In manchen Fällen können integrierte Authentifizierungssysteme eine PIN oder ein Kennwort nutzen, das Benutzer im Betriebssystem ihres Geräts einrichten. Gängige Beispiele sind Touch ID, Face ID und Windows Hello.

Wann werden Benutzer zur Multi-Faktor-Authentifizierung aufgefordert?

Wenn Sie die MFA aktivieren, müssen Benutzer bei jeder Anmeldung mehrere Faktoren bereitstellen. Gemäß den Salesforce-Nutzungsbedingungen müssen alle Kunden die MFA für Anmeldungen bei der Benutzeroberfläche einrichten. Dies stellt sicher, dass jede Salesforce-Organisation von Anfang an mit ausreichender Sicherheit geschützt ist. 

Wenn Sie die Sicherheit noch weiter erhöhen möchten, können Sie die MFA auch für weitere Situationen erforderlich machen.

  • Wenn Benutzer auf Salesforce-APIs zugreifen. Weitere Informationen über die Konfiguration von MFA für den API-Zugriff finden Sie im Hilfeartikel Festlegen der Anforderungen an die Multi-Faktor-Authentifizierung zur Anmeldung für den API-Zugriff.
  • Wenn Benutzer auf eine verbundene Anwendung, ein Dashboard oder einen Bericht zugreifen. Diese Vorgehensweise wird als heraufgestufte Authentifizierung oder auch Authentifizierung mit hoher Sicherung bezeichnet.
  • In einem benutzerdefinierten Anmelde-Flow oder innerhalb einer benutzerdefinierten Anwendung, z. B. vor dem Lesen einer Lizenzvereinbarung. Später im Modul erhalten Sie noch mehr Informationen zu diesem Thema.

Möglichkeiten für die Aktivierung der MFA

Es gibt zwei Möglichkeiten, die MFA für Ihre Benutzer zu aktivieren.

Die Aktivierung von MFA wirkt sich darauf aus, wie sich Benutzer bei Ihrer Organisation anmelden. Sie sollten daher also am besten mit einem Pilotprogramm beginnen und die MFA-Anforderung dann nach und nach ausweiten. 

Die gestaffelte Einführung der MFA hat den Vorteil, dass Sie die Auswirkungen des Änderungsmanagements jeweils auf ausgewählte Benutzergruppen beschränken können. So können Sie Feedback von den ersten Gruppen einholen und den Einführungsprozess für den Rest Ihrer Benutzer verbessern. Und da in jeder Phase weniger Benutzer betroffen sind, haben Ihre Administratoren mit weniger MFA-bezogenen Supportvorgängen auf einmal zu tun. Sie können diesen gestaffelten Ansatz umsetzen, indem Sie ausgewählten Benutzern eine MFA-Benutzerberechtigung zuweisen.

Vielleicht sind Sie aber auch bereit, den Sprung zu wagen und MFA für alle Ihre Benutzer auf einmal zu aktivieren. Je früher MFA für alle Benutzer aktiviert ist, desto früher erfüllen Sie die MFA-Anforderungen von Salesforce (Wink mit dem Zaunpfahl....). Wenn Sie bereit sind, alles auf eine Karte zu setzen, können Sie MFA für Ihre gesamte Organisation mit einer einzigen Einstellung aktivieren.

In dieser Lektion befassen wir uns mit beiden Methoden und zeigen dabei die jeweiligen Vorteile auf. Wenn Sie eine Vorführung wünschen, sehen Sie sich dieses Video an.   

Überprüfen, dass die Sitzungssicherheitsebene auf die Multi-Faktor-Authentifizierung eingestellt ist

Unabhängig davon, für welche Art der MFA-Einführung Sie sich entscheiden, müssen Sie sicherstellen, dass die richtige Sicherheitsebene mit der MFA-Anmeldemethode verknüpft ist. In den meisten Produktionsorganisationen ist diese Einstellung bereits festgelegt. Sollte dies allerdings nicht der Fall sein, ist dieser Schritt wichtig, bevor Sie eine MFA-Anforderung für Administratorbenutzer festlegen. Andernfalls könnten Sie sich selbst oder andere Administratoren daran hindern, sich anzumelden.

  1. Geben Sie unter "Setup" im Feld "Schnellsuche" den Text Session Settings (Sitzungseinstellungen) ein und wählen Sie dann Sitzungseinstellungen aus.
  2. Vergewissern Sie sich unter "Sitzungseinstellungen", dass die Multi-Faktor-Authentifizierung der Kategorie "Hohe Sicherheit" zugewiesen ist.

Wenn die Sitzungssicherheitsebene richtig konfiguriert ist, können Sie sich an Ihre MFA-Einführung machen.

Aktivieren von MFA für ausgewählte Benutzer

Nehmen wir an, Sie sind ein Salesforce-Administrator bei Jedeye Technologies, einem Unternehmen, das sich nicht in einer ganz weit entfernten Galaxie befindet. Der Sicherheitsbeauftragte (CSO) hat Ihnen folgende Aufgabe gegeben: Sie sollen implementieren, dass alle Mitarbeiter bei jedem Versuch, sich bei der Salesforce-Organisation des Unternehmens anzumelden, mehr als ihren Benutzernamen und ihr Kennwort angeben müssen.

Beginnen Sie in kleinem Maßstab und aktivieren Sie die MFA zunächst für eine neue Mitarbeiterin von Jedeye Technologies namens Sia Thripio. Durch die Rückmeldungen von Sia können Sie sicherstellen, dass Sie an alles gedacht haben, bevor Sie die MFA für alle anderen Mitarbeiter bei Jedeye aktivieren. Erstellen Sie zunächst einen Salesforce-Benutzer für Sia und aktivieren Sie die MFA für ihren Account.

Bereit für den Praxistest?

Starten Sie jetzt Ihren Trailhead Playground, um die Schritte in diesem Modul nachzuvollziehen. Zum Öffnen Ihres Trailhead Playgrounds blättern Sie nach unten bis zur praktischen Aufgabe und klicken auf Starten. Sie verwenden den Playground auch zur Bearbeitung der praktischen Aufgaben.

Wie bereits erwähnt, benötigen Sie benötigen Sie ein Mobilgerät mit Android oder iOS für die Durchführung einiger der Aufgaben.

Schritt 1: Erstellen eines Benutzers

  1. Geben Sie in Setup im Feld Schnellsuche den Text Users (Benutzer) ein und wählen Sie dann Benutzer aus.
  2. Klicken Sie auf Neuer Benutzer.
  3. Geben Sie als Vornamen Sia und als Nachnamen Thripio ein.
  4. Geben Sie Ihre E-Mail-Adresse in das Feld "E-Mail" ein. Diese Einstellung dient dazu, dass Sie Accountbenachrichtigungen für Sia erhalten.
  5. Erstellen Sie einen Benutzernamen für Sia und geben Sie diesen in das Feld "Benutzername" ein. Der Name muss das Format einer E-Mail-Adresse haben, ohne dass es sich um eine funktionierende E-Mail-Adresse handeln muss. Vergewissern Sie sich, dass die E-Mail-Adresse in Ihrem Trailhead Playground eindeutig ist. Sie geben diesen Benutzernamen ein, um sich später als Sia anzumelden. Wir empfehlen daher einen kurzen und einfach zu merkenden Namen. Brauchen Sie Ideen? Verwenden Sie den Anfangsbuchstaben von Sia, ihren Nachnamen und das aktuelle Datum, also etwa so: SThripio.12202020@trailhead.com.
  6. Übernehmen oder ändern Sie den als Nickname vorgeschlagenen Wert.
  7. Wählen Sie Salesforce Platform als "Benutzerlizenz" aus.
  8. Legen Sie Standardmäßiger Platform-Benutzer als Profil fest. Und da Sie sich schon in der E-Mail befinden, deaktivieren Sie am besten gleich die Optionen zum Erhalt von Salesforce CRM-Inhaltsbenachrichtigungen. Es hat ja keinen Sinn, Ihren Posteingang mit unnötigen E-Mails von Salesforce zu verstopfen.
  9. Stellen Sie sicher, dass Neues Kennwort generieren und Benutzer sofort benachrichtigen ausgewählt ist. Diese Option befindet sich ziemlich weit unten auf der Seite. Salesforce schickt Ihnen eine E-Mail zu Sias neuem Benutzeraccount, da Sie im Feld "E-Mail" Ihre E-Mail-Adresse angegeben haben.
  10. Klicken Sie auf Speichern. Salesforce sendet Ihnen per E-Mail einen Link, um den Benutzeraccount zu überprüfen und Sias Kennwort festzulegen. Hinweis: Wenn Sie die Fehlermeldung erhalten, dass der Benutzername existiert, erstellen Sie einen Benutzer mit einem anderen Namen.
  11. Melden Sie sich als Sia an und legen Sie das Kennwort neu fest.

Nach der Festlegung des Kennworts aktivieren Sie die MFA für Sias Benutzeraccount. 

Schritt 2: Erstellen eines Berechtigungssatzes für die Multi-Faktor-Authentifizierung

Aktivieren Sie die MFA für ausgewählte Benutzer, indem Sie die Benutzerberechtigung Multi-Faktor-Authentifizierung für Anmeldungen auf der Benutzeroberfläche zuweisen. Sie können diesen Schritt durchführen, indem Sie Profile bearbeiten oder einen Berechtigungssatz erstellen, den Sie bestimmten Benutzern zuweisen.

Ein Berechtigungssatz ist eine Zusammenstellung von Einstellungen und Berechtigungen, mit denen Benutzer Zugriff auf verschiedene Salesforce-Funktionen erhalten. Erstellen wir nun einen Berechtigungssatz mit der MFA-Berechtigung.

  1. Melden Sie sich ab, falls Sie als Sia angemeldet sind. Melden Sie sich als Systemadministrator Ihres Trailhead Playgrounds wieder an.
  2. Geben Sie unter Setup im Feld "Schnellsuche" den Text Permission (Berechtigung) ein und wählen Sie dann Berechtigungssätze aus.
  3. Klicken Sie auf Neu.
  4. Geben Sie als Bezeichnung für den Berechtigungssatz MFA Authorization for User Logins ein.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie unter "System" auf Systemberechtigungen.Einstellung zur Steuerung der MFA für Anmeldungen auf der BenutzeroberflächeJetzt befinden Sie sich auf der Detailseite für den Berechtigungssatz "MFA Authorization for User Logins".
  7. Klicken Sie auf Bearbeiten.
  8. Wählen Sie Multi-Faktor-Authentifizierung für Anmeldungen auf der Benutzeroberfläche aus.Einstellung zur Steuerung der MFA für die gesamte Organisation
  9. Klicken Sie auf Speichern und anschließend zum Bestätigen der Berechtigungsänderungen nochmals auf Speichern.

 Sie sind fast fertig! Sie müssen den Berechtigungssatz nur noch zuweisen.

Schritt 3: Zuweisen des Berechtigungssatzes zu Sias Benutzer

Zunächst weisen Sie den Berechtigungssatz nur Sia zu. Später, wenn Sie die MFA-Einführung auf die nächste Gruppe ausweiten möchten, können Sie denselben Berechtigungssatz weiteren Benutzern zuweisen.

Falls Sie sich nicht auf der Detailseite Ihres neuen Berechtigungssatzes befinden, wechseln Sie dorthin zurück.

  1. Klicken Sie auf der Detailseite des neuen Berechtigungssatzes auf Zuordnungen verwalten.
  2. Klicken Sie auf Zuordnungen hinzufügen. Aktivieren Sie in der Benutzerliste das Kontrollkästchen neben Sias Benutzeraccount. (Sie könnten hier bis zu 1.000 Benutzer gleichzeitig zuweisen.)
  3. Klicken Sie auf Zuweisen.
  4. Klicken Sie auf Fertig.

Hervorragend! Sie haben jetzt die Multi-Faktor-Authentifizierung für Sia aktiviert. Wenn sich Sia nächstes Mal anmeldet, wird sie aufgefordert, zusätzlich zu ihrem Benutzernamen und Kennwort eine Überprüfungsmethode als zweiten Authentifizierungsfaktor anzugeben.

Aktivieren der MFA für alle in Ihrer Organisation

Wir machen jetzt einen kleinen Zeitsprung: Sie haben ein MFA-Pilotprogramm für Sia und mehrere andere Benutzer in Ihrer Organisation abgeschlossen. Im Laufe der darauf folgenden Monate haben Sie die MFA vorsichtig für weitere Benutzer eingeführt, immer für eine Gruppe nach der anderen. Jetzt sind Sie bereit für den letzten Schritt, und zwar die MFA für alle vorzuschreiben.

Sie können die MFA-Einführung mithilfe eines einzigen Kontrollkästchens abschließen. Und wenn Sie keine gestaffelte Einführung benötigen, können Sie gleich direkt zu diesem Schritt springen! 

Dies ist die schnellste und einfachste Methode, MFA für alle Benutzer in Ihrer Organisation zu aktivieren.

  1. Geben Sie in Setup im Feld "Schnellsuche" den Text Identity (Identität) ein und wählen Sie dann Identitätsüberprüfung aus.
  2. Aktivieren Sie das Kontrollkästchen Require multi-factor authentication (MFA) for all direct UI logins to your Salesforce org (Multi-Faktor-Authentifizierung (MFA) für alle direkten Anmeldungen auf der Benutzeroberfläche Ihrer Salesforce-Organisation anfordern).
  3. Klicken Sie auf Speichern.

Das war's schon. Jeder in Ihrer Organisation muss bei der Anmeldung nun die MFA durchführen, und zwar unabhängig davon, ob Sie ihm zuvor die MFA-Benutzerberechtigung zugewiesen haben. 

An diesem Punkt haben Sie vielleicht eine brennende Frage: Was ist, wenn einige Benutzeraccounts in meiner realen Organisation, wie z. B. Testaccounts für Automatisierungstools, von der MFA-Anforderung ausgenommen sind? Gilt diese Einstellung dann auch für sie?

Es ist richtig, dass die MFA-Anforderung von Salesforce für einige Arten von Benutzern nicht gilt. Wenn Sie ausgenommene Benutzer haben, schließen Sie diese von der MFA aus, bevor Sie die organisationsweite Einstellung aktivieren, die Sie gerade ausprobiert haben. Welche Benutzertypen ausgenommen sind und wie Sie sie ausschließen können, erfahren Sie in der Salesforce-Hilfe unter Ausschließen ausgenommener Benutzer von der Multi-Faktor-Authentifizierung (MFA).

So registrieren Benutzer Salesforce Authenticator für MFA-Anmeldungen

Genau wie ein unangekündigter Besuch in der Wolkenstadt ist es keine gute Idee, die Multi-Faktor-Authentifizierung zu implementieren, ohne die Benutzer dabei zu unterstützen, sich mindestens eine Überprüfungsmethode zu beschaffen. Sie werden wahrscheinlich nicht betäubt und gefangen genommen, erhalten jedoch bestimmt eine Menge Anrufe, die meist zu einem ungünstigen Zeitpunkt kommen, etwa beim Ansehen eines Kultfilms. Glücklicherweise macht es Ihnen Salesforce leicht, Ihren Benutzern zu helfen. Bitten Sie sie einfach, eine Authentifizierungsanwendung auf ihr Mobilgerät herunterzuladen und mit ihrem Salesforce-Account zu verbinden. 

Falls Benutzer nicht sofort eine Anwendung herunterladen, ist dies auch nicht schlimm. Nachdem Sie die MFA-Anforderung einrichtet haben, werden die Benutzer bei ihrem ersten Anmeldeversuch zur Registrierung einer Überprüfungsmethode aufgefordert.

Sia Thripio, Ihre neue Mitarbeitern, möchte die mobile Anwendung Salesforce Authenticator verwenden, damit sie die tolle Funktion für Push-Benachrichtigungen für eine schnelle Authentifizierung nutzen kann. Sehen wir uns an, wie der Registrierungs- und Anmeldeprozess funktioniert. Nehmen Sie Ihr Android- oder iOS-Mobilgerät zur Hand und tun Sie so, als ob es Sias Handy sei. Sie werden jetzt die Anwendung "Salesforce Authenticator" herunterladen und mit Sias Salesforce-Account verbinden.

Wir möchten Sie gleich vorwarnen: Bei den nächsten Schritten werden Sie zwischen zwei Geräten hin und her wechseln müssen. An Ihrem HANDY arbeiten Sie als Sia in der Anwendung "Salesforce Authenticator". Auf Ihrem DESKTOPGERÄT sind Sie in einem Webbrowser als Sia bei Ihrem Trailhead Playground angemeldet.

  1. HANDY: Laden Sie "Salesforce Authenticator" für iOS aus dem App Store bzw. "Salesforce Authenticator" für Android aus Google Play herunter.
  2. Tippen Sie auf das Anwendungssymbol, um "Salesforce Authenticator" zu öffnen.
  3. DESKTOP: Melden Sie sich ab, falls Sie noch als Systemadministrator bei Ihrem Trailhead Playground angemeldet sind.
  4. DESKTOP: Melden Sie sich mit Sias Benutzernamen und Kennwort an. Anmeldebildschirm für Salesforce-Desktop
  5. DESKTOP: Salesforce fordert Sie auf, Salesforce Authenticator mit Sias Account zu verbinden.
  6. HANDY: Blättern Sie die Tour durch, um die Funktionsweise von Salesforce Authenticator kennenzulernen.
  7. HANDY: Geben Sie Sias (Ihre) Handynummer ein, um eine Sicherungskopie der Accounts zu erstellen, die mit Salesforce Authenticator verbunden sind. Tippen Sie dann nach Aufforderung auf die Benachrichtigung, um die Verifizierung abzuschließen. Sie können die Erstellung eines Zugangscodes vorerst überspringen. (Sia kann später einen Zugangscode erstellen, wenn sie eine Sicherung zur Wiederherstellung ihrer Accounts einrichten möchte.)
  8. Tippen Sie auf den Pfeil, um Sias Account zu Salesforce Authenticator hinzuzufügen. Die Anwendung zeigt eine aus zwei Wörtern bestehende Wortgruppe an. (Wurde Ihnen ein besonders poetischer oder lustiger Ausdruck angezeigt? Falls ja, lassen Sie es uns wissen! #Trailhead #AwesomePhrase #SalesforceAuthenticator.)
  9. DESKTOP: Geben Sie den Ausdruck in das Feld "Aus zwei Wörtern bestehende Wortgruppe" ein. Salesforce Authenticator: aus zwei Wörtern bestehende Wortgruppe
  10. DESKTOP: Klicken Sie auf Verbinden.
  11. HANDY: Salesforce Authenticator zeigt Details über Sias Account an: ihr Benutzername und der Name des Serviceanbieters, in diesem Fall Salesforce.
    Salesforce Authenticator: Account verbinden
  12. HANDY: Tippen Sie auf Verbinden.
  13. DESKTOP: Sia ist jetzt bei ihrem Salesforce-Account angemeldet! Sie kann jetzt mit ihrer Arbeit loslegen.

Sobald sich Sia bei ihrem Salesforce-Account anmeldet, wird eine Benachrichtigung an ihr Handy gesendet. Sie öffnet dann Salesforce Authenticator und prüft die Aktivitätsdetails. Wenn alles gut aussieht, tippt sie einfach auf ihrem Handy auf Genehmigen und schließt die Anmeldung ab. 

Was passiert, wenn sich jemand mit Sias Benutzername und Kennwort anzumelden versucht? Sie ahnen es schon: Sie erhält auch in diesem Fall eine Benachrichtigung und kann Salesforce Authenticator anweisen, die Anmeldeanforderung abzulehnen. Puh!

Werfen wir einen genaueren Blick auf die Daten, die Salesforce Authenticator verfolgt.

  1. Der Service, auf den der Benutzer zuzugreifen versucht. Neben Salesforce können Sie Salesforce Authenticator auch für den Kennwortmanager LastPass und andere Services verwenden, die eine striktere Authentifizierung erfordern.
  2. Der Benutzer, der sich anzumelden versucht.
  3. Die Aktion, die Salesforce Authenticator überprüft. Hier könnten auch andere Aktionen aufgeführt werden, wenn Sie noch striktere Sicherheitsmaßnahmen implementieren. Sie können beispielsweise eine Authentifizierung fordern, wenn Jemand versucht, auf einen Datensatz oder ein Dashboard zuzugreifen. Dieser Prozess wird als heraufgestufte Authentifizierung bezeichnet.
  4. Informationen über den Browser oder die Anwendung, von denen aus der Anmeldeversuch erfolgt, einschließlich des verwendeten Geräts.
  5. Standort des Handys.

Salesforce Authenticator: Datenpunkte

Automatisieren des Authentifizierungsvorgangs

Angenommen, Sia meldet sich regelmäßig vom gleichen Standort aus an (z. B. dem Büro, von zu Hause oder ihrer schummerigen Lieblingskneipe). Da könnte das Tippen auf "Genehmigen" am Handy mit der Zeit fade werden. Wenn sie zulässt, dass Salesforce Authenticator die Standortdienste ihres Handys nutzt, kann sie die Anwendung anweisen, ihre Aktivität automatisch zu überprüfen, sobald alle Details erkannt werden. Wenn sie sich also von einem bestimmten Ort mit demselben Gerät und demselben Browser bzw. derselben Anwendung anmeldet, muss sie nicht einmal ihr Smartphone aus der Tasche holen. Salesforce Authenticator kann die MFA-Anforderung automatisch für sie erledigen! 

Probieren Sie es aus.

  1. DESKTOP: Melden Sie sich bei Sias Account ab und dann melden Sie sich dann erneut als Sia an.
  2. HANDY: Wählen Sie an der Eingabeaufforderung Trust and automate this request (Dieser Anforderung als vertrauenswürdig speichern und automatisieren). Tippen Sie anschließend auf Approve (Genehmigen).
    Salesforce Authenticator speichert diese Details als vertrauenswürdige Anforderung.
  3. DESKTOP: Melden Sie sich bei Sias Account ab und wieder an. Voilà! Sie werden nicht zur Genehmigung aufgefordert. Salesforce Authenticator erkennt, dass alle Details mit der zuvor gespeicherten vertrauenswürdigen Anforderung übereinstimmen. Der Zugriff wird automatisch gewährt.

Wenn sich Sia mit einem anderen Browser oder Gerät oder von einem anderen Standort anzumelden versucht, kann sie die neuen Details zur Liste der vertrauenswürdigen Anforderungen in Salesforce Authenticator hinzufügen. Sie kann so viele vertrauenswürdige Anforderungen speichern, wie sie möchte. Dies gilt auch für Anforderungen für andere Accounts und Aktionen. Um die vertrauenswürdigen Anforderungen für ein Account anzuzeigen, tippt Sia auf das Pfeilsymbol, das die Accountdetailseite aufruft.

Salesforce Authenticator-Accountinformationen

Auf der Accountdetailseite werden vertrauenswürdige Anforderungen und der Anmeldeverlauf aufgeführt. Unter "Überprüfte Aktivitäten" wird angegeben, wie oft Salesforce Authenticator Sias Anmeldung bei Salesforce überprüft hat. Die Zahl der Automatisierungen gibt an, wie oft Salesforce Authenticator Sia mit einer vertrauenswürdigen Anforderung automatisch angemeldet hat.

Salesforce Authenticator-Accountdetails

Was passiert, wenn eine Anforderung für Sia nicht mehr vertrauenswürdig ist? Ganz einfach. Sie streicht nach links. Sie kann alle vertrauenswürdigen Anforderungen auf einmal entfernen, indem sie Salesforce Authenticator-Symbol 'Einstellungen' und dann Remove All Trusted Locations (Alle vertrauenswürdigen Anforderungen entfernen) auswählt.

Manchmal funktioniert eine automatisierte Überprüfung unter Umständen nicht, wenn beispielsweise die Datenverbindung getrennt wird. Kein Problem. Sia gibt dann einfach den TOTP-Code ein, den Salesforce Authenticator anzeigt.

Möchten Sie die automatische Überprüfung für Benutzer auf ausschließlich vertrauenswürdige IP-Adressen (z. B. Ihr Unternehmensnetzwerk) beschränken? Oder komplett unterbinden? Das können Sie. Wenn Sie als Administrator angemeldet sind, können Sie zu den Einstellungen zur Identitätsüberprüfung Ihrer Organisation wechseln und die dort zulässigen Änderungen vornehmen.

Sitzungseinstellungen zum Steuern standortbasierter automatisierter Überprüfungen

Einzelheiten zur Automatisierung mit Salesforce Authenticator finden Sie in der Salesforce-Hilfe unter Automatisieren der Multi-Faktor-Authentifizierung mit Salesforce Authenticator und Optimierung und Fehlerbehebung bei der Automatisierung in Salesforce Authenticator

Was passiert, wenn Sia ihr Handy verliert?

Gute Frage. Wie wir alle wissen, müssen Benutzer auf Wüstenplaneten notlanden, werden ausgesetzt und verlieren ihre Handys. Das passiert ständig. Wenn Sia ihr Handy verliert, sich ein neues anschafft oder Salesforce Authenticator versehentlich löscht, bieten sich ihr ein paar Optionen. Sia kann ihre Accounts entweder von der zuvor erstellten Sicherungskopie wiederherstellen, oder Sie können Ihren Account von Salesforce Authenticator trennen, sodass Sia die Anwendung dann erneut registrieren kann.

Wenn Sia in Ihrer Salesforce Authenticator-Anwendung Sicherungskopien aktiviert hat, ist sie fein raus. Sie muss nun lediglich Salesforce Authenticator auf ihrem neuen Smartphone installieren. Wenn Sie die Anwendung öffnet, sieht sie die Option zur Wiederherstellung ihrer Accounts von der Sicherungskopie. Sie gibt den Zugangscode ein, den sie bei der Sicherung ihrer Accounts verwendet hat und diese werden wieder auf ihrem Smartphone angezeigt.

Was aber, wenn Sia ihre Accounts nicht gesichert hat. Im Folgenden erfahren Sie, wie Sie helfen können.

  1. Melden Sie sich als Administrator an.
  2. Geben Sie in Setup im Feld Schnellsuche den Text Users (Benutzer) ein und wählen Sie dann Benutzer aus.
  3. Klicken Sie auf Sias Namen.
  4. Klicken Sie auf Sias Benutzerdetailseite neben "Anwendungsregistrierung" auf Trennen: Salesforce Authenticator.

Bei Sias nächster Anmeldung wird sie aufgefordert, Salesforce Authenticator erneut zu verbinden, sofern sie nicht mit einer anderen Überprüfungsmethode verbunden ist.

Hinweis

Wenn Sie die Anwendung Salesforce Authenticator deinstallieren möchten, entfernen Sie zuerst den MFA-Berechtigungssatz aus den Benutzerdetails von Sia. Andernfalls können Sie sich in künftigen Einheiten nicht mehr als Sia anmelden.

Kontrollieren, wer sich bei Ihrer Organisation anmeldet

Ein wichtiger Bestandteil des Aufgabenbereichs eines Administrators ist es zu wissen, wer sich bei seiner Organisation anmeldet. Und genau dafür gibt es die Funktion "Verlauf der Identitätsüberprüfung".

  1. Melden Sie sich als Systemadministrator Ihres Trailhead Playgrounds an.
  2. Geben Sie in Setup im Feld "Schnellsuche" den Text Verification (Überprüfung) ein und wählen Sie dann Verlauf der Identitätsüberprüfung aus.

Sehen Sie sich die Spalte "Ort" an. Standardmäßig wird hier das Land des Benutzers angegeben. Sie können jedoch auch weitere Details anzeigen, indem Sie eine benutzerdefinierte Ansicht erstellen.

Bildschirm 'Verlauf der Identitätsüberprüfung'

Glückwunsch, Administrator. Sie wissen jetzt, wie einfach es ist, die MFA für Ihre Benutzer zu aktivieren. Wir raten Ihnen, sich auch andere Optionen für Ihre MFA-Implementierung anzusehen, etwa die Aktivierung von Sicherheitsschlüsseln oder integrierter Authentifizierungssysteme als alternative Überprüfungsmethode. Diese beiden Optionen sind eine gute Wahl, wenn Benutzer kein mobiles Gerät besitzen oder Mobiltelefone auf dem Gelände nicht erlaubt sind. In der nächsten Einheit, "Anpassen des Anmeldevorgangs mit "Meine Domäne"", erfahren Sie, wie Sie noch mehr Kontrolle über den Anmeldeprozess bekommen.

Ressourcen

Lernen Sie weiter kostenlos!
Registrieren Sie sich für einen Account, um fortzufahren.
Registrieren Anmelden
Was ist für Sie drin?
  • Holen Sie sich personalisierte Empfehlungen für Ihre Karriereplanung
  • Erproben Sie Ihre Fähigkeiten mithilfe praktischer Aufgaben und Quizze
  • Verfolgen Sie Ihre Fortschritte nach und teilen Sie sie mit Arbeitgebern
  • Nutzen Sie Mentoren und Karrierechancen
Vorerst überspringen