Einrichten von Single Sign-On für interne Benutzer
Lernziele
Nachdem Sie dieses Modul abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
- Erstellen einer Verbund-ID
- Einrichten von Single Sign-On mit externen Identitätsanbietern
- Beschreiben der Tools zur Fehlerbehebung bei SAML-Anforderungen
Single Sign-On
Der Anmelde-URL für Ihre "Meine Domäne" macht es Mitarbeitern leicht, sich mit einem sicheren, leicht zu merkenden URL bei Ihrer Salesforce-Organisation anzumelden.
Möchten Sie es ihnen noch einfacher machen, sodass sie sich gar nicht mehr anmelden müssen? Dann richten Sie Single Sign-On (SSO) ein.
SSO hat viele Vorteile.
- Sie verbringen weniger Zeit mit der Verwaltung von Kennwörtern.
- Ihre Mitarbeiter sparen Zeit, wenn sie sich nicht manuell bei Salesforce anmelden müssen. Wussten Sie, dass Benutzer zwischen 5 und 20 Sekunden brauchen, um sich bei einer Online-Anwendung anzumelden? Diese Sekunden summieren sich.
- Mehr Benutzer verwenden Salesforce. Benutzer können Links zu Salesforce-Datensätzen und Berichten verschicken, und die Empfänger können diese mit einem einzigen Klick öffnen.
- Sie können den Zugriff auf sensible Informationen von einem zentralen Ort aus steuern.
In dieser Lektion zeigen wir Ihnen, wie Sie die eingehende SSO einrichten, das heißt, Benutzer melden sich woanders an, z. B. bei einer lokalen Anwendung, und greifen dann ohne Anmeldung auf Salesforce zu. Sie können auch die ausgehende SSO konfigurieren, bei der sich Benutzer bei Salesforce anmelden und dann ohne erneute Anmeldung auf andere Services zugreifen.
Multi-Faktor-Authentifizierung (MFA) nicht vergessen
Erinnern Sie sich noch an die MFA-Anforderung aus der ersten Lektion? Und ja: Sie gilt auch für SSO-Benutzer. Selbst wenn Ihre Mitarbeiter über eine lokale Anwendung oder einen SSO-Identitätsanbieter auf Salesforce zugreifen, müssen sie zunächst die MFA durchführen.
Wir gehen hier zwar nicht näher darauf ein, wie man MFA auf SSO-Benutzer anwendet, doch keine Sorge, es ist ganz einfach. Um den in Salesforce enthaltenen MFA-Service für Ihre SSO-Einrichtung zu verwenden, lesen Sie bitte den Artikel Verwenden von Salesforce MFA für SSO in der Salesforce-Hilfe. Wenn Ihr SSO-Anbieter einen MFA-Service anbietet, können Sie die MFA auch vorschreiben, wenn sich Ihre Benutzer bei Ihrem Anbieter anmelden (und nicht beim Zugriff auf Salesforce).
Konfigurieren der eingehenden SSO mit einem externen Identitätsanbieter
Lassen Sie uns nun die eingehende SSO mit einem externen Identitätsanbieter konfigurieren.
Der Leiter Ihrer IT-Abteilung, Sean Sollo, bittet Sie, Salesforce-Benutzer mit SSO einzurichten, damit sie sich mit ihren Anmeldedaten für das Jedeye-Netzwerk bei Ihrer Salesforce-Organisation anmelden können. Im Folgenden werden die einzelnen Schritte zum Einrichten von SSO für die neue Jedeye Tech-Mitarbeiterin Sia Thripio beschrieben. Zum Einrichten der eingehenden SSO verwenden Sie die Heroku-Webanwendung Axiom als Identitätsanbieter.
Klingt das kompliziert? Das ist es aber nicht, Ehrenwort. Wir unterteilen den Vorgang in ganz einfache Schritte.
- Erstellen einer Verbund-ID für jeden Benutzer
- Einrichten von SSO-Einstellungen in Salesforce
- Einrichten von Salesforce-Einstellungen im SSO-Anbieter
- Prüfen, dass alles funktioniert
Schritt 1: Erstellen einer Verbund-ID
Beim Einrichten von SSO verwenden Sie ein eindeutiges Attribut zur Identifikation der einzelnen Benutzer. Dieses Attribut ist die Verknüpfung zwischen dem Salesforce-Benutzer und dem externen Identitätsanbieter. Sie können einen Benutzernamen, eine Benutzer-ID oder eine Verbund-ID verwenden. Wir verwenden eine Verbund-ID.
Und nein: Verbund-ID hat hier nichts mit einem Sternenverbund zu tun, der im Universum sein Unwesen treibt. "Verbund-ID" ist eigentlich nur ein Begriff, den Identitätsanbieter als Bezeichnung für eine eindeutige Benutzer-ID verwenden.
In der Regel wird eine Verbund-ID beim Einrichten eines Benutzeraccounts zugewiesen. Wenn Sie SSO in Ihrer Produktionsumgebung einrichten, können Sie die Verbund-ID mit Tools wie dem Salesforce Data Loader vielen Benutzern gleichzeitig zuweisen. Richten wir zunächst einen Account für Sia Thripio, die neue Mitarbeiterin von Jedeye Tech ein.
- Geben Sie in Setup im Feld Schnellsuche den Text
Users
(Benutzer) ein und wählen Sie dann Benutzer aus.
- Klicken Sie neben Sias Namen auf Bearbeiten.
- Geben Sie unter "Single Sign On-Informationen" die Verbund-ID ein:
sia@jedeye-tech.com
. Tipp: Eine Verbund-ID muss eindeutig für jeden Benutzer innerhalb einer Organisation sein. Aus diesem Grund ist der Benutzername so praktisch. Wenn der Benutzer aber zu mehreren Organisationen gehört, sollten Sie in jeder Organisation dieselbe Verbund-ID für den Benutzer verwenden.
- Klicken Sie auf Speichern.
Schritt 2: Einrichten des SSO-Anbieters in Salesforce
Ihr Serviceanbieter muss Ihren Identitätsanbieter kennen und umgekehrt. Bei diesem Schritt befinden Sie sich auf Salesforce-Seite und geben Informationen über den Identitätsanbieter (in diesem Fall Axiom) an. Im nächsten Schritt geben Sie Axiom Informationen über Salesforce.
Auf Salesforce-Seite konfigurieren wir SAML-Einstellungen. SAML ist das Protokoll, das Salesforce Identity verwendet, um SSO zu implementieren.
Tipp: Sie werden sowohl in Ihrer Salesforce Dev-Organisation als auch in der Axiom-Anwendung arbeiten. Öffnen Sie die beiden Produkte in separaten Browserfenstern, damit Sie Angaben durch Kopieren und Einfügen zwischen diesen beiden Anwendungen übertragen können.
- Wechseln Sie in einem neuen Browserfenster zu https://axiomsso.herokuapp.com.
- Klicken Sie auf SAML Identity Provider & Tester.
- Klicken Sie auf Download the Identity Provider Certificate. Da Sie dieses Zertifikat später in Ihre Salesforce-Organisation laden werden, sollten Sie sich den Speicherort notieren.
- Geben Sie in Ihrer Salesforce-Organisation unter Setup im Feld "Schnellsuche" den Text
Single
ein und wählen Sie dann Single Sign On-Einstellungen aus.
- Klicken Sie auf Bearbeiten.
- Wählen Sie SAML aktiviert aus.
- Klicken Sie auf Speichern.
- Führen Sie in den SAML Single-Sign-On-Einstellungen folgende Schritte durch:
- Klicken Sie auf Neu.
- Geben Sie diese Werte ein.
- Name:
Axiom Test App
- Aussteller:
https://axiomsso.herokuapp.com
- Zertifikat von einem Identitätsanbieter. Wählen Sie die in Schritt 3 heruntergeladene Datei aus.
- Anforderungssignaturmethode: Wählen Sie RSA-SHA1 aus.
- SAML-Identitätstyp: Wählen Sie die Option Die Behauptung enthält die Verbund-ID des Benutzerobjekts aus.
- SAML-Identitäts-Standort: Wählen Sie Die Identität ist das Namenskennzeichner-Element der Betreffanweisung aus.
- Vom Serviceanbieter initiierte Anforderungsbindung: Wählen Sie HTTP-Umleitung aus.
- Einheiten-ID: Geben Sie Ihren URL für "Meine Domäne" ein, der auf der Seite "Setup" für "Meine Domäne" Ihrer Organisation angezeigt wird. Achten Sie darauf, dass die Einheiten-ID die Angabe "https" enthält und die Salesforce-Domäne referenziert. Die ID sollte etwa so aussehen: https://mydomain-dev-ed.develop.my.salesforce.com.
- Klicken Sie auf Speichern und lassen Sie das Browserfenster geöffnet.
Schritt 3: Verknüpfen Ihres Identitätsanbieters mit Salesforce
Sie haben Salesforce jetzt mit den Informationen über den Identitätsanbieter (Axiom) konfiguriert, und müssen jetzt Ihrem Identitätsanbieter Informationen über Ihren Serviceanbieter (Salesforce) liefern.
Dazu füllen Sie ein paar Felder im folgenden Axiom-Formular aus. Ganz einfach, oder? Da Sie SSO-Einstellungen aus Salesforce angeben, sollten Sie zwei Browserfenster geöffnet haben: eines für Salesforce und eines für Axiom.
- Kehren Sie zur Axiom-Webanwendung zurück. Falls die Anwendung nicht mehr im Browser geöffnet ist, wechseln Sie zu https://axiomsso.herokuapp.com.
- Klicken Sie auf SAML Identity Provider & Tester.
- Klicken Sie auf generate a SAML response.
- Geben Sie die folgenden Werte ein. Lassen Sie alle anderen Felder unverändert.
- SAML Version 2.0
- Username OR Federated ID: Die Verbund-ID von Sias Seite "Salesforce-Benutzer"
- Aussteller:
https://axiomsso.herokuapp.com
- Recipient URL: Der URL aus der Salesforce-Seite mit SAML Single-Sign-On-Einstellungen. Sie finden ihn nicht? Er befindet sich unten auf der Seite (im Abschnitt Endpunkte) mit der Bezeichnung Anmelde-URL.
- Einheiten-ID: Die Einheiten-ID aus der Salesforce-Seite mit SAML Single-Sign-On-Einstellungen.
Wenn Sie fertig sind, sieht die Axiom-Einstellungsseite in etwa so aus:
Schritt 4: Prüfen, dass alles funktioniert
So, wir haben jetzt alle nötigen Einstellungen konfiguriert und werden uns nun vergewissern, dass alles funktioniert. Wie lässt sich dies am besten prüfen? Natürlich mit einer erfolgreichen Anmeldung.
- Klicken Sie im Browserfenster mit Axiom-Einstellungen auf Request SAML Response. (Diese Schaltfläche befindet sich ganz unten.)
- Axiom generiert die SAML-Behauptung in XML. Sieht dies für Sie wie eine Robotersprache für die Kommunikation mit Luftentfeuchtern in der Wüste aus? Riskieren Sie einen zweiten Blick. Dann sieht das alles gar nicht mehr so schlimm aus. Blättern Sie durch die XML, um zu den interessanten Informationen zu gelangen.
- Klicken Sie auf Anmelden.
Wenn alles funktioniert, werden Sie als Sia angemeldet und landen auf Ihrer Salesforce-Startseite. Die Axiom-Anwendung meldet Sie bei Ihrer Salesforce-Organisation als der Benutzer mit der zugewiesenen Verbund-ID an.
Herzlichen Glückwunsch! Sie haben Salesforce SSO für Ihre Benutzer konfiguriert, die aus einer anderen Anwendung auf Salesforce zugreifen.
Ressourcen
- Salesforce-Hilfe: SAML-SSO-Flows
- Salesforce-Hilfe: Konfigurieren von Salesforce als Serviceanbieter mit SAML Single Sign-on
- Salesforce-Video: Konfigurieren von SAML Single Sign-On mit Salesforce als Identitätsanbieter