Skip to main content

Einrichten von Single Sign-On für interne Benutzer

Lernziele

Nachdem Sie dieses Modul abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
  • Erstellen einer Verbund-ID
  • Einrichten von Single Sign-On mit externen Identitätsanbietern
  • Beschreiben der Tools zur Fehlerbehebung bei SAML-Anforderungen
Hinweis

Hinweis

Lernen Sie auf Deutsch? In diesem Badge ist für die praktischen Trailhead-Aufgaben Englisch als Bearbeitungssprache festgelegt. Übersetzungen werden zur Referenz in Klammern angegeben. Vergewissern Sie sich, dass Sie in Ihrem Trailhead-Playground (1) das Gebietsschema auf USA und (2) die Sprache auf Englisch festgelegt haben. (3) Verwenden Sie zum Kopieren und Einfügen nur die englischen Werte. Die zugehörigen Anweisungen finden Sie hier.

Weitere Details dazu, wie Sie die übersetzte Trailhead-Umgebung optimal nutzen können, finden Sie unter dem Badge "Trailhead in Ihrer Sprache".

Single Sign-On

Der Anmelde-URL für Ihre "Meine Domäne" macht es Mitarbeitern leicht, sich mit einem sicheren, leicht zu merkenden URL bei Ihrer Salesforce-Organisation anzumelden. 

Möchten Sie es ihnen noch einfacher machen, sodass sie sich gar nicht mehr anmelden müssen? Dann richten Sie Single Sign-On (SSO) ein.

SSO hat viele Vorteile.
  • Sie verbringen weniger Zeit mit der Verwaltung von Kennwörtern.
  • Ihre Mitarbeiter sparen Zeit, wenn sie sich nicht manuell bei Salesforce anmelden müssen. Wussten Sie, dass Benutzer zwischen 5 und 20 Sekunden brauchen, um sich bei einer Online-Anwendung anzumelden? Diese Sekunden summieren sich.
  • Mehr Benutzer verwenden Salesforce. Benutzer können Links zu Salesforce-Datensätzen und Berichten verschicken, und die Empfänger können diese mit einem einzigen Klick öffnen.
  • Sie können den Zugriff auf sensible Informationen von einem zentralen Ort aus steuern.

In dieser Lektion zeigen wir Ihnen, wie Sie die eingehende SSO einrichten, das heißt, Benutzer melden sich woanders an, z. B. bei einer lokalen Anwendung, und greifen dann ohne Anmeldung auf Salesforce zu. Sie können auch die ausgehende SSO konfigurieren, bei der sich Benutzer bei Salesforce anmelden und dann ohne erneute Anmeldung auf andere Services zugreifen. Dieses Thema wird in einem anderem Modul behandelt.

Multi-Faktor-Authentifizierung (MFA) nicht vergessen

Erinnern Sie sich noch an die MFA-Anforderung aus der ersten Lektion? Und ja: Sie gilt auch für SSO-Benutzer. Selbst wenn Ihre Mitarbeiter über eine lokale Anwendung oder einen SSO-Identitätsanbieter auf Salesforce zugreifen, müssen sie zunächst die MFA durchführen.

Wir gehen hier zwar nicht näher darauf ein, wie man MFA auf SSO-Benutzer anwendet, doch keine Sorge, es ist ganz einfach. Um den in Salesforce enthaltenen MFA-Service für Ihre SSO-Einrichtung zu verwenden, lesen Sie bitte den Artikel Verwenden von Salesforce MFA für SSO in der Salesforce-Hilfe. Wenn Ihr SSO-Anbieter einen MFA-Service anbietet, können Sie die MFA auch vorschreiben, wenn sich Ihre Benutzer bei Ihrem Anbieter anmelden (und nicht beim Zugriff auf Salesforce).

Konfigurieren der eingehenden SSO mit einem externen Identitätsanbieter

Lassen Sie uns nun die eingehende SSO mit einem externen Identitätsanbieter konfigurieren.

Der Leiter Ihrer IT-Abteilung, Sean Sollo, bittet Sie, Salesforce-Benutzer mit SSO einzurichten, damit sie sich mit ihren Anmeldedaten für das Jedeye-Netzwerk bei Ihrer Salesforce-Organisation anmelden können. Im Folgenden werden die einzelnen Schritte zum Einrichten von SSO für die neue Jedeye Tech-Mitarbeiterin Sia Thripio beschrieben. Zum Einrichten der eingehenden SSO verwenden Sie die Heroku-Webanwendung Axiom als Identitätsanbieter.

Klingt das kompliziert? Das ist es aber nicht, Ehrenwort. Wir unterteilen den Vorgang in ganz einfache Schritte.

  1. Erstellen einer Verbund-ID für jeden Benutzer
  2. Einrichten von SSO-Einstellungen in Salesforce
  3. Einrichten von Salesforce-Einstellungen im SSO-Anbieter
  4. Prüfen, dass alles funktioniert

Schritt 1: Erstellen einer Verbund-ID

Beim Einrichten von SSO verwenden Sie ein eindeutiges Attribut zur Identifikation der einzelnen Benutzer. Dieses Attribut ist die Verknüpfung zwischen dem Salesforce-Benutzer und dem externen Identitätsanbieter. Sie können einen Benutzernamen, eine Benutzer-ID oder eine Verbund-ID verwenden. Wir verwenden eine Verbund-ID.

Und nein: Verbund-ID hat hier nichts mit einem Sternenverbund zu tun, der im Universum sein Unwesen treibt. "Verbund-ID" ist eigentlich nur ein Begriff, den Identitätsanbieter als Bezeichnung für eine eindeutige Benutzer-ID verwenden.

In der Regel wird eine Verbund-ID beim Einrichten eines Benutzeraccounts zugewiesen. Wenn Sie SSO in Ihrer Produktionsumgebung einrichten, können Sie die Verbund-ID mit Tools wie dem Salesforce Data Loader vielen Benutzern gleichzeitig zuweisen. Richten wir zunächst einen Account für Sia Thripio, die neue Mitarbeiterin von Jedeye Tech ein.

  1. Geben Sie in Setup im Feld Schnellsuche den Text Users (Benutzer) ein und wählen Sie dann Benutzer aus.
  2. Klicken Sie neben Sias Namen auf Bearbeiten.
  3. Geben Sie unter "Single Sign On-Informationen" die Verbund-ID ein: sia@jedeye-tech.com. Tipp: Eine Verbund-ID muss eindeutig für jeden Benutzer innerhalb einer Organisation sein. Aus diesem Grund ist der Benutzername so praktisch. Wenn der Benutzer aber zu mehreren Organisationen gehört, sollten Sie in jeder Organisation dieselbe Verbund-ID für den Benutzer verwenden. Verbund-ID in den SSO-Einstellungen
  4. Klicken Sie auf Speichern.

Schritt 2: Einrichten des SSO-Anbieters in Salesforce

Ihr Serviceanbieter muss Ihren Identitätsanbieter kennen und umgekehrt. Bei diesem Schritt befinden Sie sich auf Salesforce-Seite und geben Informationen über den Identitätsanbieter (in diesem Fall Axiom) an. Im nächsten Schritt geben Sie Axiom Informationen über Salesforce.

Auf Salesforce-Seite konfigurieren wir SAML-Einstellungen. SAML ist das Protokoll, das Salesforce Identity verwendet, um SSO zu implementieren.

Tipp: Sie werden sowohl in Ihrer Salesforce Dev-Organisation als auch in der Axiom-Anwendung arbeiten. Öffnen Sie die beiden Produkte in separaten Browserfenstern, damit Sie Angaben durch Kopieren und Einfügen zwischen diesen beiden Anwendungen übertragen können.

  1. Wechseln Sie in einem neuen Browserfenster zu https://axiomsso.herokuapp.com.
  2. Klicken Sie auf SAML Identity Provider & Tester.
  3. Klicken Sie auf Download the Identity Provider Certificate. Da Sie dieses Zertifikat später in Ihre Salesforce-Organisation laden werden, sollten Sie sich den Speicherort notieren.
  4. Geben Sie in Ihrer Salesforce-Organisation unter Setup im Feld "Schnellsuche" den Text Single ein und wählen Sie dann Single Sign On-Einstellungen aus.
  5. Klicken Sie auf Bearbeiten.
  6. Wählen Sie SAML aktiviert aus.
  7. Klicken Sie auf Speichern.
  8. Führen Sie in den SAML Single-Sign-On-Einstellungen folgende Schritte durch:
    1. Klicken Sie auf Neu.
    2. Geben Sie die folgenden Werte ein.
      • Name: Axiom Test App
      • Aussteller: https://axiomsso.herokuapp.com
      • Zertifikat von einem Identitätsanbieter. Wählen Sie die in Schritt 3 heruntergeladene Datei aus.
      • Anforderungssignaturmethode: Wählen Sie RSA-SHA1 aus.
      • SAML-Identitätstyp: Wählen Sie die Option Die Behauptung enthält die Verbund-ID des Benutzerobjekts aus.
      • SAML-Identitäts-Standort: Wählen Sie Die Identität ist das Namenskennzeichner-Element der Betreffanweisung aus.
      • Vom Serviceanbieter initiierte Anforderungsbindung: Wählen Sie HTTP-Umleitung aus.
      • Einheiten-ID: Geben Sie Ihren URL für "Meine Domäne" ein, der auf der Seite "Setup" für "Meine Domäne" Ihrer Organisation angezeigt wird. Achten Sie darauf, dass die Einheiten-ID die Angabe "https" enthält und die Salesforce-Domäne referenziert. Die ID sollte etwa so aussehen: https://mydomain-dev-ed.develop.my.salesforce.com.Seite mit Single Sign-On-Einstellungen
  9. Klicken Sie auf Speichern und lassen Sie das Browserfenster geöffnet.

Schritt 4: Prüfen, dass alles funktioniert

So, wir haben jetzt alle nötigen Einstellungen konfiguriert und werden uns nun vergewissern, dass alles funktioniert. Wie lässt sich dies am besten prüfen? Natürlich mit einer erfolgreichen Anmeldung.
  1. Klicken Sie im Browserfenster mit Axiom-Einstellungen auf Request SAML Response. (Diese Schaltfläche befindet sich ganz unten.)
  2. Axiom generiert die SAML-Behauptung in XML. Sieht dies für Sie wie eine Robotersprache für die Kommunikation mit Luftentfeuchtern in der Wüste aus? Riskieren Sie einen zweiten Blick. Dann sieht das alles gar nicht mehr so schlimm aus. Blättern Sie durch den XML-Code, um zu den interessanten Informationen zu gelangen. Von Axiom generierte SAML-Antwort
  3. Klicken Sie auf Anmelden.

Wenn alles funktioniert, werden Sie als Sia angemeldet und landen auf Ihrer Salesforce-Startseite. Die Axiom-Anwendung meldet Sie bei Ihrer Salesforce-Organisation als der Benutzer mit der zugewiesenen Verbund-ID an.

Herzlichen Glückwunsch! Sie haben Salesforce SSO für Ihre Benutzer konfiguriert, die aus einer anderen Anwendung auf Salesforce zugreifen. Kommen Sie bitte auf die Bühne und nehmen Sie Ihren Badge in Empfang.

Lernen Sie weiter kostenlos!
Registrieren Sie sich für einen Account, um fortzufahren.
Registrieren Anmelden
Was ist für Sie drin?
  • Holen Sie sich personalisierte Empfehlungen für Ihre Karriereplanung
  • Erproben Sie Ihre Fähigkeiten mithilfe praktischer Aufgaben und Quizze
  • Verfolgen Sie Ihre Fortschritte nach und teilen Sie sie mit Arbeitgebern
  • Nutzen Sie Mentoren und Karrierechancen
Vorerst überspringen