Erfassen Sie Ihre Fortschritte
Trailhead-Startseite
Trailhead-Startseite

Einrichten von Single Sign-On für interne Benutzer

Lernziele

Nachdem Sie dieses Modul abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
  • Erstellen einer Verbund-ID
  • Einrichten von Single Sign-On von einem externen Identitätsanbieter
  • Beschreiben der Tools zur Fehlerbehebung bei SAML-Anforderungen

Single Sign-On

Mit einer benutzerdefinierten Domäne und einer angepassten Anmeldeseite machen Sie es Mitarbeitern leicht, sich mit einem sicheren, leicht zu merkenden URL bei Ihrer Salesforce-Organisation anzumelden. 

Möchten Sie es ihnen noch einfacher machen, sodass sie sich gar nicht mehr anmelden müssen? Dann richten Sie Single Sign-On (SSO) ein.

SSO hat viele Vorteile.
  • Sie verbringen weniger Zeit mit der Verwaltung von Kennwörtern.
  • Ihre Mitarbeiter sparen Zeit, wenn sie sich nicht manuell bei Salesforce anmelden müssen. Wussten Sie, dass Benutzer zwischen 5 und 20 Sekunden brauchen, um sich bei einer Online-Anwendung anzumelden? Diese Sekunden summieren sich.
  • Mehr Benutzer verwenden Salesforce. Benutzer können Links zu Salesforce-Datensätzen und Berichten verschicken, und die Empfänger können diese mit einem einzigen Klick öffnen.
  • Sie können den Zugriff auf sensible Informationen von einem zentralen Ort aus steuern.

In dieser Lektion zeigen wir Ihnen, wie Sie die eingehende SSO einrichten, das heißt, Benutzer melden sich woanders an, z. B. bei einer lokalen Anwendung, und greifen dann ohne Anmeldung auf Salesforce zu. Sie können auch die ausgehende SSO konfigurieren, bei der sich Benutzer bei Salesforce anmelden und dann ohne erneute Anmeldung auf andere Services zugreifen. Dieses Thema wird in einem anderem Modul behandelt.

Konfigurieren der eingehenden SSO mit einem externen Identitätsanbieter

Lassen Sie uns nun die eingehende SSO mit einem externen Identitätsanbieter konfigurieren.

Der Leiter Ihrer IT-Abteilung, Sean Sollo, bittet Sie, Salesforce-Benutzer mit SSO einzurichten, damit sie sich mit ihren Anmeldedaten für das Jedeye-Netzwerk bei Ihrer Salesforce-Organisation anmelden können. Im Folgenden werden die einzelnen Schritte zum Einrichten von SSO für die neue Jedeye Tech-Mitarbeiterin Sia Thripio beschrieben. Zum Einrichten der eingehenden SSO verwenden Sie die Heroku-Webanwendung Axiom als Identitätsanbieter.

Klingt das kompliziert? Das ist es aber nicht, Ehrenwort. Wir unterteilen den Vorgang in ganz einfache Schritte.

  1. Erstellen einer Verbund-ID für jeden Benutzer
  2. Einrichten von SSO-Einstellungen in Salesforce
  3. Einrichten von Salesforce-Einstellungen im SSO-Anbieter
  4. Prüfen, dass alles funktioniert

Wissen Sie noch, was die Voraussetzung für SSO ist? Richtig: eine benutzerdefinierte Domäne. Da Sie die Lektion zum Einrichten einer benutzerdefinierten Domäne bereits abgeschlossen haben, sind Sie startklar.

Schritt 1: Erstellen einer Verbund-ID

Beim Einrichten von SSO verwenden Sie ein eindeutiges Attribut zur Identifikation der einzelnen Benutzer. Dieses Attribut ist die Verknüpfung zwischen dem Salesforce-Benutzer und dem externen Identitätsanbieter. Sie können einen Benutzernamen, eine Benutzer-ID oder eine Verbund-ID verwenden. Wir verwenden eine Verbund-ID.

Und nein: Verbund-ID hat hier nichts mit einem Sternenverbund zu tun, der im Universum sein Unwesen treibt. "Verbund-ID" ist eigentlich nur ein Begriff, den Identitätsanbieter als Bezeichnung für eine eindeutige Benutzer-ID verwenden.

In der Regel wird eine Verbund-ID beim Einrichten eines Benutzeraccounts zugewiesen. Wenn Sie SSO in Ihrer Produktionsumgebung einrichten, können Sie die Verbund-ID mit Tools wie dem Salesforce Data Loader vielen Benutzern gleichzeitig zuweisen. Richten wir zunächst einen Account für Sia Thripio, die neue Mitarbeiterin von Jedeye Tech ein.

  1. Geben Sie in Setup im Feld "Schnellsuche" den Text "Benutzer" ein und wählen Sie dann Benutzer aus.
  2. Klicken Sie neben Sias Namen auf Bearbeiten.
  3. Geben Sie unter "Single Sign On-Informationen" die Verbund-ID ein: sia@jedeye-tech.com. Tipp: Eine Verbund-ID muss eindeutig für jeden Benutzer innerhalb einer Organisation sein. Aus diesem Grund ist der Benutzername so praktisch. Wenn der Benutzer aber zu mehreren Organisationen gehört, sollten Sie in jeder Organisation dieselbe Verbund-ID für den Benutzer verwenden. Verbund-ID in den SSO-Einstellungen
  4. Klicken Sie auf Speichern.

Schritt 2: Einrichten des SSO-Anbieters in Salesforce

Ihr Serviceanbieter muss Ihren Identitätsanbieter kennen und umgekehrt. Bei diesem Schritt befinden Sie sich auf Salesforce-Seite und geben Informationen über den Identitätsanbieter (in diesem Fall Axiom) an. Im nächsten Schritt geben Sie Axiom Informationen über Salesforce.

Auf Salesforce-Seite konfigurieren wir SAML-Einstellungen. SAML ist das Protokoll, das Salesforce Identity verwendet, um SSO zu implementieren.

Tipp: Sie werden sowohl in Ihrer Salesforce Dev-Organisation als auch in der Axiom-Anwendung arbeiten. Öffnen Sie die beiden Produkte in separaten Browserfenstern, damit Sie Angaben durch Kopieren und Einfügen zwischen diesen beiden Anwendungen übertragen können.

  1. Wechseln Sie in einem neuen Browserfenster zu http://axiomsso.herokuapp.com.
  2. Klicken Sie auf SAML Identity Provider & Tester.
  3. Klicken Sie auf Download the Identity Provider Certificate. Da Sie dieses Zertifikat später in Ihre Salesforce-Organisation laden werden, sollten Sie sich den Speicherort notieren.
  4. Geben Sie in Ihrer Salesforce-Organisation unter Setup im Feld "Schnellsuche" den Text "Single" ein und wählen Sie dann Single Sign On-Einstellungen aus.
  5. Klicken Sie auf Bearbeiten.
  6. Wählen Sie SAML aktiviert aus.
  7. Klicken Sie auf Speichern.
  8. Führen Sie in den SAML Single-Sign-On-Einstellungen folgende Schritte durch:
    1. Klicken Sie auf Neu.
    2. Geben Sie die folgenden Werte ein.
      • Name: Axiom Test App
      • Aussteller: http://axiomsso.herokuapp.com
      • Zertifikat von einem Identitätsanbieter. Wählen Sie die in Schritt 3 heruntergeladene Datei aus.
      • Anforderungssignaturmethode: Wählen Sie RSA-SHA1 aus.
      • SAML-Identitätstyp: Wählen Sie die Option Die Behauptung enthält die Verbund-ID des Benutzerobjekts aus.
      • SAML-Identitäts-Standort: Wählen Sie Die Identität ist das Namenskennzeichner-Element der Betreffanweisung aus.
      • Vom Serviceanbieter initiierte Anforderungsbindung: Wählen Sie HTTP-Umleitung aus.
      • Einheiten-ID: Geben Sie Ihren "Meine Domäne"-Namen mit "https" ein. Verwenden Sie den Unterdomänennamen, den Sie in der Lektion "Anpassen des Anmeldevorgangs mit "Meine Domäne"" eingerichtet haben. Kopieren Sie ihn aus der Adressleiste Ihres Browsers und fügen Sie ihn ein.Prüfen Sie vor dem Klicken auf "Speichern", ob Ihre Einstellungsseite in etwa so aussieht: Salesforce-Seite mit SAML SSO-Einstellungen vor dem Klicken auf 'Speichern'
  9. Klicken Sie auf Speichern und lassen Sie das Browserfenster geöffnet.

Schritt 4: Prüfen, dass alles funktioniert

So, wir haben jetzt alle nötigen Einstellungen konfiguriert und werden uns nun vergewissern, dass alles funktioniert. Wie lässt sich dies am besten prüfen? Natürlich mit einer erfolgreichen Anmeldung.
  1. Klicken Sie im Browserfenster mit Axiom-Einstellungen auf Request SAML Response. (Diese Schaltfläche befindet sich ganz unten.)
  2. Axiom generiert die SAML-Behauptung in XML. Sieht dies für Sie wie eine Robotersprache für die Kommunikation mit Luftentfeuchtern in der Wüste aus? Riskieren Sie einen zweiten Blick. Dann sieht das alles gar nicht mehr so schlimm aus. Blättern Sie durch die XML, um zu den interessanten Informationen zu gelangen. SAML-Behauptung
  3. Klicken Sie auf Anmelden.

Wenn alles funktioniert, werden Sie als Sia angemeldet und landen auf Ihrer Salesforce-Startseite. Die Axiom-Anwendung meldet Sie bei Ihrer Salesforce-Organisation als der Benutzer mit der zugewiesenen Verbund-ID an.

Herzlichen Glückwunsch! Sie haben Salesforce SSO für Ihre Benutzer konfiguriert, die aus einer anderen Anwendung auf Salesforce zugreifen. Kommen Sie bitte auf die Bühne und nehmen Sie Ihren Badge in Empfang.