Erfassen Sie Ihre Fortschritte
Trailhead-Startseite
Trailhead-Startseite

Steuern des Zugriffs auf die mobile Salesforce-Anwendung

Lernziele

Nachdem Sie dieses Modul abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
  • Zugreifen auf die Anwendungen, die sich mit Ihrer Salesforce-Organisation verbinden
  • Festlegen von OAuth-Richtlinien für die mobile Salesforce-Anwendung
  • Festlegen, dass mobile Benutzer einen PIN-Code eingeben müssen
  • Konfigurieren mobiler Sitzungs-Timeouts
  • Bearbeiten mobiler Compliance-Richtlinien.

Anzeigen der verbundenen Anwendungen Ihrer Organisation

In der vorherigen Einheit haben Sie gelernt, dass die Salesforce-Anwendung als eine verbundene Anwendung betrachtet wird, da sie eine externe Anwendung ist, die über APIs mit Salesforce kommuniziert. Sie können alle verbundenen Anwendungen Ihres Unternehmens (einschließlich der Salesforce-Anwendung) über Salesforce Setup verwalten.

  1. Geben Sie in Setup im Feld "Schnellsuche" den Text "Verbundene Anwendungen" ein.
  2. Wählen Sie Verbundene Anwendungen aus. Screenshot der Listenansicht 'Verbundene Anwendungen' ohne Datensätze

Doch, halt. Warum ist die Liste leer? Wenn Sie die mobile Salesforce-Anwendung zuvor noch nicht installiert und auch keine verbundene Anwendung in Ihrer Organisation erstellt haben, gibt es keine Anwendungen, die in der Liste anzeigt werden könnten. Bevor Sie die Sicherheits- und Compliance-Richtlinien für die Salesforce-Anwendung bearbeiten können, müssen Sie sie also zunächst mit Ihrer Organisation verbinden.

Wenn die Salesforce-Anwendung in der Liste Ihrer Organisation aufgeführt wird, können Sie den nächsten Schritt überspringen.

Hinweis

Hinweis

Zur Durchführung der Aufgaben in dieser Einheit benötigen Sie ein Smartphone oder Tablet mit Android oder iOS als Betriebssystem.

Installation der Salesforce-Anwendung für Ihre Organisation

Es ist ganz einfach, die Salesforce-Anwendung mit Ihrem Unternehmen zu verbinden: Sie müssen die Anwendung dazu nur auf einem Mobiltelefon oder Tablet installieren. Die mobile Salesforce-Anwendung steht zum Download im Google Play Store oder dem App Store von Apple zur Verfügung. Falls Sie Probleme haben, sich auf Ihrem Gerät bei Ihrer Organisation anzumelden, finden Sie im Modul "Grundlagen der mobilen Salesforce-Anwendung" weitere Informationen über die ersten Schritte bei der Verwendung der Anwendung.

Hinweis

Hinweis

Alternativ können Sie das Anwendungspaket der verbundenen Salesforce- und Chatter-Anwendungen manuell installieren, um die standardmäßigen Sicherheits- und Zugriffseinstellungen zu überprüfen, bevor Sie die Salesforce-Anwendung für Ihre Benutzer implementieren. Um es mithilfe der Anwendung Playground Starter zu installieren, verwenden Sie die Paket-ID "04t3A000001AJf2QAG".

Wenn Sie die Salesforce-Anwendung erfolgreich installiert haben, gehen Sie in Setup auf die Seite "Verbundene Anwendungen" zurück. Sie sollten Einträge für alle mobilen Salesforce-Anwendungen sehen. (Haben Sie etwas Geduld. Manchmal dauert die Aktualisierung der Liste einige Minuten.)

Screenshot mit der Liste der verbundenen Anwendungen

Sie haben wahrscheinlich bemerkt, dass die Seite "Verbundene Anwendungen" Einträge sowohl für Android als auch für iOS enthält. Das liegt daran, dass es sich um zwei separate Anwendungen handelt, was Ihnen ermöglicht, sie unterschiedlich zu verwalten.

Anzeigen von Richtlinien für verbundene Anwendungen für die Salesforce-Anwendung

Wie Sie in der vorherigen Einheit gelernt haben, können Sie die Sicherheits- und Compliance-Einstellungen, die sogenannten Richtlinien, für die verbundenen Anwendungen Ihres Unternehmens steuern. Um die Richtlinien für die mobile Salesforce-Anwendung anzuzeigen, klicken Sie einfach in der Liste der verbundenen Anwendungen auf Salesforce für Android bzw. Salesforce für iOS.

Screenshot der Detailseite mit verbundenen Anwendungen

Bearbeiten der Richtlinien für verbundene Anwendungen

Wenn Sie die Richtlinien für verbundene Anwendungen zum ersten Mal sehen, fühlen Sie sich wahrscheinlich ein wenig überfordert. Glücklicherweise beziehen sich nicht alle Einstellungen auf die Verwaltung von Salesforce-Anwendungen. Einige der Optionen werden hauptsächlich von Entwicklern genutzt, die benutzerdefinierte mobile Anwendungen erstellen. Diese Einstellungen werden hier nicht behandelt.

Um die Sicherheits- und Compliance-Richtlinien für die Salesforce-Anwendung zu konfigurieren, bearbeiten wir die folgenden Abschnitte auf der Detailseite "Verbundene Anwendung – Details":

  • OAuth-Richtlinien
  • Sitzungsrichtlinien
  • Mobile-Integration
  • Benutzerdefinierte Attribute

Bereit loszulegen? Dann klicken Sie einfach in der Detailseite auf Richtlinien bearbeiten. Sie können auch in der Liste der verbundenen Anwendungen neben dem Namen der Anwendung, die Sie ändern möchten, auf Bearbeiten klicken.

Die OAuth-Richtlinien

Im Abschnitt "OAuth-Richtlinien" können Sie steuern, wie sich die Salesforce-Anwendung verbindet und wer sie verwenden darf. Im Abschnitt "OAuth-Richtlinien" haben Sie folgende Möglichkeiten:

  • Festlegen, welche Benutzer Zugriff auf die Salesforce-Anwendung haben
  • Verschärfen oder Lockern der in Ihrer Organisation geltenden IP-Einschränkungen für mobile Benutzer
  • Festlegen, wie lang das Token eines mobilen Benutzers gültig ist, bevor eine erneute Eingabe der Anmeldeinformationen notwendig ist

Bevor wir die OAuth-Richtlinien bearbeiten, sollten wir eine mögliche Überlegung ansprechen. Nachdem Sie die obige Liste gelesen haben, fragen Sie sich vielleicht, warum Sie die IP-Beschränkungen Ihrer Organisation für die Salesforce-Anwendung lockern sollten.

Überlegen Sie sich, wie sich Einschränkungen der IP-Anmeldung auf mobile Benutzer auswirken. Diese Einschränkungen erfordern, dass sich Benutzer von bestimmten IP-Adressen, meist innerhalb Ihres Unternehmensnetzwerks oder VPN, bei Salesforce anmelden. Mobile Benutzer sind jedoch oft nicht in Ihrem Unternehmensnetzwerk, was bedeutet, dass sie sich bei jedem Zugriff auf die Salesforce-Anwendung von ihrem Gerät aus mit dem VPN verbinden müssen.

Da dies die Akzeptanz der mobilen Anwendung einschränken kann, lockern einige Unternehmen die IP-Beschränkungen für mobile Benutzer. Sie können beispielsweise festlegen, dass mobile Benutzer sich nicht im VPN befinden müssen, solange sie einen zweiten Identifikationsfaktor angeben, z. B. einen Prüfcode aus einer mobilen Authentifizierungsanwendung. Sie müssen in diesem Fall die Sicherheitsanforderungen Ihres Unternehmens mit der Notwendigkeit in Einklang bringen, eine gute mobile Benutzererfahrung zu bieten.

Konfigurieren der OAuth-Richtlinien

Sie können die folgenden OAuth-Richtlinien für die Salesforce-Anwendung bearbeiten.

Screenshot der OAuth-Richtlinien der verbundenen Anwendung
  • "Zulässige Benutzer" bestimmt, wer auf die Salesforce Anwendung zugreifen kann.
    • Alle Benutzer können sich selbst autorisieren: Jeder in Ihrer Organisation kann die Salesforce-Anwendung installieren und sich anmelden. Die Benutzer müssen die Anwendung beim ersten Zugriff genehmigen.
    • Vom Administrator genehmigte Benutzer sind vorab autorisiert: Der mobile Zugriff ist auf Benutzer mit dem entsprechenden Profil oder Berechtigungssatz beschränkt. Diese Benutzer müssen die Anwendung nicht genehmigen, bevor sie darauf zugreifen können. Sie können Benutzer vorab autorisieren, indem Sie die Liste "Zugriff auf verbundene Anwendung" für die entsprechenden Profile oder Berechtigungssätze bearbeiten.
  • "IP-Relaxation" bezieht sich auf die IP-Einschränkungen für Ihre Benutzer. Sie können festlegen, dass diese Einschränkungen umgesetzt oder umgangen werden sollen.
    • IP-Einschränkungen erzwingen: Benutzer der Salesforce-Anwendung unterliegen den IP-Einschränkungen der Organisation, wie beispielweise den im Benutzerprofil festgelegten IP-Bereichen.
    • IP-Einschränkungen erzwingen, aber für Aktualisierungstoken lockern: Bei der ersten Anmeldung unterliegen Benutzer der Salesforce-Anwendung den IP-Einschränkungen der Organisation, wie beispielweise den im Benutzerprofil festgelegten IP-Bereichen. Diese Einschränkungen werden jedoch gelockert, wenn die Anwendung ein Aktualisierungstoken verwendet, um ein neues Zugriffstoken zu erhalten.
    • IP-Einschränkungen für aktivierte Geräte lockern: Benutzer, die auf einem geprüften Gerät auf Salesforce zugreifen, umgehen die IP-Einschränkungen der Organisation. Wenn sie auf einem neuen Gerät auf Salesforce zugreifen, umgehen sie IP-Einschränkungen, nachdem sie eine Identitätsprüfung erfolgreich abgeschlossen haben.
    • IP-Einschränkungen lockern: Benutzer unterliegen keinerlei IP-Einschränkungen.
  • "Aktualisierungstokenrichtlinie" gibt an, wie lange das Aktualisierungstoken für die Salesforce-Anwendung gültig ist. Wenn das Token abläuft, müssen Benutzer ihre Anmeldeinformationen erneut eingeben, um auf die Salesforce-Anwendung zugreifen zu können.
    • Aktualisierungstoken ist bis zum Widerruf gültig: Das Token ist unendlich gültig, es sei denn, Sie widerrufen es.
    • Aktualisierungstoken sofort ablaufen lassen: Das Token wird sofort ungültig. Der Benutzer hat Zugriff auf die aktuelle Sitzung, kann aber keine neue Sitzung starten, ohne seine Anmeldeinformationen erneut einzugeben.
    • Aktualisierungstoken ablaufen lassen, wenn nicht verwendet für: Das Token läuft ab, wenn es innerhalb des festgelegten Zeitraums nicht verwendet wurde.
    • Aktualisierungstoken ablaufen lassen nach: Bei dieser Einstellung läuft das Token nach einem festgelegten Zeitraum ab. Legt die Richtlinie beispielsweise 30 Tage fest, läuft das Token in einem Monat ab, auch wenn der Benutzer täglich in der Salesforce-Anwendung aktiv ist.

Bearbeiten mobiler Sitzungseinstellungen

Bei der anfänglichen Einrichtung Ihrer Organisation haben Sie vielleicht ein paar Sitzungssicherheitseinstellungen konfiguriert, wie z. B. einen Timeout-Wert für Sitzungen. Mithilfe von Richtlinien für verbundene Anwendungen können Sie Sitzungseinstellungen konfigurieren, die speziell für die mobile Salesforce-Anwendung gelten. Im Abschnitt "Sitzungsrichtlinien" haben Sie folgende Möglichkeiten:

Screenshot der Sitzungsrichtlinien der verbundenen Anwendung
  • "Timeout-Wert" steuert, wie lang eine mobile Sitzung dauert.
    • Wenn Sie keinen Wert festlegen, verwendet die Salesforce-Anwendung den Timeout-Wert aus dem Profil des Benutzers.
    • Ist im Profil kein Timeout-Wert angegeben, verwendet die Salesforce-Anwendung den Timeout-Wert aus den Sitzungseinstellungen der Organisation.
  • Hinweis Es ist wichtig, dass Sie die Interaktion zwischen dem Sitzungs-Timeout-Wert und der Einstellung für den Ablauf des Aktualisierungstokens verstehen. Angenommen, die mobile Sitzung wird nach 2 Stunden durch Timeout beendet, und das Aktualisierungstoken läuft nach 30 Tagen ab. Wenn die Sitzung während der Lebensdauer des Aktualisierungstokens per Timeout beendet wird, kann die Salesforce-Anwendung das Aktualisierungstoken verwenden, um die Sitzungs-ID im Hintergrund zu aktualisieren. Während dieser Zeit kann der Benutzer die Anwendung stoppen und neu starten, ohne sich erneut anzumelden. Ist das Aktualisierungstoken jedoch abgelaufen (in diesem Beispiel nach 30 Tagen), kann die Anwendung die Sitzungs-ID nicht mehr aktualisieren und der Benutzer muss sich erneut anmelden.
  • "Sitzung mit hoher Sicherung notwendig" legt fest, dass sich mobile Benutzer mit der Zwei-Faktoren-Authentifizierung bei der Salesforce-Anwendung anmelden müssen. Die Zwei-Faktoren-Authentifizierung (2FA) erhöht die Sicherheit Ihrer Organisation, indem sie für jede Benutzeranmeldung eine zweite Authentifizierungsebene erfordert. Wenn sich mobile Benutzer zum ersten Mal bei der Salesforce-Anwendung anmelden, werden sie aufgefordert, eine Methode zur Identitätsprüfung einzurichten, sofern Sie diese nicht bereits für sie konfiguriert haben.

Fordern eines PIN-Codes für die Salesforce-Anwendung

Sie können eine zusätzliche Sicherheitsebene zum Schutz der Daten hinzufügen, indem Sie mobile Benutzer zwingen, einen anwendungsspezifischen PIN-Code für die Salesforce-Anwendung einzurichten, damit sie nach einer gewissen Zeit der Inaktivität gesperrt wird. Verwenden Sie folgende Optionen im Abschnitt "Mobile-Integration", um einen PIN-Code zu erzwingen:

Screenshot der PIN-Code-Einstellungen der verbundenen Anwendung
  • "PIN erforderlich nach" gibt an, wie lange sich die Salesforce-Anwendung im Leerlaufzustand befinden darf, bevor sie automatisch gesperrt wird und zum Fortfahren die PIN eingegeben werden muss. Zulässige Werte sind "Keine" (keine Sperre), 1, 5, 10 und 30 Minuten. Diese Richtlinie wird nur erzwungen, wenn eine entsprechende PIN-Länge konfiguriert wurde.
  • "PIN-Länge" legt die Länge der Identifikationsnummer fest. Die Länge kann 4 bis 8 Stellen betragen.

Durch diese Einstellung wird die Sitzung eines Benutzers nicht ungültig. Wenn die Anwendung aufgrund von Inaktivität gesperrt wird, ist bei dieser Richtlinie nur erforderlich, dass der Benutzer eine PIN eingibt, um die aktuelle Sitzung weiterhin verwenden zu können.

Konfigurieren mobiler Compliance-Richtlinien

Wenn Ihr Unternehmen in einer regulierten Branche tätig ist, sind Sie verpflichtet, bestimmte Regeln und Richtlinien einzuhalten. Die mobile Salesforce-Anwendung stellt einige Einstellungen zur Verfügung, die Ihnen die Einhaltung dieser Anforderungen erleichtern. Die Verwendung benutzerdefinierte Attribute für verbundene Anwendungen ermöglicht Ihnen Folgendes:

  • Deaktivieren der Möglichkeit, Daten in Salesforce zu kopieren und in andere Anwendungen einzufügen
  • Verhindern, dass von der Salesforce-Anwendung aus gedruckt wird
  • Festlegen, dass ein bestimmter mobiler E-Mail-Client für Salesforce verwendet werden muss
  • Deaktivieren der Dateifreigabe von Salesforce für andere mobile Anwendungen

So richten Sie Compliance-Richtlinien ein:

  1. Geben Sie in Setup im Feld "Schnellsuche" den Text "Verbundene Anwendungen" ein.
  2. Wählen Sie Verbundene Anwendungen aus.
  3. Wählen Sie die Android- oder iOS-Anwendung aus.
  4. Klicken Sie in der Themenliste "Benutzerdefiniertes Attribute" auf Neu.
  5. Geben Sie das Schlüssel-Wert-Paar für die Compliance-Richtlinie ein, die Sie durchsetzen möchten. Hier finden Sie die Liste verfügbarer Attribute. Stellen Sie sicher, dass Sie den Wert in Anführungszeichen setzen.
  6. Klicken Sie auf Speichern. Screenshot der benutzerdefinierten Attribute der verbundenen Anwendung
Hinweis

Hinweis

Diese Änderungen werden wirksam, wenn sich Benutzer bei einer neuen Sitzung anmelden. Wir empfehlen, den Zugriff auf die Salesforce-Anwendung zu widerrufen, damit sich jeder erneut anmelden muss. Wie Sie dazu vorgehen, erfahren Sie in einer der nächsten Einheiten.

Und das war's schon: Sie haben erfolgreich Richtlinien für verbundene Anwendungen für die mobile Salesforce-Anwendung eingerichtet. Wir müssen noch eine letzte Gruppe von Optionen behandeln, dann sind wir fertig mit der Bearbeitung all dieser Sicherheitseinstellungen. Machen wir also am besten gleich mit der nächsten Einheit weiter!