Salesforce Identity 入门
学习目标
- 描述 Salesforce Identity 如何帮助管理员。
- 了解 Salesforce Identity 对企业有哪些好处。
- 区别单点登录 (SSO) 和社交登录。
- 描述 “My Domain” 的优点。
Salesforce Identity 是做什么的?
Salesforce Identity 让您在合适的时间给合适的人分配合适的资源的合适访问权限。您控制谁可以访问您的组织、谁可以使用 Salesforce Platform 上、内部部署、其他云以及移动设备上运行的各种应用。
您很可能可以看到控制访问将如何帮助您增强组织的安全性。不过,您是否知道您可以在增强安全性的同时,让您的用户更容易获得他们工作所需的应用和服务呢?是的,您完全可以!
当用户一次登录就可以访问他们需要的所有应用时,每个人都可以从中受益。
- 用户不必记住许多用户名和密码。
- 管理员可以花更少时间处理用户登录问题。
- 开发人员构建可以与现有的业务流程无缝结合的网络和移动应用程序。
- CIO 在加强安全和信任的同时,发挥他们在身份验证上的投资。
- 客户互相协作,轻松得到问题的答案。
- 合作伙伴将他们的解决方案与您的 Salesforce 组织进行整合,对于所有人来说是一大胜利。
有了 Salesforce Identity,只需登录一次,就可以访问许多连接的应用程序。
“身份”到底是什么意思?
在科技行业,身份是一个被滥用的词,视语境而定可以有许多不同的意思。不过一般来说,身份的意思是身份提供商确保人们自称是谁,实际上就是谁。
在 Salesforce,我们谈论的是关于用户的数字化信息,比如用户是谁,在特定情况下用户可以做什么。它还包括用户的属性,比如姓名、联系方式,可能还有职务。
Salesforce Identity 提供哪些功能?
身份管理是一个庞大的管理领域,而 Salesforce Identity 提供功能来解决其中许多方面。周到的 Salesforce Identity 实施从确定哪些功能适合您的组织并且排列优先级开始。先推出一两个功能,然后随着时间推移增加更多功能。
请看这份 Salesforce Identity 的主要功能清单,然后下拉,深入了解每个功能。
- 单点登录
- 连接的应用程序
- 社交登录
- 多重身份验证
- My Domain
- 统一用户帐户管理
- 用户配置
- 应用程序启动器
单点登录
通过单点登录 (SSO),用户不必一一登录就可以访问所有授权的资源,而且也不必为每个应用创建(并记住)不同的用户凭据。
您可以将您的用户连接到其他 Salesforce 组织、甚至是其他云上运行的多个帐户和应用程序。比如,有 Salesforce Identity 的呼叫中心代表可以点击一个链接,然后立即登录到其他应用程序,如 Google Apps、Microsoft Office 365 或 Box,前提是为这些应用程序配置过 SSO(单点登录)。
连接的应用程序
那么已登录用户有权访问的那些“授权资源”是什么呢?您说对了:它们是连接的应用程序。连接的应用程序融合了 Salesforce 组织、第三方应用程序以及服务。如果一个连接的应用程序是在没有实施 SSO(单点登录)的情况下创建的,则像一个书签。用户可以从应用程序启动器或下拉的应用程序菜单打开一个应用程序,但是有时候必须再次登录才能使用。
所以,要想充分利用连接的应用程序,请给它们配置 SSO(单点登录)。有了 SSO(单点登录),管理员可以设置安全策略,并且对谁可以使用哪些应用进行明确的控制。您还可以使用连接的应用程序来管理移动应用程序的身份验证和策略。
多重身份验证
听起来像一个数学等式?不!不是的。多重身份验证 (MFA) 是 Salesforce Identity 的一项功能,直接登录 Salesforce 的用户都需要进行这样的验证。通过配置若干设置,您就可以让您的组织登录流程,您做到了,加倍安全。
自 2022 年 2 月 1 日起,登录 Salesforce UI 的所有用户都需要进行 MFA。未来,Salesforce 将自动启用和强制进行 MFA。为避免业务中断以及保护您的 Salesforce 数据,我们强烈建议您自行且尽快启用 MFA。有关 MFA 要求以及未来强制实行里程碑的详细信息,请参阅 Salesforce Multi-Factor Authentication FAQ(Salesforce 多重身份验证常见问题)和 MFA Enforcement Roadmap(MFA 强制实行路线图)。
前面我们一直在讨论让您的用户更容易访问他们工作所需的组织和应用程序的功能。MFA 让登录过程额外多花了几秒钟的时间,但这一点点时间对于增强用户帐户的安全性来说是值得的。
启用多重身份验证后,用户在登录时必须提供两个或以上证据(或者因素)。其中一个因素是用户的用户名和密码组合。通过采用用户掌握的验证方法来满足多重因素的要求,比如身份验证应用程序或 USB 安全密钥。
通过最新版的 Salesforce Authenticator 应用程序,第二因素可以是回复向用户的移动设备推送的一条通知。
多重身份验证有助于确保即使黑客获得了用户密码,也无法登录并进行破坏。所以,在用其他 Salesforce Identity 功能扩展您的身份验证选项时,务必要通过多重身份验证保证对您的组织的每一次访问的安全性。
在后面一个模块中您将学习如何设置多重身份验证。我们保证它很简单。
My Domain
您希望您的 Salesforce 组织的 URL 对您的用户来说是有意义的吗?那么,您可以做到。通过“My Domain”身份功能,您可以定制您的 Salesforce URL,包含您的公司或品牌名称。比如,如果您供职于 Jedeye Technologies,您可以在您的 Salesforce 登录 URL 中加入这个名字:https://jedeye-tech.my.salesforce.com.
请注意 URL 以 salesforce.com 结尾。通过“My Domain”,您实际上在 Salesforce 域 salesforce.com 里创建了一个子域。
下面让我们看一下“My Domain”的实际操作。在这个 Trailhead Playground 中,您可以看到该组织的“My Domain”名称 creative-moose-o5xbqb-dev-ed,是 Salesforce lightning.force.com 域的一个子域。
- 在同一个浏览器中在多个 Salesforce 组织中工作
- 为外部身份厂商设置单点登录 (SSO)
- 设置身份验证提供商,比如 Google 和 Facebook,这样您的用户可以用他们的社交帐户凭据登录您的 Salesforce 组织。
因为拥有“My Domain”非常重要,因此所有组织都会默认拥有一个。对于生产组织,如果在创建组织期间未指定“My Domain”,您的默认“My Domain”将基于您的内部 Salesforce 组织 ID。如果您不喜欢组织的“My Domain”名称,您可以修改。前往 Salesforce 帮助中的 My Domain 以了解详细信息。
您将在用户身份验证模块中学习如何通过“My Domain”定制您的登录流程。
统一用户帐户管理
统一用户帐户管理表示管理员可以在一个地方统一管理所有用户帐户任务。管理员可以轻松地授予用户其他应用程序的访问权限以及在必要的时候撤销或冻结访问权限。
管理员可以应用登录策略和明确的安全性控制。比如,他们可以设定一项策略,禁止不知道您的域名的任何人尝试登录。
统一用户帐户管理对用户也有好处。他们不必记住许多用户名和密码。不需要在显示器上贴一堆便利贴。简言之,统一管理提供了更强大的安全性控制,有助于降低与访问有关的风险,方便最终用户。
连接的应用程序的用户配置
想跨所有组织和连接的应用程序创建、管理用户帐户并保证安全性吗?那正是 Salesforce Identity 用户配置为您做的事情。您可以快速、低成本、可靠、安全地跨多个系统和连接的应用程序管理用户信息。
许多有 Salesforce 帐户的人也有其他云的帐户,比如 Google Apps、Office365、Concur 或 Box。Salesforce 用户配置提供一个单一的地方,管理员可以创建、更新、删除和管理那些用户帐户。
应用程序启动器
应用程序启动器是 Salesforce Identity 的一部分,在 Lightning Experience 中发挥重要作用。应用程序启动器为您的 Salesforce 组织中的所有标准应用程序、定制应用程序以及连接的应用程序展现磁贴。您的用户可以前往 Salesforce 中的一个地方,然后访问所有应用程序,不需要再次登录。您选择把哪些第三方和其他连接的应用程序添加到应用程序启动器。而且您可以控制哪些应用程序对哪些用户可用。
这就是应用程序启动器:非常方便好用。
在 Lightning Experience 中,用户可以在导航栏的左侧打开应用程序启动器。
在 Salesforce Classic 中,用户可以从下拉的应用程序菜单打开应用程序启动器。
完全集成的解决方案
我们再次看一下 Salesforce Identity 的功能,看看他们是如何组合在一起的。
还记得本单元一开始时 Salesforce 组织的示意图吗?我们再看一下。不过这次,我们增加了一些详细信息。该示意图显示您的所有身份信息存储在 Salesforce 组织“后台”的位置。有了一个统一的身份管理系统,您可以去一个地方配置身份。注意图表左侧的 Directory 集成代表了第三方技术。
用户可以用相同的登录凭据从桌面切换到移动设备。他们的身份可以在许多地方进行安全地共享。管理员保证用户信息安全、最新并且放在同一个地方。您可以看出,当结合多个功能时,Salesforce Identity 有多么强大。
如何为您的组织启用 Salesforce Identity
在下一个单元,我们会探讨谁是您的用户。知道您在为哪些用户群体服务有助于规划您的 Salesforce Identity 实施。在以后的模块中,我们会深入介绍 Identity 功能。
那您准备好了在您的组织中启用 Salesforce Identity 了吗?好消息,您已经有许可证了。Salesforce Identity 包含在了标准用户许可证中。Salesforce 为那些想要 SSO(单点登录)之类的功能,但是不需要 Salesforce 的其他部分,如 Sales Cloud 或 Service Cloud 的用户提供专门的 Identity Only 许可证。
社交登录
社交登录听起来很像单点登录,不是吗?很容易混淆这两个,不仅是因为名称听起来很像,而且还因为两者的功能都是让用户的生活更轻松。
通过社交登录,用户用他们的用户名和密码从 Facebook、Twitter、LinkedIn 或 Google 等外部身份验证提供商登录一个 Salesforce 组织。只需点击几下您就可以设置这些提供商中的任何一家。再麻烦一点,您可以设置其他提供商,比如 PayPal 和 Amazon。
当您希望客户能够登录到某个 Experience Cloud 站点,而无需创建(并记住)新的用户名和密码时,社交登录尤其有用。客户可以用他们的 Facebook 或 LinkedIn 帐户登录到某个 Experience Cloud 站点。