Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Salesforce mit Microsoft Entra ID integrieren. Die Integration von Salesforce in Microsoft Entra ID ermöglicht Folgendes:
- Steuern Sie in Microsoft Entra ID, wer Zugriff auf Salesforce hat.
- Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei Salesforce anzumelden.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Salesforce-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist
Beschreibung des Szenarios
In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
Salesforce unterstützt das SP-initiierte einmalige Anmelden.
Salesforce unterstützt die automatisierte Benutzerbereitstellung und Bereitstellungsaufhebung (empfohlen).
Salesforce unterstützt die Just-in-Time-Benutzerbereitstellung.
Die mobile Salesforce-Anwendungen kann nun mit Microsoft Entra ID konfiguriert werden, um einmaliges Anmelden zu ermöglichen. In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
Salesforce aus der Galerie hinzufügen
Zum Konfigurieren der Integration von Salesforce in Microsoft Entra ID müssen Sie Salesforce aus dem Katalog zur Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Salesforce in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich Salesforce aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für Salesforce
Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit Salesforce mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem*r Microsoft Entra-Benutzer*in und dem*r entsprechenden Benutzer*in in Salesforce eingerichtet werden.
Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Salesforce die folgenden Schritte aus:
-
Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen
- Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
- Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
-
Konfigurieren des einmaligen Anmeldens für Salesforce , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
- Erstellen Sie einen Salesforce-Testbenutzer - um ein Gegenstück zu B.Simon in Salesforce zu haben, das mit der Microsoft Entra-Repräsentation des Benutzers verknüpft ist.
- Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert
Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps>Salesforce>Single Sign-On.
Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.
Wählen Sie auf der Seite Einmaliges Anmelden mit SAML einrichten das Symbol "Bearbeiten/Bleistift-Icon" für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.
Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein:
a) Geben Sie im Textfeld Bezeichner den Wert in folgendem Format ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comb. Geben Sie im Textfeld Antwort-URL den Wert nach folgendem Muster ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comAbschnitt c. Geben Sie im Textfeld Anmelde-URL den Wert im folgenden Format ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comHinweis
Diese Werte sind nicht real. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL aktualisieren. Wenden Sie sich an das Kundensupportteam von Salesforce, um diese Werte zu erhalten.
Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Kopieren Sie im Abschnitt Salesforce einrichten die entsprechenden URLs basierend auf Ihren Anforderungen.
Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers
Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.
Konfigurieren des einmaligen Anmeldens für Salesforce
Melden Sie sich in einem anderen Webbrowserfenster bei der Salesforce-Unternehmenswebsite als Administrator an.
Wählen Sie das Symbol "Setup " unter "Einstellungen" in der oberen rechten Ecke der Seite aus.
Scrollen Sie im Navigationsbereich nach unten zu den EINSTELLUNGEN , und wählen Sie "Identität" aus, um den zugehörigen Abschnitt zu erweitern. Wählen Sie dann "Einzelne Sign-On Einstellungen" aus.
Wählen Sie auf der Seite "Einzel-Sign-On-Einstellungen " die Schaltfläche "Bearbeiten " aus.
Hinweis
Wenn Sie die Einstellungen für einmaliges Anmelden für Ihr Salesforce-Konto nicht aktivieren können, müssen Sie sich möglicherweise an das Salesforce-Clientsupportteam wenden.
Wählen Sie SAML Aktiviert und dann "Speichern" aus.
Um Ihre SAML-Einstellungen für einmaliges Anmelden zu konfigurieren, wählen Sie "Neu" aus der Metadatendatei aus.
Wählen Sie "Datei auswählen ", um die XML-Metadatendatei hochzuladen, die Sie heruntergeladen haben, und wählen Sie "Erstellen" aus.
Die Felder auf der Seite SAML-Einstellungen für einmaliges Anmelden werden automatisch aufgefüllt. Wenn Sie SAML JIT verwenden möchten, wählen Sie Benutzerbereitstellung aktiviert und dann unter Assertion enthält die Verbund-ID des Benutzerobjekts die Option SAML-Identitätstyp aus. Andernfalls deaktivieren Sie die Option Benutzerbereitstellung aktiviert und wählen unter Assertion enthält den Salesforce-Benutzernamen des Benutzers die Option SAML-Identitätstyp aus. Wählen Sie Speichern aus.
Hinweis
Wenn Sie SAML JIT konfiguriert haben, müssen Sie einen zusätzlichen Schritt im Abschnitt Konfigurieren des einmaligen Anmeldens für Microsoft Entra ausführen. Die Salesforce-Anwendung erwartet bestimmte SAML-Assertionen. Daher müssen Sie über bestimmte Attribute in ihrer Konfiguration der SAML-Tokenattribute verfügen. Der folgende Screenshot zeigt die Liste der Standardattribute von Salesforce:
Wenn weiterhin Probleme beim Bereitstellen von Benutzern mit SAML JIT auftreten, finden Sie weitere Informationen unter Just-in-Time-Bereitstellungsanforderungen und SAML-Assertionsfelder. Im Allgemeinen wird bei einem JIT-Fehler möglicherweise ein Fehler wie
We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.angezeigt.Wählen Sie im linken Navigationsbereich in Salesforce " Unternehmenseinstellungen " aus, um den zugehörigen Abschnitt zu erweitern, und wählen Sie dann "Meine Domäne" aus.
Scrollen Sie nach unten zum Abschnitt " Authentifizierungskonfiguration ", und wählen Sie die Schaltfläche "Bearbeiten " aus.
Überprüfen Sie im Abschnitt " Authentifizierungskonfiguration " die Anmeldeseite und AzureSSO als Authentifizierungsdienst Ihrer SAML-SSO-Konfiguration, und wählen Sie dann " Speichern" aus.
Hinweis
Wenn mehrere Authentifizierungsdienste aktiviert sind, werden Benutzer aufgefordert, einen Authentifizierungsdienst zur Anmeldung auszuwählen, wenn das einmalige Anmelden bei der Salesforce-Umgebung initiiert wird. Wenn Sie dies nicht möchten, sollten Sie alle anderen Authentifizierungsdienste deaktiviert lassen.
Erstellen eines Salesforce-Testbenutzers
In diesem Abschnitt wird ein Benutzer mit dem Namen B. Simon in Salesforce erstellt. Salesforce unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Falls ein Benutzer nicht bereits in Salesforce vorhanden ist, wird beim Versuch, auf Salesforce zuzugreifen, ein neuer Benutzer erstellt. Außerdem unterstützt Salesforce die automatische Benutzerbereitstellung. Weitere Informationen zum Konfigurieren der automatischen Benutzerbereitstellung finden Sie hier.
Testen des einmaligen Anmeldens
In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Salesforce-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.
Rufen Sie direkt die Salesforce-Anmelde-URL auf, und initiieren Sie den Anmeldeflow.
Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Salesforce-Kachel im Portal "Meine Apps" auswählen, sollten Sie automatisch bei Salesforce angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen zum Portal „Meine Apps“ finden Sie unter Anmelden beim Portal „Meine Apps“ und Starten von Apps über dieses.
Testen des einmaligen Anmeldens für Salesforce (mobil)
Öffnen Sie die mobile Salesforce-Anwendung. Wählen Sie auf der Anmeldeseite die Option "Benutzerdefinierte Domäne verwenden" aus.
Geben Sie im Textfeld "Benutzerdefinierte Domäne " Ihren registrierten benutzerdefinierten Domänennamen ein, und wählen Sie "Weiter" aus.
Geben Sie Ihre Microsoft Entra-Anmeldeinformationen ein, um sich bei der Salesforce-Anwendung anzumelden, und wählen Sie "Weiter" aus.
Wählen Sie auf der Seite "Zugriff zulassen" wie unten gezeigt die Option "Zulassen " aus, um Zugriff auf die Salesforce-Anwendung zu gewähren.
Schließlich wird nach erfolgreicher Anmeldung die Anwendungs-Homepage angezeigt.
Verhindern des Anwendungszugriffs über lokale Konten
Nachdem Sie überprüft haben, dass SSO funktioniert und in Ihrer Organisation eingeführt wurde, empfehlen wir, den Anwendungszugriff mit lokalen Anmeldedaten zu deaktivieren. Dadurch wird sichergestellt, dass Ihre Richtlinien für bedingten Zugriff, MFA usw. vorhanden sind, um Anmeldungen bei Salesforce zu schützen.
Verwandte Inhalte
Wenn Sie über Enterprise Mobility + Security E5 oder eine andere Lizenz für Microsoft Defender for Cloud Apps verfügen, können Sie einen Überwachungspfad der Anwendungsaktivitäten in diesem Produkt sammeln, der beim Untersuchen von Warnungen verwendet werden kann. Detail: Warnungen werden ausgelöst, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten nicht Ihren Richtlinien entsprechen. Durch die Verbindung von Microsoft Defender for Cloud-Apps mit Salesforce werden Salesforce-Anmeldeereignisse von Defender for Cloud Apps erfasst.
Darüber hinaus können Sie die Sitzungssteuerung durchsetzen, die den Schutz vor Exfiltration und Infiltration sensibler Daten Ihrer Organisation in Echtzeit gewährleistet. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.