Freigeben über

Konfigurieren von Salesforce für einmaliges Anmelden in der Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie Salesforce mit Microsoft Entra ID integrieren. Die Integration von Salesforce in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf Salesforce hat.
  • Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei Salesforce anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Hinweis

Wir sind uns bewusst, dass Salesforce die Geräteaktivierungsänderungen für einmalige Sign-On (SSO)-Anmeldungen ab dem 3. Februar 2026 erzwungen hat. Wir haben eng mit dem Salesforce-Team zusammengearbeitet, und ab dem 3. Februar wird Salesforce den "authnmethodreferences"-Anspruch annehmen, der standardmäßig im von Entra ID ausgestellten SAML-Token enthalten ist. Wenn der Anspruch "authnmethodreferences" den Wert "multipleauthn" enthält, behandelt Salesforce das Gerät als vertrauenswürdig. Stellen Sie sicher, dass Ihre Richtlinie für den bedingten Zugriff, die MFA erzwingt, für diese Anforderung konfiguriert ist. Weitere Informationen zu diesem Anspruch finden Sie hier.

Für Kunden, die die OpenID Connect-Authentifizierung mit Salesforce verwenden oder Salesforce mit benutzerdefiniertem OpenID Connect-Anbieter konfiguriert haben, stellen Sie sicher, dass Sie entra ID V1-Endpunkt nur verwenden, wenn der V1-Endpunkt den AMR-Anspruch im Token für Salesforce bereitstellen kann. Die V2-Endpunktunterstützung wird in Kürze verfügbar sein, aber bis zu diesem Zeitpunkt verwenden Sie nur den V1-Endpunkt.

Für Kunden, die AD FS als Partnerverbundanbieter mit Entra-ID verwenden, befolgen Sie bitte die hier veröffentlichten Anleitungen, damit die Entra-ID diesen Anspruch im SAML-Token hat.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Salesforce-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • Salesforce unterstützt das SP-initiierte Single Sign-On.

  • Salesforce unterstützt die automatisierte Benutzerbereitstellung und Bereitstellungsaufhebung (empfohlen).

  • Salesforce unterstützt die Just-in-Time-Benutzerbereitstellung.

  • Die mobile Salesforce-Anwendung kann nun mit Microsoft Entra ID konfiguriert werden, um Single Sign-On zu ermöglichen. In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

Zum Konfigurieren der Integration von Salesforce in Microsoft Entra ID müssen Sie Salesforce aus dem Katalog zur Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Salesforce in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Salesforce aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra Single Sign-On für Salesforce

Konfigurieren und testen Sie Microsoft Entra SSO mit Salesforce, indem Sie eine Testbenutzerin namens B. Simon verwenden. Damit Single Sign-On funktioniert, muss eine Verbindung zwischen einem Microsoft Entra Benutzer und dem entsprechenden Benutzer in Salesforce hergestellt werden.

Führen Sie zum Konfigurieren und Testen von Microsoft Entra SSO mit Salesforce die folgenden Schritte aus:

  1. Konfigurieren Sie das Microsoft Entra SSO, um Ihren Benutzern die Verwendung dieses Features zu ermöglichen.
    • Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    • Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
  2. Konfigurieren Sie Salesforce Single Sign-On - um die Einstellungen für das einmalige Anmelden auf der Anwendungsseite zu konfigurieren.
  3. SSO-Test - um zu überprüfen, ob die Konfiguration funktioniert

Microsoft Entra SSO konfigurieren

Gehen Sie wie folgt vor, um Single Sign-On (SSO) von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Salesforce>Single Sign-On.

  3. Wählen Sie auf der Seite Einzelanmeldungsmethode auswählenSAML aus.

  4. Wählen Sie auf der Seite Einmaliges Anmelden mit SAML einrichten das Symbol "Bearbeiten/Bleistift-Icon" für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Bearbeiten der SAML-Basiskonfiguration

  5. Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein:

    a) Geben Sie im Textfeld Bezeichner den Wert in folgendem Muster ein:

    Enterprise-Konto: https://<subdomain>.my.salesforce.com

    Developer-Konto: https://<subdomain>-dev-ed.my.salesforce.com

    b. Geben Sie im Textfeld Antwort-URL den Wert nach folgendem Muster ein:

    Enterprise-Konto: https://<subdomain>.my.salesforce.com

    Developer-Konto: https://<subdomain>-dev-ed.my.salesforce.com

    Abschnitt c. Geben Sie im Textfeld Anmelde-URL den Wert im folgenden Format ein:

    Enterprise-Konto: https://<subdomain>.my.salesforce.com

    Developer-Konto: https://<subdomain>-dev-ed.my.salesforce.com

    Hinweis

    Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das Kundensupportteam von Salesforce, um diese Werte zu erhalten.

  6. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Downloadlink für das Zertifikat

  7. Kopieren Sie im Abschnitt Salesforce einrichten die entsprechenden URLs basierend auf Ihren Anforderungen.

    Kopieren der Konfiguration-URL(s)

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Salesforce SSO konfigurieren

  1. Melden Sie sich in einem anderen Webbrowserfenster bei der Salesforce-Unternehmenswebsite als Administrator an.

  2. Wählen Sie das Symbol "Setup " unter "Einstellungen" in der oberen rechten Ecke der Seite aus.

    Symbol zum Konfigurieren der Einstellungen für einmaliges Anmelden

  3. Scrollen Sie im Navigationsbereich nach unten zu den EINSTELLUNGEN , und wählen Sie "Identität" aus, um den zugehörigen Abschnitt zu erweitern. Wählen Sie dann "Einzelne Sign-On Einstellungen" aus.

    Konfigurieren der Einstellungen für einmaliges Anmelden

  4. Wählen Sie auf der Seite "Einzel-Sign-On-Einstellungen " die Schaltfläche "Bearbeiten " aus.

    Bearbeitung der Single Sign-On Konfiguration

    Hinweis

    Wenn Sie die Einstellungen für einmaliges Anmelden für Ihr Salesforce-Konto nicht aktivieren können, müssen Sie sich möglicherweise an das Salesforce-Clientsupportteam wenden.

  5. Wählen Sie SAML Aktiviert und dann "Speichern" aus.

    Einmaliges Anmelden mit SAML aktivieren

  6. Um Ihre SAML-Einstellungen für einmaliges Anmelden zu konfigurieren, wählen Sie "Neu" aus der Metadatendatei aus.

    Single Sign-On neu aus Metadatendatei konfigurieren

  7. Wählen Sie "Datei auswählen ", um die XML-Metadatendatei hochzuladen, die Sie heruntergeladen haben, und wählen Sie "Erstellen" aus.

    Konfigurieren des Single Sign-On: Datei auswählen

  8. Die Felder auf der Seite SAML-Einstellungen für einmaliges Anmelden werden automatisch aufgefüllt. Wenn Sie SAML JIT verwenden möchten, wählen Sie Benutzerbereitstellung aktiviert und dann unter Assertion enthält die Verbund-ID des Benutzerobjekts die Option SAML-Identitätstyp aus. Andernfalls deaktivieren Sie die Option Benutzerbereitstellung aktiviert und wählen unter Assertion enthält den Salesforce-Benutzernamen des Benutzers die Option SAML-Identitätstyp aus. Wählen Sie Speichern aus.

    Single Sign-On mit aktivierter Benutzerbereitstellung konfigurieren

    Hinweis

    Wenn Sie SAML JIT konfiguriert haben, müssen Sie einen zusätzlichen Schritt im Abschnitt Microsoft Entra SSO konfigurieren ausführen. Die Salesforce-Anwendung erwartet bestimmte SAML-Assertionen. Daher müssen Sie über bestimmte Attribute in ihrer Konfiguration der SAML-Tokenattribute verfügen. Der folgende Screenshot zeigt die Liste der Standardattribute von Salesforce:

    Screenshot: Bereich „Erforderliche JIT-Attribute“

    Wenn weiterhin Probleme beim Bereitstellen von Benutzern mit SAML JIT auftreten, finden Sie weitere Informationen unter Just-in-Time-Bereitstellungsanforderungen und SAML-Assertionsfelder. Im Allgemeinen wird bei einem JIT-Fehler möglicherweise ein Fehler wie We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help. angezeigt.

  9. Wählen Sie im linken Navigationsbereich in Salesforce " Unternehmenseinstellungen " aus, um den zugehörigen Abschnitt zu erweitern, und wählen Sie dann "Meine Domäne" aus.

    Konfigurieren des einmaligen Anmeldens: My Domain (Meine Domäne)

  10. Scrollen Sie nach unten zum Abschnitt " Authentifizierungskonfiguration ", und wählen Sie die Schaltfläche "Bearbeiten " aus.

    Single Sign-On-Authentifizierung konfigurieren

  11. Überprüfen Sie im Abschnitt " Authentifizierungskonfiguration " die Anmeldeseite und AzureSSO als Authentifizierungsdienst Ihrer SAML-SSO-Konfiguration, und wählen Sie dann " Speichern" aus.

    Hinweis

    Wenn mehrere Authentifizierungsdienste aktiviert sind, werden Benutzer aufgefordert, einen Authentifizierungsdienst zur Anmeldung auszuwählen, wenn das einmalige Anmelden bei der Salesforce-Umgebung initiiert wird. Wenn Sie dies nicht möchten, sollten Sie alle anderen Authentifizierungsdienste deaktiviert lassen.

Erstellen eines Salesforce-Testbenutzers

In diesem Abschnitt wird ein Benutzer mit dem Namen B. Simon in Salesforce erstellt. Salesforce unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Falls ein Benutzer nicht bereits in Salesforce vorhanden ist, wird beim Versuch, auf Salesforce zuzugreifen, ein neuer Benutzer erstellt. Außerdem unterstützt Salesforce die automatische Benutzerbereitstellung. Weitere Informationen zum Konfigurieren der automatischen Benutzerbereitstellung finden Sie hier.

SSO testen

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Salesforce-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.

  • Rufen Sie direkt die Salesforce-Anmelde-URL auf und initiieren Sie den Anmeldevorgang.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Salesforce-Kachel im Portal "Meine Apps" auswählen, sollten Sie automatisch bei Salesforce angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen zum Meine Apps-Portal finden Sie unter Einführung in das Meine Apps-Portal.

Testen von SSO für Salesforce (für mobile Geräte)

  1. Öffnen Sie die mobile Salesforce-Anwendung. Wählen Sie auf der Anmeldeseite die Option "Benutzerdefinierte Domäne verwenden" aus.

    Mobile Salesforce-App: Use Custom Domain (Benutzerdefinierte Domäne verwenden)

  2. Geben Sie im Textfeld "Benutzerdefinierte Domäne " Ihren registrierten benutzerdefinierten Domänennamen ein, und wählen Sie "Weiter" aus.

    Benutzerdefinierte Domain der Salesforce Mobile-App

  3. Geben Sie Ihre Microsoft Entra-Anmeldeinformationen ein, um sich bei der Salesforce-Anwendung anzumelden, und wählen Sie "Weiter" aus.

    Microsoft Entra-Anmeldedaten für die mobile Salesforce-App

  4. Wählen Sie auf der Seite "Zugriff zulassen" wie unten gezeigt die Option "Zulassen " aus, um Zugriff auf die Salesforce-Anwendung zu gewähren.

    Mobile Salesforce-App: Allow Access (Zugriff zulassen)

  5. Schließlich wird nach erfolgreicher Anmeldung die Anwendungs-Homepage angezeigt.

    Startseite der mobilen Salesforce-App Mobile Salesforce-App

Verhindern des Anwendungszugriffs über lokale Konten

Nachdem Sie überprüft haben, dass SSO funktioniert und in Ihrer Organisation eingeführt wurde, empfehlen wir, den Anwendungszugriff mit lokalen Anmeldedaten zu deaktivieren. Dadurch wird sichergestellt, dass Ihre Richtlinien für bedingten Zugriff, MFA usw. vorhanden sind, um Anmeldungen bei Salesforce zu schützen.

Verwandte Inhalte

Wenn Sie über Enterprise Mobility + Security E5 oder eine andere Lizenz für Microsoft Defender for Cloud Apps verfügen, können Sie einen Überwachungspfad der Anwendungsaktivitäten in diesem Produkt sammeln, der beim Untersuchen von Warnungen verwendet werden kann. In Defender for Cloud Apps können Warnungen ausgelöst werden, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten nicht Ihren Richtlinien entsprechen. Durch die Verbindung von Microsoft Defender for Cloud-Apps mit Salesforce werden Salesforce-Anmeldeereignisse von Defender for Cloud Apps erfasst.

Darüber hinaus können Sie die Sitzungssteuerung durchsetzen, die den Schutz vor Exfiltration und Infiltration sensibler Daten Ihrer Organisation in Echtzeit gewährleistet. Die Sitzungssteuerung erweitert den bedingten Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.

  • Last updated on