Loading

Übersicht über Implementierung von Marketing Cloud Single Sign-On (SSO)

Veröffentlichungsdatum: Nov 22, 2021
Beschreibung

Dieser Artikel führt Sie durch die Einrichtung von Single Sign On (SSO) für einen Identitätsanbieter mit Salesforce Marketing Cloud als Service Provider. Die folgende Anleitung hilft bei den Besonderheiten der SSO-Implementierung neben unserer bestehenden

SSO-Dokumentation.

 

HINWEIS: Dieser Artikel ist keine umfassende Lösung für jeden Anwendungsfall, sondern bietet eine Anleitung für die ersten Schritte bei der Konfiguration von SSO und Salesforce Marketing Cloud. Arbeiten Sie für jeden Anwendungsfall auch mit Ihrem IDP zusammen.

Lösung

Wichtige Begriffe:

  • SAML: - Security Assertion Markup Language
  • SAML2: - zweite Iteration der Security Assertion Markup Language
  • Identitätsanbieter (IDP): Eine Art von Service Provider, der Identitätsinformationen für Prinzipale erstellt, pflegt und verwaltet und anderen Service Providern innerhalb eines Verbunds eine Prinzipal-Authentifizierung zur Verfügung stellt, z. B. mit Webbrowser-Profilen. (ADFS, Okta, Salesforce.com, Ping Federated usw.)
  • Prinzipale: Eine Systementität, deren Identität authentifiziert werden kann. (X.811 IT-Sicherheitsstandard)
  • Service Provider (SP): Eine Rolle, die von einer Systementität eingenommen wird, in der die Systementität Dienste für Prinzipale oder andere Systementitäten bereitstellt. (d. h., Salesforce Marketing Cloud verwendet Shobbleth als unseren SP)

 

Hier sind die allgemeinen Schritte, um eine SSO-Integration für einen SAML2 IDP in das SFMC zu vervollständigen.

 

HINWEIS: Diese Anleitung dient nur zu Schulungszwecken. Ihre tatsächliche Implementierung kann abhängig von der IDP-Konfiguration variieren. Wenden Sie sich an Ihren IDP-Anbieter oder Ihr IT-Team, wenn Sie IDP-spezifische Anforderungen haben. 

 

1. SSO aktivieren

 

a) Aktivieren Sie SSO auf Ihrem Salesforce Marketing Cloud-Account. SSO könnte bereits auf dem Enterprise-Account aktiviert sein. Um dies zu überprüfen, melden Sie sich mit der Main Enterprise Account-ID auf Ihrer MC-Instanz an und gehen Sie dann zu Setup > Administration > Datenverwaltung > Schlüsselverwaltung.b) Wenn SSO aktiviert ist, erscheint das Optionsfeld „SSO-Metadaten“. Wenn das Optionsfeld nicht in der Benutzeroberfläche angezeigt wird, dann ist entweder SSO nicht aktiviert oder Sie befinden sich in einer Business Unit. Wenn Sie auf der Enterprise-Ebene sind und SSO nicht aktiviert ist, öffnen Sie einen Vorgang, damit der Support SSO für Ihren Account aktiviert.

 

HINWEIS: Sie können jeweils nur ein aktives SSO-Metadatenset haben.

 

2. SAML-Metadaten abrufen

 

Nach der SSO-Aktivierung müssen Sie Ihre SAML-Metadaten aus dem MC-Account abrufen. Sie befinden sich unter Setup > Einstellungen > Sicherheit > Sicherheitseinstellungen > Single Sign On-Einstellungen > SSO SAML-Metadaten (Schaltfläche) Eine URL sieht ähnlich wie folgt aus:

 

https://TenantSpecificEndpoint.login.exacttarget.com/SFMCMetadata

 

HINWEIS: Wenn Sie die Möglichkeit haben, eine Zertifikatversion auszuwählen, wählen Sie diejenige mit dem neuesten Ablaufdatenbeispiel (Jan 2021 - mc.login.exacttarget.com (läuft am 5. Februar 2022 ab))

 

3. Auf Ihren IDP anwenden

 

Sie müssen nun die SFMC-Metadaten auf Ihren IDP anwenden.

 

4. Schlüssel erstellen

 

Nachdem die SFMC-Metadaten angewendet wurden, nehmen Sie die Metadaten von Ihrem IDP und geben sie in den Abschnitt „Schlüsselverwaltung“ von SFDC ein. Gehen Sie innerhalb Ihrer Organisation zu Setup > Administration > Datenverwaltung > Schlüsselverwaltung. Ein <NameIDFormat>-Wert ist für die in die SFMC-Konfiguration eingegebenen IDP-Metadaten erforderlich. Fügen Sie eine der folgenden Zeilen zu den Metadaten hinzu, wenn gemeldet wird, dass <NameIDFormat> fehlt oder ungültig ist. Wenn sich <NameIDFormat> an der falschen Stelle befindet, tritt ebenfalls ein Fehler auf.

 

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat>

 

Das <NameIdFormat> muss zwischen dem schließenden Tag </KeyDescriptor> und dem öffnenden Tag <SingleSignOnService> eingegeben werden. 

 

</md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat> <md:SingleSignOnService ... >

 

HINWEIS: MD: ist ein XML-Namensraum und wenn Ihre IDP-Metadaten diesen nicht verwenden oder er sich unterscheidet, müssen Sie ihn entfernen oder entsprechend ändern. Die öffnenden und schließenden <NameIDFormat>-Tags müssen mit dem Namensraum übereinstimmen, der in den schließenden <KeyDescriptor>- und öffnenden <SingleSignOnService>-Elementen verwendet wird.

 

5. Schlüssel speichern

 

Wählen Sie nun „Speichern“. Wenn der Schlüssel akzeptiert wird, erscheint ein grünes Banner und der Schlüssel wurde erfolgreich gespeichert. Wenn ein Fehler auftritt und Sie das Problem nicht beheben können, öffnen Sie einen Supportfall. 

 

 

 

6. SSO-Einstellung aktivieren

 

Nachdem ein grünes Banner vorhanden und ein Schlüssel eingerichtet ist, müssen Sie für Ihren MC-Account SSO unter Setup > Einstellungen > Sicherheit > Sicherheitseinstellungen > Bearbeiten > Single Sign On-Einstellungen > SSO aktivieren aktivieren, indem Sie die Einstellung auswählen oder markieren und dann Speichern wählen. HINWEIS: Optional kann eingestellt werden, dass eine Identitätsüberprüfung für SSO-Anmeldungen nicht erforderlich ist. HINWEIS: Die Zertifikatsversion kann variieren oder es können mehrere Versionen aufgelistet sein. 

 

 

 

7. SSO-Einstellungen für Benutzer konfigurieren

 

Als nächsten Schritt gehen Sie zu Setup > Benutzer > Benutzer und klicken auf einen Benutzer. Wählen Sie die Option SSO aktivieren und fügen Sie die Verbund-ID hinzu, die auf der IDP-Seite konfiguriert wurde. Wenn der Wert nicht bekannt ist, müssen Sie die Informationen bei Ihrem IDP- oder IT-Team erfragen, damit Sie fortfahren können.

 

HINWEIS: Eine häufige Situation bei der SSO-Aktivierung ist, dass der Endbenutzer, der versucht, sich anzumelden, sein Benutzerkennwort nicht zurücksetzen oder sich nicht über die URL mc.exactarget.com anmelden kann. Die Anmeldeführung für Benutzer und Kennwort wird ignoriert, wenn SSO aktiviert ist. Das funktioniert wie vorgesehen, da sich ein Endbenutzer nur über den vom SP initiierten Link unter Setup > Einstellungen > Sicherheit > Sicherheitseinstellungen > Bearbeiten > Single Sign On-Einstellungen > Marketing Cloud SP Initiated Link oder eine vom IDP initiierte Verbindung über ein Dashboard oder eine andere Methode anmelden kann, um die Konversation zu starten. ALLE mc.exacttarget.com-Anforderungen werden für jeden Benutzer, der die Option „SSO aktiviert“ aktiviert hat, empfangen, aber nicht verarbeitet. Das gilt für jeden einzelnen Benutzer.

HINWEIS ii: SFMC MFA wird nicht benötigt, wenn Sie SSO verwenden, aber Ihr SSO-IDP sollte MFA-Unterstützung aktiviert haben. Weitere Informationen siehe hier.

 

8. Die SSO-Konfiguration testen

 

Testen Sie den neu festgelegten SSO-Benutzer, entweder über ein Inkognito-Fenster oder einen frisch geleerten Cache-Browser. Wenn Sie einen Fehler erhalten, öffnen Sie einen Supportfall. Wenn die Anmeldung problemlos erfolgt, können Sie weitere SSO-Benutzer implementieren. Bewährte Vorgehensweise: Lassen Sie mindestens 1 Administrator außerhalb von SSO, damit Sie den Account wiederherstellen und sich bei der SFMC anmelden können, um ein SSO-Konfigurationsproblem zu beheben. 

Nummer des Knowledge-Artikels

000388896

 
Laden
Salesforce Help | Article