Loading
Identifizieren der Benutzer und Verwalten des Zugriffs
Inhalt
Filtern nach (0)Hinzufügen
Filter auswählen

          Keine Ergebnisse
          Keine Ergebnisse
          Hier sind einige Suchtipps

          Überprüfen Sie die Schreibweise Ihrer Stichwörter.
          Verwenden Sie allgemeinere Suchbegriffe.
          Wählen Sie weniger Filter aus, um Ihre Suche auszuweiten.

            Gesamte Salesforce-Hilfe durchsuchen
            Gesamte Salesforce-Hilfe durchsuchen
            Aktivieren von OAuth-Einstellungen für die API-Integration

            Sie befinden sich hier:

            1. Salesforce-Hilfe
            2. Dokumente
            3. Identifizieren der Benutzer und Verwalten des Zugriffs

            Aktivieren von OAuth-Einstellungen für die API-Integration

            Sie können eine verbundene Anwendung verwenden, um für eine externe Anwendung Zugriff auf Salesforce-Daten anzufordern. Damit eine verbundene Anwendung Zugriff anfordert, muss sie über das OAuth 2.0-Protokoll mit der Salesforce-API integriert werden. Bei OAuth 2.0 handelt es sich um ein offenes Protokoll, das die sichere Datenfreigabe zwischen Anwendungen über den Austausch von Token ermöglicht. Wenn Entwickler oder eigenständige Softwareanbieter (ISV) ihre Anwendung in Salesforce integrieren möchten, verwenden sie OAuth-APIs. Diese OAuth-APIs ermöglichen es einem Benutzer, in einer Anwendung zu arbeiten, jedoch die Daten aus einer anderen Anwendung anzuzeigen.

            Erforderliche Editionen

            Verfügbarkeit: Salesforce Classic und Lightning Experience

            Verbundene Anwendungen können erstellt werden in: Group, Essentials, Professional, Enterprise, Performance, Unlimited und Developer Edition

            Installation von verbundenen Anwendungen möglich: Alle Editionen
            Erforderliche Benutzerberechtigungen
            So können Sie verbundene Anwendungen erstellen, aktualisieren oder löschen:

            "Anwendung anpassen" UND entweder

            "Alle Daten modifizieren" ODER "Verbundene Anwendungen verwalten"
            Aktualisieren aller Felder mit Ausnahme von Profilen, Berechtigungssätzen und Dienstanbieter-SAML-Attributen:

            "Anwendung anpassen" UND entweder

            "Alle Daten modifizieren" ODER "Verbundene Anwendungen verwalten"
            Aktualisieren von Profilen, Berechtigungssätzen und Dienstanbieter-SAML-Attributen: "Anwendung anpassen" UND "Alle Daten modifizieren" UND "Profile und Berechtigungssätze verwalten"
            Rotieren von Verbraucherschlüssel und Verbrauchergeheimnis: Rotation von Verbraucherschlüssel und -geheimnis zulassen
            Installieren und Deinstallieren von verbundenen Anwendungen:

            "Anwendung anpassen" UND entweder

            "Alle Daten modifizieren" ODER "Verbundene Anwendungen verwalten"
            Installieren und Deinstallieren von verbundenen Anwendungen in Paketen:

            "AppExchange-Pakete herunterladen" UND "Anwendung anpassen" UND entweder

            "Alle Daten modifizieren" ODER "Verbundene Anwendungen verwalten"
            Hinweis
            Hinweis Die Erstellung verbundener Anwendungen ist ab der Version Spring '26 eingeschränkt. Sie können vorhandene verbundene Anwendungen während und nach der Version Spring '26 weiterhin verwenden. Es wird jedoch empfohlen, stattdessen externe Client-Anwendungen zu verwenden. Wenn Sie weiterhin verbundene Anwendungen erstellen müssen, wenden Sie sich an den Salesforce-Support.

            Weitere Details finden Sie unter Neue verbundene Anwendungen können in der Version Spring '26 nicht mehr erstellt werden.

            1. Erstellen Sie Ihre verbundene Anwendung und geben Sie die zugehörigen grundlegenden Informationen ein.
            2. Wählen Sie auf der Seite im Bereich "API (OAuth-Einstellungen aktivieren)" die Option OAuth-Einstellungen aktivieren aus.
            3. Wenn Sie eine verbundene Anwendung für Anwendungen auf Geräten mit eingeschränkten Eingabe- oder Anzeigemöglichkeiten wie Fernsehgeräten, Unterhaltungsgeräten oder Befehlszeilenanwendungen einrichten, wählen Sie Für Geräte-Flow aktivieren.
              Im Geräte-Flow wird kein Rückmeldungs-URL verwendet. Wenn dieser Flow aktiviert ist, wird als Wert für den Rückmeldungs-URL jedoch standardmäßig ein Platzhalter verwendet. Sie können bei Bedarf einen Rückmeldungs-URL angeben, beispielsweise wenn derselbe Client für einen anderen Flow verwendet wird.
            4. Geben Sie den Rückmeldungs-URL (Endpunkt) ein, den Salesforce für die Rückmeldung bei Ihrer Anwendung während OAuth verwendet. Er entspricht dem OAuth-Umleitungs-URI.
              Je nachdem, welchen OAuth-Flow Sie verwenden, wird als URL in der Regel derjenige ausgewählt, zu dem der Browser eines Benutzers nach einer erfolgreichen Autorisierung umgeleitet wird.
              Da dieser URL bei einigen OAuth-Flows für die Übergabe eines Zugriffstokens verwendet wird, muss für den URL sicheres HTTP (HTTPS) oder ein benutzerdefiniertes URI-Schema verwendet werden.
              Wenn Sie zur Laufzeit mehrere Rückmeldungs-URLs eingeben, gleicht Salesforce den durch die Anwendung angegebenen Rückmeldungs-URL-Wert mit einem der Werte im Rückmeldungs-URL ab. Er muss mit einem der Werte übereinstimmen, um die Validierung zu bestehen. Trennen Sie mehrere Rückmeldungs-URLs durch Zeilenumbrüche. Das Feld für den Rückmeldungs-URL ist auf insgesamt 2.000 Zeichen begrenzt. Wenn Sie mehrere URLs eingeben, die diese Obergrenze überschreiten, erstellen Sie eine weitere verbundene Anwendung, um zusätzliche Rückmeldungs-URLs unterzubringen.
            5. Wenn Sie einen JWT OAuth-Flow verwenden, wählen Sie Digitale Signaturen verwenden. Wenn die Anwendung ein Zertifikat verwendet, klicken Sie auf Datei auswählen und wählen Sie in Ihrem System das Zertifikat aus, das Sie für den JWT-OAuth-Flow hochladen möchten.
              Wichtig
              Wichtig Das Zertifikat ist auf 4.000 Zeichen begrenzt und die Datei muss kleiner als 4 KB sein.
            6. Wählen Sie die OAuth-Umfänge aus, die auf die verbundene Anwendung angewendet werden sollen. Mit OAuth-Umfängen werden Berechtigungen für die verbundene Anwendung definiert, die nach der Autorisierung der Anwendung als Token gewährt werden. Der Name des OAuth-Tokens steht in Klammern. Eine Liste der Geltungsbereiche und ihrer Beschreibungen finden Sie unter OAuth-Token und -Umfänge.
            7. Wählen Sie Erweiterung "Proof Key for Code Exchange (PKCE)" für unterstützte Autorisierungs-Flows anfordern aus, um die Erweiterung "Proof Key for Code Exchange (PKCE)" für OAuth 2.0 für alle unterstützten Versionen des OAuth 2.0-Autorisierungscode-Flows erforderlich zu machen.
              Für diese Einstellung ist PKCE für den Webserver-Flow, den hybriden Webserver-Flow, den Flow für Autorisierungscode und Anmeldeinformationen und alle Variationen des Flows für Autorisierungscode und Anmeldeinformationen erforderlich, einschließlich der Headless-Registrierung, der Headless-Anmeldung ohne Kennwort und der Headless-Identität für Gastbenutzer. Wenn diese Einstellung aktiviert ist, werden alle diese Flows, bei denen PKCE nicht implementiert ist, für diese verbundene Anwendung blockiert. Weitere Informationen zum Verwenden von PKCE zum Schutz Ihrer Anwendungen finden Sie unter PKCE-Erweiterung (Proof Key for Code Exchange).
            8. Wählen Sie Geheimnis für Webserver-Flow erforderlich aus, wenn das Client-Geheimnis der Anwendung angegeben werden soll, damit ein Zugriffstoken empfangen werden kann.
              Wichtig
              Wichtig Wenn die Client-Anwendung die Vertraulichkeit des Client-Geheimnisses nicht gewährleisten kann und einen Webserver-Flow verwenden muss, deaktivieren Sie die Option Geheimnis für Webserver-Flow erforderlich. Es wird zwar trotzdem ein Client-Geheimnis für Ihre Anwendung generiert, durch diese Einstellung wird der Webserver-Flow jedoch angewiesen, den Parameter client_secret in der Zugriffstoken-Anforderung nicht anzufordern. Wir empfehlen die Verwendung des Benutzeragenten-Flows, da er sicherer ist als der Webserver-Flow ohne Geheimnis.
            9. Wählen Sie Geheimnis für Aktualisierungstoken-Flow erforderlich aus, um das Client-Geheimnis in der Autorisierungsanforderung eines Aktualisierungstoken- und eines hybriden Aktualisierungstoken-Flows erforderlich zu machen. Wenn Sie diese Option nicht auswählen und eine Anwendung das Client-Geheimnis in der Autorisierungsanforderung sendet, wird es von Salesforce dennoch validiert.
              Sie können diese Option für webserverbasierte Anwendungen auswählen, die in der Lage sind, Client-Geheimnisse zu schützen. Bei Anwendungen, die nicht in der Lage sind, Client-Geheimnisse zu schützen, etwa mobile oder auf dem Computer eines Benutzers installierte Anwendungen, empfehlen wir jedoch, diese Option nicht auszuwählen.
              Hinweis
              Hinweis Bei neuen verbundenen Anwendungen ist diese Auswahl automatisch aktiviert. Bei vor der Version Spring '21 erstellten verbundenen Anwendungen ist diese Auswahl nicht automatisch aktiviert.
            10. Informationen zum Konfigurieren der Einstellungen für den Flow für Client-Anmeldeinformationen finden Sie unter Konfigurieren einer verbundenen Anwendung für den OAuth 2.0-Flow für Client-Anmeldeinformationen.
            11. Informationen zum Konfigurieren der Einstellungen für den Flow für Autorisierungscode und Anmeldeinformationen finden Sie unter Konfigurieren einer verbundenen Anwendung für den Flow für Autorisierungscode und Anmeldeinformationen.
            12. Informationen zum Konfigurieren der Einstellungen für den Token-Austausch-Flow finden Sie unter Integrieren einer Anwendung für den Token-Austausch-Flow.
            13. Wählen Sie Aktualisierungstokenrotation aktivieren aus, um jedes Mal, wenn der Aktualisierungstoken-Flow aufgerufen wird, ein neues Aktualisierungstoken abzurufen.
              Das Aktivieren dieser Einstellung ist eine bewährte Vorgehensweise zur Sicherheit. Wenn diese Einstellung aktiviert ist, wird das alte Aktualisierungstoken nach seiner Verwendung automatisch ungültig, sodass jedes Token nur einmal verwendet wird. Wenn jemand versucht, ein abgelaufenes Aktualisierungstoken zu verwenden, macht Salesforce das aktuelle Aktualisierungstoken und alle zugehörigen Zugriffstoken ungültig.
            14. Informationen zum Konfigurieren von JWT-basierten Zugriffstoken finden Sie unter Aktivieren von JWT-basierten Zugriffstoken.
            15. Wenn Sie eine einzelne verbundene Anwendung autorisieren möchten, alle Zugriffs- und Aktualisierungstoken in der gesamten Organisation selbst zu prüfen, wählen Sie Alle Token selbst prüfen aus.
              Standardmäßig können alle verbundenen Anwendungen ihre eigenen Token selbst prüfen. Zusätzlich kann ein OAuth-Client, der verbundene OAuth 2.0-Anwendungen direkt über den dynamischen Client-Registrierungsendpunkt registriert, die Token für sich selbst und seine registrierten Anwendungen überprüfen. Siehe Token-Selbstprüfung in OpenID Connect.
            16. Wählen Sie ID-Token konfigurieren aus, um zu steuern, wie die OAuth-Anforderung das ID-Token verarbeitet.

              Wenn die OAuth-Anforderung den Umfang Allow access to your unique identifier (openid) (Zugriff auf Ihre eindeutige Kennung zulassen (openid)) beinhaltet, kann das zurückgegebene Token das ID-Token enthalten.

              Das ID-Token ist in Zugriffstokenantworten immer enthalten.

              Wenn die primäre ID-Token-Einstellung aktiviert ist, konfigurieren Sie die sekundären Einstellungen, mit denen die ID-Token-Inhalte in Zugriffs- und Aktualisierungstoken-Antworten bestimmt werden. Geben Sie diese Einstellungen an.

              Einstellung Beschreibung
              Token gültig für Gibt an, wie lange das ID-Token gültig ist, nachdem es ausgestellt wurde. Die Dauer kann 1–720 Minuten betragen. Der Standardwert beträgt 2 Minuten.
              ID-Token-Zielgruppen Die vorgesehenen Verbraucher des ID-Tokens, beispielsweise der Zielservice, für den Sie das ID-Token verwenden, etwa "https://ihr_service.com".
              Standardanforderungen einschließen Schließen Sie die Standardanforderungen ein, die Informationen über den Benutzer wie Namen, Profil, Telefonnummer und Adresse des Benutzers enthalten. Die OpenID Connect-Spezifikationen definieren einen Satz von Standardanforderungen, die im ID-Token zurückgegeben werden sollen.
              Benutzerdefinierte Attribute einschließen Wenn für Ihre Anwendung benutzerdefinierte Attribute angegeben wurden, schließen Sie diese in das ID-Token ein.
              Benutzerdefinierte Berechtigungen einschließen Wenn für Ihre Anwendung benutzerdefinierte Berechtigungen angegeben wurden, schließen Sie diese in das ID-Token ein.
            17. Wählen Sie beim Einrichten der Anwendung Datenbestands-Token aktivieren aus, um Datenbestands-Token für verbundene Geräte auszustellen, und geben Sie folgende Einstellungen an.
              Einstellung Beschreibung
              Token gültig für Die Gültigkeitsdauer des Datenbestands-Tokens nach dessen Herausgabe.
              Signierzertifikat für Datenbestand Das selbstsignierte Zertifikat, das Sie zum Signieren von Asset-Tokens erstellt haben. Die Zertifikatsgröße ist auf 4 KB begrenzt.
              Zielgruppen für Datenbestand Die vorgesehenen Verbraucher des Datenbestands-Tokens. Beispiel: Der Backend-Service für Ihr verbundenes Gerät, wie https://ihr_geräte-backend.com.
              Benutzerdefinierte Attribute einschließen Wenn für Ihre Anwendung benutzerdefinierte Attribute angegeben wurden, schließen Sie diese in das Datenbestands-Token ein.
              Benutzerdefinierte Berechtigungen einschließen Wenn für Ihre Anwendung benutzerdefinierte Berechtigungen angegeben wurden, schließen Sie diese in das Datenbestands-Token ein.

              Geben Sie in jedem Fall den Rückmeldungs-URL (Endpunkt) an. Beispiel: https://ihr_geräte-backend.com/callback.

              Wählen Sie die OAuth-Geltungsbereiche Zugriff auf Ihre Daten und Datenverwaltung (api) und Zugriff auf Ihre eindeutige Kennung zulassen (openid) aus, die für Datenbestands-Token erforderlich sind.

            18. Wenn Sie Single Logout für Anwendungsfälle verwenden möchten, in denen Salesforce ein OpenID Connect-Anbieter ist, wählen Sie Single Logout aktivieren aus und geben Sie dann einen Single Logout-URL ein, um zu bestimmen, wohin Salesforce Abmeldeanforderungen sendet. Der Single Logout-URL muss ein absoluter URL sein, der mit https:// beginnt.
              Diese Einstellungen sind nur ein Teil einer Single Logout-Konfiguration. Legen Sie den URL fest, zu dem Benutzer nach der Abmeldung umgeleitet werden, und geben Sie Informationen an Ihren OpenID Connect-Anbieter weiter, um die Einrichtung der Single Logout-Funktion abzuschließen. Entsprechende Informationen finden Sie unter Konfigurieren von OpenID Connect Single Logout mit Salesforce als OpenID Connect-Anbieter.
            19. Nachdem Sie alle Einstellungen für Ihre verbundene Anwendung konfiguriert haben, speichern Sie die Änderungen.

            Hilfe zum Konfigurieren von OAuth-Flows finden Sie in der Salesforce-Hilfe unter OAuth-Autorisierungs-Flows.

            Wichtig
            Wichtig Übergeben Sie beim Entwickeln von OAuth-Integrationen immer vertrauliche Informationen im Text einer POST-Anforderung oder in einer Anforderungskopfzeile. Verwenden Sie keine GET-Parameter in der URL-Abfragezeichenfolge, um vertrauliche Informationen weiterzugeben. Zu den vertraulichen Informationen zählen Benutzernamen, Kennwörter, OAuth-Token, Client-Geheimnisse und alle personenbezogenen Informationen. Weitere Informationen zu bewährten Vorgehensweisen für die Sicherheit finden Sie im Secure Coding Guide unter Speichern vertraulicher Daten.

            Siehe auch:

             
            Laden
            Salesforce Help | Article