Aktivieren von Salesforce als SAML-Identitätsanbieter

Legen Sie fest, welches Zertifikat Sie verwenden möchten, um die Kommunikation zwischen Ihrer Organisation und dem Serviceanbieter zu ermöglichen. Sie können das Standardzertifikat verwenden oder ein eigenes erstellen. Siehe Zertifikate und Schlüssel.

• Standardmäßig verwendet ein Salesforce-Identitätsanbieter ein selbstsigniertes Zertifikat, das mit dem SHA-256-Signaturalgorithmus generiert wurde. Fahren Sie mit Schritt 1 fort, wenn Sie das Standardzertifikat verwenden möchten.
• Wenn Sie ein selbstsigniertes Zertifikat erstellen möchten, befolgen Sie die Anweisungen unter Generieren eines selbstsignierten Zertifikats und fahren Sie dann mit Schritt 1 fort.
• Befolgen Sie zum Erstellen eines von einer Zertifizierungsstelle signierten Zertifikats die Anweisungen im Thema Generieren eines von einer Zertifizierungsstelle signierten Zertifikats in der Salesforce-Hilfe und fahren Sie dann mit Schritt 1 fort.

Wenn Sie Ihre Informationen zum Identitätsanbieter überprüfen möchten, geben Sie unter "Setup" im Feld "Schnellsuche" den Text Identitätsanbieter ein und wählen Sie dann Identitätsanbieter aus.

Auf dieser Seite können Sie die folgenden Aktionen ausführen.

• Klicken Sie zum Ändern Ihres Identitätsanbieterzertifikats auf Bearbeiten.
  

  ACHTUNG Wenn Sie das Zertifikat ändern, wird möglicherweise der Zugriff auf externe Anwendungen deaktiviert. Sie können alle externen Anwendungen aktualisieren, um die neuen Zertifikatinformationen zu validieren.
• Klicken Sie auf Deaktivieren, um Ihre Organisation als Identitätsanbieter zu deaktivieren.
  

  ACHTUNG Wenn Sie Ihre Organisation als Identitätsanbieter deaktivieren, können die Benutzer nicht mehr über SSO auf externe Anwendungen zugreifen.
• Klicken Sie zum Herunterladen des Identitätsanbieterzertifikats auf Zertifikat herunterladen. Ihr Serviceanbieter kann das Zertifikat für die Verbindung mit Salesforce verwenden.
• Klicken Sie auf Metadaten herunterladen, um eine XML-Datei mit Metadaten über Ihren Identitätsanbieter herunterzuladen. Ihr Serviceanbieter kann die Metadaten für die Verbindung mit Salesforce verwenden.
• Sehen Sie sich im Abschnitt "Details" den Issuer an. Dabei handelt es sich um die eindeutige Kennung für den Salesforce-Identitätsanbieter.
• Rufen Sie im Abschnitt "SAML-Metadaten-Erkennungsendpunkte" die Metadaten des Identitätsanbieters für Ihre benutzerdefinierte Domäne und jede Experience Cloud-Site auf. Einige Serviceanbieter verwenden diese URLs, um SSO zum Verbinden mit Salesforce zu konfigurieren. Wenn Sie beispielsweise Amazon Web Services (AWS) als Serviceanbieter konfigurieren, laden Sie die Metadaten Ihres Salesforce-Identitätsanbieters zu AWS hoch.

  Die Identitätsanbieter-Metadaten für eine benutzerdefinierte Domäne oder Site befinden sich in den folgenden Feldern:

  • Salesforce Identity: URL der Identitätsanbieter-Metadaten für Ihre benutzerdefinierte Domäne.
  • Community Identity: URL der Identitätsanbieter-Metadaten für eine bestimmte Experience Cloud-Site. Wenn Sie beispielsweise eine Site mit dem Namen XYZ einrichten, wird Ihnen XYZ Community Identity angezeigt.

Darüber hinaus definiert Salesforce eine Lebenszeit für an Ihren Serviceanbieter gesendete SAML-Behauptungen. Eine von einem Salesforce-Identitätsanbieter gesendete SAML-Behauptung ist nach ihrer Ausstellung 5 Minuten lang gültig, wobei es einen Puffer von 30 Sekunden gibt, um die Taktverzögerung zu berücksichtigen. Wenn die Behauptung beispielsweise um 12:00:00 Uhr (GMT) ausgestellt wird, ist sie zwischen 11:59:30 Uhr (GMT) und 12:05:00 Uhr (GMT) gültig. Wenn der Serviceanbieter die SAML-Antwort außerhalb dieses Intervalls erhält, lehnt er die Behauptung in der Regel ab.

Führen Sie nach dem Aktivieren von Salesforce als Identitätsanbieter die folgenden Schritte aus.

• Erfüllen Sie die Voraussetzungen zum Integrieren von Serviceanbietern.
• Integrieren Sie Ihren Serviceanbieter als SAML-fähige Anwendung.
• Ordnen Sie Salesforce-Benutzer dem Serviceanbieter zu.