Loading
识别您的用户并管理访问
目录
筛选条件: (0)添加
选择筛选器

          没有结果
          没有结果
          以下是一些搜索提示

          检查关键字的拼写。
          使用更普遍的搜索词。
          选择更少的筛选器,并扩大搜索范围。

            搜索所有 Salesforce 帮助
            搜索所有 Salesforce 帮助
            基于证书的身份验证

            您在此处:

            1. Salesforce 帮助
            2. 文档
            3. 识别您的用户并管理访问

            基于证书的身份验证

            除了单点登录等身份验证方法外,Salesforce 还提供基于证书的身份验证,您可以对其进行配置,以使用唯一的 PEM 编码的 X.509 证书对 Salesforce 用户进行身份验证。

            所需的 Edition

            适用于: Salesforce Classic 和 Lightning Experience 所有版本

            基于证书的身份验证符合 FedRAMP 高身份验证程序保证级别 (AAL) 3 数字身份要求个人身份验证卡。您的组织还可以使用具有基于证书的身份验证的证书颁发机构签名 (CA) 的证书。查看出站消息 SSL CA 证书列表。

            基于证书的身份验证使用相互传输层安全性 (mTLS) 协议。通过该协议,Salesforce 和用户通过使用称为 mTLS 握手的过程相互证明他们的身份。以下是身份验证流的高级概述。

            • 用户转到 My Domain 登录页面,并单击基于证书登录
            • Salesforce 会将其服务器证书和证书链发送到用户的浏览器。
            • 浏览器验证服务器证书和链。
            • 如果提示,用户选择或提供用户身份验证证书,也称为客户端证书。此步骤因浏览器、用户访问的 Salesforce 服务以及用户之前是否使用过证书而异。
            • 用户的浏览器会将用户身份验证证书和证书链发送到 Salesforce 服务器。Salesforce 使用在贵组织设置中配置的用户身份验证证书来验证证书和链。
            • Salesforce 和浏览器相互验证后,用户登录。

            要将用户身份验证证书添加到贵组织,请在“设置”中将其上载到用户身份验证证书。或者,使用 REST API、SOAP API 和标准 API 对象创建来管理 UserAuthCertificate 对象。然后,您可以将上传的用户证书与外部 API 工具集成,例如 Data Loader。外部 API 工具可以帮您管理用户证书。

            在启用基于证书的身份验证前,请谨记这些要求。

            • 此功能仅在配置了“允许用户使用证书进行身份验证”设置的组织中可用,该设置已在“设置”的“身份验证”页面上启用。
            • Experience Cloud 站点中不支持基于证书的身份验证。
            • 如果您使用公共 CA 供应商的用户身份验证证书,证书必须链接到实例的有效根 CA。对于有效的公共 CA 供应商列表,将 /cacerts.jsp 添加到实例 URL,例如 https://MyCompany.my.salesforce.com/cacerts.jsp
            • 用户身份验证证书必须包含客户端身份验证 EKU(扩展密钥使用)扩展。
              重要
              重要 通过 Google Chrome 根计划策略 v1.7,您的用户身份验证(客户端)和服务器证书不能来自 Chrome 受信根列表中的相同公共根 CA。通过此更改,您无法再使用包含 EKU 的证书进行用户和服务器身份验证。为防止中断,请过渡到单独的证书层次结构。Google Chrome 策略更改将于 2026 年 6 月 15 日生效,但在此之前,一些公共 CA 供应商的证书续订可能会遇到问题。

              有关更多信息,请查看公用密钥基础设施 (PKI) 的即将强制更改

            • 上载的用户身份验证证书必须是 PEM 编码的 X.509 数字证书。
            • 上载的 PEM 文件可以包含一个证书或一个证书链包含最多 10 个证书。
            • 上载的 PEM 文件可高达 1 MB。
            • 用户身份验证证书不得过期。
            • 用户身份验证证书必须对单个 Salesforce 组织唯一。
            • 组织用户可以包含多个身份验证证书,但证书必须对用户唯一。
            • 用户必须能够连接到端口 8443。基于证书的身份验证在 Salesforce 端口 8443 上运行。

            配置任务

            要为 API 客户端设置基于证书的身份验证,请参阅设置相互身份验证证书和配置 API 客户端使用相互身份验证。

            要为 UI 登录配置基于证书的身份验证,请参见下面的资源。

            • 启用基于证书的身份验证
              要使用证书对贵组织进行个人用户身份验证,您必须启用基于证书的身份验证。
            • 验证用户身份验证证书的撤销状态
              每次用户使用证书登录时,您可以使用在线证书状态协议 (OCSP) 或证书撤销列表 (CRL) 验证证书撤销状态。使用 OCSP,Salesforce 会实时检查证书的撤销状态。如果 OCSP 状态检查失败,或者没有为 OCSP 配置证书,Salesforce 将使用 CRL。
            • 审查证书登录错误
              当您启用证书撤销状态检查时,Salesforce 会阻止使用已撤销或无法验证的证书登录。要了解证书登录失败的原因,请查看贵组织的登录历史页面。检查这些登录错误。
            • 上载用户身份验证证书
              在启用基于证书的身份验证后,您可以使用 PEM 编码的 X.509 数字证书对贵组织的个人用户进行身份验证。
            • 将基于证书的身份验证添加到 My Domain 登录页面
              在身份验证中启用基于证书的身份验证后,将基于证书的登录按钮添加到 My Domain 登录页面。用户可以单击按钮,以使用唯一用户身份验证证书进行身份验证。
            • 查看有关用户身份验证证书的详细信息
              您可以查看为贵组织上载的所有用户身份验证证书,并可以查看分配到一个用户的证书。从这些视图中,您可以查看证书的上载时间和过期时间。您也可以重命名并删除证书。
            • 下载用户身份验证证书
              您可以下载之前上传到贵组织的 PEM 编码的 X.509 数字证书。
            • 重命名用户身份验证证书
              您可以重命名用户身份验证证书。要编辑多个用户证书名称,删除证书,并上载全新使用 PEM 编码的 X.509 数字证书。
            • 删除用户身份验证证书
              如果冲突,且证书撤销、过期或不再使用,删除用户身份验证证书。
            • 通过基于证书的身份验证登录贵组织
              如果您的 Salesforce 组织支持基于证书的身份验证作为登录方式,您可以通过唯一用户身份验证证书登录,而不是用户名和密码。

            另请参阅:

             
            正在加载
            Salesforce Help | Article