Single Sign-On

Beim Einrichten von SSO konfigurieren Sie ein System so, dass es einem anderen System beim Authentifizieren von Benutzern vertraut. Dadurch müssen sich Benutzer nicht bei jedem System separat anmelden. Der Identitätsanbieter ist das die Benutzer authentifizierende System. Der Serviceanbieter ist das dem Identitätsanbieter zur Authentifizierung vertrauende System.

So können Sie beispielsweise Google als Identitätsanbieter konfigurieren, um auf Ihre Organisation zugreifende Benutzer zu authentifizieren. Benutzer, die sich bei Ihrer Organisation anmelden, verwenden demnach ihre Google-Anmeldeinformationen. In diesem Beispiel fungiert Ihre Organisation als Serviceanbieter und vertraut darauf, dass Google die Benutzer ordnungsgemäß authentifiziert.

Sie können Ihre Salesforce-Organisation als Identitätsanbieter, Serviceanbieter oder beides konfigurieren. Wählen Sie in all diesen Anwendungsfällen das gewünschte Authentifizierungsprotokoll aus. Von Salesforce wird SSO mit SAML und OpenID Connect unterstützt. Darüber hinaus verfügt Salesforce über vorkonfigurierte Authentifizierungsanbieter. Mit ihnen können Sie SSO über Systeme wie Facebook aktivieren, die ihre eigenen Authentifizierungsprotokolle verwenden. Weitere Informationen erhalten Sie unter Anwendungsfälle für Single Sign-On. In diesem Video sehen Sie eine SAML SSO-Implementierung, wobei Salesforce als der Identitätsanbieter fungiert.

Sie können auch einen einzelnen Identitätsanbieter einrichten, der Benutzer für mehrere Serviceanbieter authentifiziert. So können Sie beispielsweise Ihre Organisation als Identitätsanbieter aktivieren und Workday sowie Office 365 als Serviceanbieter konfigurieren. Anschließend können Benutzer mit einer Anmeldung auf Ihre Organisation, Workday und Office 365 zugreifen.

Richten Sie nach dem Konfigurieren von SSO Single Logout ein, damit sich Benutzer gleichzeitig bei einem Serviceanbieter und einem Identitätsanbieter abmelden können.

• Anwendungsfälle für Single Sign-On
  Richten Sie Single Sign-On ein, damit Benutzer nahtlos zwischen Salesforce-Organisationen und Anwendungen wechseln können, ohne sich wiederholt anmelden zu müssen. Je nach Anwendungsfall können Sie SSO konfigurieren, damit sich Benutzer über eine Drittanbieteranwendung, etwa ein Unternehmensportal, bei Ihrer Salesforce-Organisation anmelden können. Darüber hinaus können Sie SSO so einrichten, dass sich Benutzer in einer anderen Anwendung bei Ihrer Salesforce-Organisation anmelden können. Sie können sogar eine SSO-Kette konfigurieren, wobei sich Benutzer bei einer Drittanbieteranwendung anmelden, um auf Salesforce zuzugreifen, und dann Salesforce verwenden, um auf eine andere Organisation zuzugreifen. Alternativ können Sie eine eher dezentralisierte Anmeldeumgebung konfigurieren, wobei sich Benutzer mit denselben Benutzeranmeldeinformationen bei mehreren Anwendungen anmelden können.
• Single Sign-On-Terminologie
  Möchten Sie Single Sign-On (SSO) für Ihre Organisation konfigurieren? Machen Sie sich zunächst mit einigen wichtigen Begriffen vertraut.
• Häufig gestellte Fragen zu Single Sign-On
  Lesen Sie diese häufig gestellten Fragen, um Unterstützung bei der Implementierung von Single Sign-On (SSO) und der Behebung von Fehlern im Zusammenhang damit zu erhalten.
• Anfordern, dass sich Benutzer mit Single Sign-On (SSO) anmelden
  Wenn Sie Single Sign-On einrichten, können sich Benutzer standardmäßig über den SSO-Anbieter oder über Salesforce anmelden. Wenn Sie sicherstellen möchten, dass Benutzer Ihr SSO-System nicht umgehen können, deaktivieren Sie ihre Anmeldemöglichkeit mit ihrem Salesforce-Benutzernamen und -Kennwort, damit sie sich mit SSO anmelden müssen. Salesforce-Administratoren sollten SSO nicht benötigen, damit sie weiterhin auf Salesforce zugreifen können, um auf SSO-Ausfälle oder andere Probleme zu reagieren.
• SAML Single Sign-On-Flows
  Wenn Sie Single Sign-On (SSO) mit SAML einrichten, können Sie die Anmeldung über den Serviceanbieter oder den Identitätsanbieter initiieren. Die über einen Serviceanbieter initiierte Anmeldung und die über einen Identitätsanbieter initiierte Anmeldung verwenden unterschiedliche Flows, doch beide führen dazu, dass der Benutzer beim Serviceanbieter angemeldet ist.
• Salesforce als Serviceanbieter
  Konfigurieren Sie Single Sign-On (SSO), damit sich Benutzer mit ihren Anmeldeinformationen eines Identitätsanbieters oder Authentifizierungsanbieters bei Ihrer Salesforce-Organisation anmelden können. In diesem Anwendungsfall können Sie einen Identitätsanbieter mit Security Assertion Markup Language (SAML) definieren. Zudem können Sie einen vordefinierten Authentifizierungsanbieter verwenden, einen OpenID Connect-Authentifizierungsanbieter konfigurieren oder einen benutzerdefinierten Authentifizierungsanbieter erstellen.
• Salesforce als Identitätsanbieter
  Konfigurieren Sie Single Sign-On (SSO), damit sich Benutzer mit ihren Salesforce-Anmeldeinformationen bei einem externen Serviceanbieter oder bei der vertrauenden Seite anmelden können. Sie können Ihre Salesforce-Organisation als SAML-Identitätsanbieter aktivieren und einen Serviceanbieter als externe SAML-Client-Anwendung oder verbundene Anwendung integrieren. Sie können auch OpenID Connect verwenden, um eine vertrauende Seite in Ihre Organisation zu integrieren.
• Salesforce als Service- und Identitätsanbieter für SSO
  Je nach Ihren Authentifizierungsanforderungen können Sie eine Identitätsanbieterkette erstellen, SAML Single Sign-On (SSO) über mehrere Organisationen hinweg oder Experience Cloud-Sites konfigurieren oder den vordefinierten Salesforce-Authentifizierungsanbieter verwenden. Richten Sie eine Identitätsanbieterkette ein, wenn Sie möchten, dass sich Benutzer über einen Identitätsdrittanbieter bei Salesforce anmelden und sofort auf eine Client-Anwendung zugreifen können. Richten Sie SAML SSO zwischen mehreren Organisationen oder Sites ein, wenn Sie möchten, dass Benutzer mit einem einzelnen Satz von Anmeldeinformationen auf mehrere Organisationen oder Sites zugreifen können. Sie können auch SSO zwischen zwei Organisationen mit dem Salesforce-Authentifizierungsanbieter einrichten, der Benutzer authentifiziert und den Zugriff auf geschützte Daten autorisiert.
• Single Sign-On für Portale und Sites
  Sie können Single Sign-On (SSO) für Portale und Sites konfigurieren. Beachten Sie, dass Kunden- und Partnerportale für neue Organisationen ab der Version Summer '13 nicht verfügbar sind. Verwenden Sie stattdessen Experience Cloud-Sites.
• Single Sign-On-Beispiele
  Sie können die Konfiguration so vornehmen, dass Salesforce so mehrere verschiedene Rollen im die Single Sign-On-Prozess (SSO) übernimmt. Dieser Abschnitt enthält Beispiele dafür, wie Sie Salesforce und einige Drittanbieteranwendungen für SSO konfigurieren können.
• Single Logout
  Mit Single Logout (SLO) können sich Benutzer beim Identitätsanbieter und beim Serviceanbieter abmelden, indem sie sich bei einem der beiden abmelden. Unabhängig davon, ob Salesforce der Serviceanbieter oder der Identitätsanbieter ist, können Sie SLO mit SAML oder OpenID Connect aktivieren. SLO kann die Sicherheit erhöhen und den Benutzern helfen, Zeit zu sparen, da sie sich nicht mehr von jeder Anwendung einzeln abmelden müssen.
• Delegierte Authentifizierung
  Die delegierte Authentifizierung ähnelt Single Sign-On (SSO), ist für Benutzer jedoch etwas anders zu benutzen. Bei der delegierten Authentifizierung basiert ein System zum Validieren der Benutzeranmeldeinformationen auf dem anderen System. So können Sie beispielsweise konfigurieren, dass Ihre Salesforce-Organisation zum Validieren von Anmeldeinformationen auf dem LDAP-Server (Lightweight Directory Access Protocol) basieren soll. Mittels SSO und delegierter Authentifizierung können sich Benutzer mit einem Satz Anmeldeinformationen bei mehreren Anwendungen anmelden. Bei der delegierten Authentifizierung müssen sich die Benutzer jedoch separat bei jeder Anwendung anmelden.