Konfigurieren der Salesforce-Sandbox für einmaliges Anmelden mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie Salesforce Sandbox in Microsoft Entra ID integrieren. Die Integration von Salesforce in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf Salesforce hat.
• Ermöglichen Sie es Ihren Benutzern, sich mit ihren Azure AD-Konten automatisch bei Salesforce Sandbox anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein Salesforce Sandbox-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

• Salesforce Sandbox unterstützt SP- und IDP-initiiertes einmaliges Anmelden.
• Salesforce Sandbox unterstützt die Just-in-Time-Benutzerbereitstellung.
• Salesforce Sandbox unterstützt die automatisierte Benutzerbereitstellung.

Hinzufügen von Salesforce Sandbox aus dem Katalog

Zum Konfigurieren der Integration von Salesforce Sandbox in Azure AD müssen Sie Salesforce Sandbox aus dem Katalog zur Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Salesforce Sandbox in das Suchfeld ein.
4. Wählen Sie im Ergebnisbereich Salesforce Sandbox aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für Salesforce

Konfigurieren und testen Sie das einmalige Anmelden von Azure AD mit Salesforce Sandbox mithilfe eines Testbenutzers mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in askSpoke eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Azure AD mit Salesforce Sandbox die folgenden Schritte aus:

1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um den Benutzenden die Verwendung dieses Features zu ermöglichen
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
2. Konfigurieren des einmaligen Anmeldens für Salesforce Sandbox, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
   1. Erstellen Sie einen Salesforce Sandbox-Testbenutzer – um ein Gegenstück von B.Simon in Salesforce Sandbox zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen des einmaligen Anmeldens, um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um einmaliges Anmelden von Microsoft Entra zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Salesforce Sandbox>Single Sign-On.

3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus, wenn Sie über eine Metadatendatei des Dienstanbieters verfügen und die Anwendung im IDP-initiierten Modus konfigurieren möchten:

   a) Wählen Sie " Metadatendatei hochladen" aus.

   

   b. Wählen Sie das Ordnerlogo aus, um die Metadatendatei auszuwählen und "Hochladen" auszuwählen.

   

   Hinweis

   Sie erhalten die Metadatendatei des Dienstanbieters über das Salesforce Sandbox-Verwaltungsportal, das weiter unten im Artikel erläutert wird.

   c. Nachdem die Metadatendatei erfolgreich hochgeladen wurde, wird der Antwort-URL-Wert im Textfeld "Antwort-URL " automatisch ausgefüllt.

   

   Hinweis

   Wenn der Wert für die Antwort-URL nicht automatisch ausgefüllt wird, geben Sie den Wert entsprechend Ihrer Anforderung manuell ein.

6. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat auf Herunterladen, um das Ihrer Anforderung entsprechende Metadaten-XML aus den verfügbaren Optionen herunterzuladen und auf Ihrem Computer zu speichern.

   

7. Kopieren Sie im Abschnitt Salesforce Sandbox einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

   

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für Salesforce Sandbox

1. Öffnen Sie eine neue Registerkarte in Ihrem Browser, und melden Sie sich mit Ihrem Salesforce Sandbox-Administratorkonto an.

2. Wählen Sie das Symbol "Setup " unter "Einstellungen" in der oberen rechten Ecke der Seite aus.

   

3. Scrollen Sie im linken Navigationsbereich nach unten zu den EINSTELLUNGEN , und wählen Sie "Identität" aus, um den zugehörigen Abschnitt zu erweitern. Wählen Sie dann "Einzelne Sign-On Einstellungen" aus.

   

4. Wählen Sie auf der Seite "Einzel-Sign-On-Einstellungen " die Schaltfläche "Bearbeiten " aus.

   

5. Wählen Sie SAML Aktiviert und dann "Speichern" aus.

   

6. Um Ihre SAML-Einstellungen für einmaliges Anmelden zu konfigurieren, wählen Sie "Neu" aus der Metadatendatei aus.

   

7. Wählen Sie "Datei auswählen ", um die XML-Metadatendatei hochzuladen, die Sie heruntergeladen haben, und wählen Sie "Erstellen" aus.

   

8. Auf der Seite "SAML Single Sign-On Settings" werden die Felder automatisch ausgefüllt und dann auf "Speichern" geklickt.

   

9. Wählen Sie auf der Seite "Einstellungen für einzelne Sign-On " die Schaltfläche "Metadaten herunterladen " aus, um die Metadatendatei des Dienstanbieters herunterzuladen. Verwenden Sie diese Datei im Abschnitt Grundlegende SAML-Konfiguration im Azure-Portal, um die notwendigen URLs wie oben erläutert zu konfigurieren.

   

10. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, sind dies die Voraussetzungen:

    a) Sie sollten über eine überprüfte Domäne verfügen.

    b. Sie müssen Ihre Domäne im Salesforce-Sandkasten konfigurieren und aktivieren. Die Schritte hierfür werden weiter unten in diesem Artikel erläutert.

    c. Wählen Sie im Azure-Portal im Abschnitt "Grundlegende SAML-Konfiguration" die Option "Zusätzliche URLs festlegen" aus, und führen Sie den folgenden Schritt aus:

    

    Geben Sie im Textfeld Anmelde-URL den Wert im folgenden Format ein: https://<instancename>--Sandbox.<entityid>.my.salesforce.com.

    Hinweis

    Dieser Wert sollte aus dem Salesforce Sandbox-Portal kopiert werden, nachdem Sie die Domäne aktiviert haben.

11. Wählen Sie im Abschnitt SAML-Signaturzertifikat die Xml-Datei für Verbundmetadaten aus, und speichern Sie dann die XML-Datei auf Ihrem Computer.

    

12. Öffnen Sie eine neue Registerkarte in Ihrem Browser, und melden Sie sich mit Ihrem Salesforce Sandbox-Administratorkonto an.

13. Wählen Sie das Symbol "Setup " unter "Einstellungen" in der oberen rechten Ecke der Seite aus.

    

14. Scrollen Sie im linken Navigationsbereich nach unten zu den EINSTELLUNGEN , und wählen Sie "Identität" aus, um den zugehörigen Abschnitt zu erweitern. Wählen Sie dann "Einzelne Sign-On Einstellungen" aus.

    

15. Wählen Sie auf der Seite "Einzel-Sign-On-Einstellungen " die Schaltfläche "Bearbeiten " aus.

    

16. Wählen Sie SAML Aktiviert und dann "Speichern" aus.

    

17. Um Ihre SAML-Einstellungen für einmaliges Anmelden zu konfigurieren, wählen Sie "Neu" aus der Metadatendatei aus.

    

18. Wählen Sie "Datei auswählen ", um die XML-Metadatendatei hochzuladen, und wählen Sie " Erstellen" aus.

    

19. Auf der Seite SAML Single Sign-On Einstellungen werden die Felder automatisch ausgefüllt. Geben Sie den Namen der Konfiguration (z. B. SPSSOWAAD_Test) im Textfeld Name ein und wählen Sie dann "Speichern" aus.

    

20. Führen Sie die folgenden Schritte aus, um Ihre Domäne in Salesforce Sandbox zu aktivieren.

    Hinweis

    Vor dem Aktivieren der Domäne müssen Sie die gleiche Domäne in Salesforce Sandbox erstellen. Weitere Informationen finden Sie unter Defining Your Domain Name (Festlegen des Domänennamens). Nachdem die Domäne erstellt wurde, sollten Sie sicherstellen, dass diese richtig konfiguriert wurde.

21. Wählen Sie im linken Navigationsbereich in Salesforce Sandbox " Unternehmenseinstellungen " aus, um den zugehörigen Abschnitt zu erweitern, und wählen Sie dann "Meine Domäne" aus.

    

22. Wählen Sie im Abschnitt "Authentifizierungskonfiguration" die Option "Bearbeiten" aus.

    

23. Wählen Sie im Abschnitt " Authentifizierungskonfiguration " als Authentifizierungsdienst den Namen der SAML Single Sign-On Setting aus, die Sie während der SSO-Konfiguration in Salesforce Sandbox festgelegt haben, und wählen Sie "Speichern" aus.

    

Erstellen eines Salesforce Sandbox-Testbenutzers

In diesem Abschnitt wird ein Benutzer mit dem Namen Britta Simon in Salesforce Sandbox erstellt. Salesforce Sandbox unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Falls ein Benutzer nicht bereits in Salesforce Sandbox vorhanden ist, wird beim Versuch, auf Salesforce Sandbox zuzugreifen, ein neuer Benutzer erstellt. Außerdem unterstützt Salesforce Sandbox die automatische Benutzerbereitstellung. Weitere Informationen zum Konfigurieren der automatischen Benutzerbereitstellung finden Sie hier.

Testen des einmaligen Anmeldens (SSO)

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

• Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet zur Salesforce-Sandbox-Anmelde-URL um, unter der Sie den Anmeldeablauf initiieren können.

• Rufen Sie direkt die Salesforce Sandbox-Anmelde-URL auf, und initiieren Sie den Anmeldeflow.

IDP-initiiert:

• Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei der Salesforce-Sandbox angemeldet sein, für die Sie das SSO einrichten.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die Salesforce-Sandkastenkachel in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite weitergeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert sind, sollten Sie automatisch bei der Salesforce-Sandbox angemeldet sein, für die Sie das SSO einrichten. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Verwandte Inhalte

Nach dem Konfigurieren von Salesforce Sandbox können Sie Sitzungssteuerungen erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützen. Sitzungssteuerungen basieren auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.