Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Salesforce in Microsoft Entra ID integrieren. Wenn Sie Salesforce in Microsoft Entra ID integrieren, können Sie:
- Kontrolle in Microsoft Entra ID, wer Zugriff auf Salesforce hat.
- Ermöglichen Sie es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei Salesforce angemeldet zu sein.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Hinweis
Wir sind uns bewusst, dass Salesforce die Geräteaktivierungsänderungen für einmalige Sign-On (SSO)-Anmeldungen ab dem 3. Februar 2026 erzwungen hat. Wir haben eng mit dem Salesforce-Team zusammengearbeitet, und Ab dem 3. Februar wird Salesforce mit der Annahme des authnmethodreferences Anspruchs beginnen, der standardmäßig im SAML-Token enthalten ist, das von Entra ID ausgestellt wurde. Wenn der Anspruch "authnmethodreferences" den Wert "multipleauthn" enthält, behandelt Salesforce das Gerät als vertrauenswürdig. Stellen Sie sicher, dass Ihre Richtlinie für den bedingten Zugriff, die MFA erzwingt, für diese Anforderung konfiguriert ist. Weitere Informationen zu diesem Anspruch finden Sie hier.
Für Kunden, die OpenID Connect-Authentifizierung mit Salesforce verwenden oder wenn Sie Salesforce mit custom OpenID Connect-Anbieter konfiguriert haben stellen Sie dann sicher, dass Sie Entra ID V1-Endpunkt nur verwenden, wenn der V1-Endpunkt den AMR-Anspruch im Token für Salesforce bereitstellen kann. Die V2-Endpunktunterstützung wird in Kürze verfügbar sein, aber bis zu diesem Zeitpunkt verwenden Sie nur den V1-Endpunkt.
Für Kunden, die AD FS als Partnerverbundanbieter mit Entra ID verwenden, befolgen Sie bitte die richtlinien, die here veröffentlicht wurden, damit Entra ID diesen Anspruch im SAML-Token haben.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Salesforce-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist
Beschreibung des Szenarios
In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
Salesforce unterstützt das SP-initiierte Single Sign-On.
Salesforce unterstützt die automatisierte Benutzerbereitstellung und Bereitstellungsaufhebung (empfohlen).
Salesforce unterstützt die Just-in-Time-Benutzerbereitstellung.
Salesforce Mobile-Anwendung kann jetzt mit Microsoft Entra ID für die Aktivierung von SSO konfiguriert werden. In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
Salesforce aus der Galerie hinzufügen
Um die Integration von Salesforce in Microsoft Entra ID zu konfigurieren, müssen Sie Salesforce aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
- Navigieren Sie zu Entra ID>Enterprise apps>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Salesforce in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich Salesforce aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365 Assistenten.
Konfigurieren und Testen Microsoft Entra SSO für Salesforce
Konfigurieren und testen Sie Microsoft Entra SSO mit Salesforce mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie eine Verknüpfungsbeziehung zwischen einem Microsoft Entra Benutzer und dem zugehörigen Benutzer in Salesforce einrichten.
Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit Salesforce zu konfigurieren und zu testen:
-
Configure Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
- Erstellen Sie einen Microsoft Entra-Testbenutzer – um das Microsoft Entra-Single-Sign-On mit B.Simon zu testen.
- Weisen Sie den Microsoft Entra-Testbenutzer zu, damit B.Simon die Microsoft Entra-Einmalanmeldung verwenden kann.
-
Konfigurieren Sie Salesforce Single Sign-On - um die Einstellungen für das einmalige Anmelden auf der Anwendungsseite zu konfigurieren.
- Erstellen Sie einen Salesforce-Testbenutzer - um ein Gegenstück zu B.Simon in Salesforce zu haben, das mit der Microsoft-Entra-Darstellung des Benutzers verknüpft ist.
- SSO-Test - um zu überprüfen, ob die Konfiguration funktioniert
Konfigurieren Microsoft Entra SSO
Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise apps>Salesforce>Single sign-on.
Wählen Sie auf der Seite Einzelanmeldungsmethode auswählenSAML aus.
Wählen Sie auf der Seite Einmaliges Anmelden mit SAML einrichten das Symbol "Bearbeiten/Bleistift-Icon" für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.
Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein:
a) Geben Sie im Textfeld Bezeichner den Wert in folgendem Muster ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comb. Geben Sie im Textfeld Antwort-URL den Wert nach folgendem Muster ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comAbschnitt c. Geben Sie im Textfeld Anmelde-URL den Wert im folgenden Format ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comHinweis
Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das Kundensupportteam von Salesforce, um diese Werte zu erhalten.
Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Kopieren Sie im Abschnitt Salesforce einrichten die entsprechenden URLs basierend auf Ihren Anforderungen.
Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers
Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.
Salesforce SSO konfigurieren
Melden Sie sich in einem anderen Webbrowserfenster bei der Salesforce-Unternehmenswebsite als Administrator an.
Wählen Sie das Symbol "Setup " unter "Einstellungen" in der oberen rechten Ecke der Seite aus.
Scrollen Sie im Navigationsbereich nach unten zu den EINSTELLUNGEN , und wählen Sie "Identität" aus, um den zugehörigen Abschnitt zu erweitern. Wählen Sie dann "Einzelne Sign-On Einstellungen" aus.
Wählen Sie auf der Seite "Einzel-Sign-On-Einstellungen " die Schaltfläche "Bearbeiten " aus.
Hinweis
Wenn Sie die Einstellungen für einmaliges Anmelden für Ihr Salesforce-Konto nicht aktivieren können, müssen Sie sich möglicherweise an das Salesforce-Clientsupportteam wenden.
Wählen Sie SAML Aktiviert und dann "Speichern" aus.
Um Ihre SAML-Einstellungen für einmaliges Anmelden zu konfigurieren, wählen Sie "Neu" aus der Metadatendatei aus.
Wählen Sie "Datei auswählen ", um die XML-Metadatendatei hochzuladen, die Sie heruntergeladen haben, und wählen Sie "Erstellen" aus.
Die Felder auf der Seite SAML-Einstellungen für einmaliges Anmelden werden automatisch aufgefüllt. Wenn Sie SAML JIT verwenden möchten, wählen Sie Benutzerbereitstellung aktiviert und dann unter Assertion enthält die Verbund-ID des Benutzerobjekts die Option SAML-Identitätstyp aus. Andernfalls deaktivieren Sie die Option Benutzerbereitstellung aktiviert und wählen unter Assertion enthält den Salesforce-Benutzernamen des Benutzers die Option SAML-Identitätstyp aus. Wählen Sie Speichern aus.
Hinweis
Wenn Sie SAML JIT konfiguriert haben, müssen Sie einen zusätzlichen Schritt im Abschnitt Configure Microsoft Entra SSO ausführen. Die Salesforce-Anwendung erwartet bestimmte SAML-Assertionen. Daher müssen Sie über bestimmte Attribute in ihrer Konfiguration der SAML-Tokenattribute verfügen. Der folgende Screenshot zeigt die Liste der Standardattribute von Salesforce:
Wenn weiterhin Probleme beim Bereitstellen von Benutzern mit SAML JIT auftreten, finden Sie weitere Informationen unter Just-in-Time-Bereitstellungsanforderungen und SAML-Assertionsfelder. Im Allgemeinen wird bei einem JIT-Fehler möglicherweise ein Fehler wie
We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.angezeigt.Wählen Sie im linken Navigationsbereich in Salesforce " Unternehmenseinstellungen " aus, um den zugehörigen Abschnitt zu erweitern, und wählen Sie dann "Meine Domäne" aus.
Scrollen Sie nach unten zum Abschnitt " Authentifizierungskonfiguration ", und wählen Sie die Schaltfläche "Bearbeiten " aus.
Überprüfen Sie im Abschnitt " Authentifizierungskonfiguration " die Anmeldeseite und AzureSSO als Authentifizierungsdienst Ihrer SAML-SSO-Konfiguration, und wählen Sie dann " Speichern" aus.
Hinweis
Wenn mehrere Authentifizierungsdienste aktiviert sind, werden Benutzer aufgefordert, einen Authentifizierungsdienst zur Anmeldung auszuwählen, wenn das einmalige Anmelden bei der Salesforce-Umgebung initiiert wird. Wenn Sie dies nicht möchten, sollten Sie alle anderen Authentifizierungsdienste deaktiviert lassen.
Erstellen eines Salesforce-Testbenutzers
In diesem Abschnitt wird ein Benutzer mit dem Namen B. Simon in Salesforce erstellt. Salesforce unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Falls ein Benutzer nicht bereits in Salesforce vorhanden ist, wird beim Versuch, auf Salesforce zuzugreifen, ein neuer Benutzer erstellt. Außerdem unterstützt Salesforce die automatische Benutzerbereitstellung. Weitere Informationen zum Konfigurieren der automatischen Benutzerbereitstellung finden Sie hier.
SSO testen
In diesem Abschnitt testen Sie Ihre Microsoft Entra Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Salesforce-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.
Rufen Sie direkt die Salesforce-Anmelde-URL auf und initiieren Sie den Anmeldevorgang.
Sie können Microsoft Meine Apps verwenden. Wenn Sie die Salesforce-Kachel im Meine Apps-Portal auswählen, sollten Sie automatisch bei Salesforce angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen zum Meine Apps-Portal finden Sie unter Introduction zum Meine Apps Portal.
Testen von SSO für Salesforce (für mobile Geräte)
Öffnen Sie die mobile Salesforce-Anwendung. Wählen Sie auf der Anmeldeseite die Option "Benutzerdefinierte Domäne verwenden" aus.
Geben Sie im Textfeld "Benutzerdefinierte Domäne " Ihren registrierten benutzerdefinierten Domänennamen ein, und wählen Sie "Weiter" aus.
Geben Sie Ihre Microsoft Entra Anmeldeinformationen ein, um sich bei der Salesforce-Anwendung anzumelden, und wählen Sie Next aus.
Wählen Sie auf der Seite "Zugriff zulassen" wie unten gezeigt die Option "Zulassen " aus, um Zugriff auf die Salesforce-Anwendung zu gewähren.
Schließlich wird nach erfolgreicher Anmeldung die Anwendungs-Homepage angezeigt.
Entdecken vorhandener Benutzer in Salesforce
Vor der Integration mit Microsoft Entra verfügt Ihr Salesforce-Konto möglicherweise bereits über einen oder mehrere Benutzer. Mithilfe der Kontoermittlungsfunktionalität können Sie einen Bericht aller Benutzer in Salesforce generieren, ermitteln, welche Benutzer übereinstimmende Konten in Entra haben und welche Benutzer mit nur einem Klick in Salesforce lokal sind. Erfahren Sie hier mehr über die Kontoermittlungsfunktionalität. Auf diese Weise können Sie das Onboarding in Entra vereinfachen und gleichzeitig pereodisch auf unbefugten Zugriff überwachen.
Verhindern des Anwendungszugriffs über lokale Konten
Nachdem Sie überprüft haben, dass SSO funktioniert und in Ihrer Organisation eingeführt wurde, empfehlen wir, den Anwendungszugriff mit lokalen Anmeldedaten zu deaktivieren. Dadurch wird sichergestellt, dass Ihre Richtlinien für bedingten Zugriff, MFA usw. vorhanden sind, um Anmeldungen bei Salesforce zu schützen.
Verwandte Inhalte
Wenn Sie über Enterprise Mobility + Security E5 oder eine andere Lizenz für Microsoft Defender for Cloud Apps verfügen, können Sie einen Überwachungspfad der Anwendungsaktivitäten in diesem Produkt sammeln, der beim Untersuchen von Warnungen verwendet werden kann. In Defender for Cloud Apps können Warnungen ausgelöst werden, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten nicht Ihren Richtlinien entsprechen. Durch das Verbinden von Microsoft Defender für Cloud Apps mit Salesforce werden Salesforce-Anmeldeereignisse von Defender für Cloud Apps erfasst.
Darüber hinaus können Sie die Sitzungssteuerung durchsetzen, die den Schutz vor Exfiltration und Infiltration sensibler Daten Ihrer Organisation in Echtzeit gewährleistet. Die Sitzungssteuerung erweitert den bedingten Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.