Salesforce-Anwendung

Wenn Salesforce für Single Sign-On (SSO) mit Specops Authentication konfiguriert wird, werden Benutzer, die versuchen, sich bei Salesforce anzumelden, zur Authentifizierung an Specops Authentication weitergeleitet.

Dem Benutzer wird eine Liste von Identitätsdiensten basierend auf der in Specops Authentication für Salesforce konfigurierten Richtlinie angezeigt. Um sich erfolgreich zu authentifizieren, muss der Benutzer einen oder mehrere dieser Identitätsdienste abschließen. Nach erfolgreicher Authentifizierung wird der Benutzer zurück zu Salesforce geleitet, wo das OpenID Connect-Token validiert und die Anmeldung zugelassen wird.

Die Richtlinie, die die Identitätsdienste definiert, kann entweder in der Specops Authentication Cloud oder in einem Gruppenrichtlinienobjekt (GPO) in Active Directory gespeichert werden. Beim Erstellen einer Single Sign-On-Anwendung stehen folgende Richtlinienmodus-Optionen zur Verfügung:

Cloud - Alle Benutzer in der Organisation sind betroffen.
Gruppenrichtlinie - Nur Benutzer, auf die ein markiertes GPO angewendet wird, sind betroffen.
Beides - Alle Benutzer sind betroffen. Wenn ein Benutzer zusätzlich von einem markierten GPO betroffen ist, hat die Gruppenrichtlinie Vorrang vor der Cloud-Richtlinie.

Voraussetzungen

Vor dem Fortfahren muss ein Salesforce-Cloud-Konto vorhanden sein.
Die Funktion "Specops Domain Name Protection" muss deaktiviert sein, siehe Schutz von Domänennamen.

Einrichten einer Salesforce-Anwendung

Dies sind die Hauptschritte zum Einrichten einer Salesforce-Anwendung:

Konfigurieren eines Gruppenrichtlinienobjekts
Erstellen einer Single Sign-On-Anwendung
Hinzufügen von Specops Authentication als neuem Authentifizierungsanbieter in Salesforce

Konfigurieren eines Gruppenrichtlinienobjekts

Befolgen Sie diese Schritte nur, wenn Sie Gruppenrichtlinie oder Beides als Richtlinienmodus auswählen, wenn Sie die Single Sign-On-Anwendung erstellen.

Erstellen Sie in der Gruppenrichtlinienverwaltungskonsole ein Gruppenrichtlinienobjekt und benennen Sie es z. B. Salesforce.
Verknüpfen Sie das GPO mit einem Container mit Benutzern, die auf Salesforce zugreifen können sollen.
Klicken Sie im Gatekeeper Admin Tool auf Single Sign-on.
Klicken Sie auf GPOs markieren, wählen Sie das GPO aus, das für die Konfiguration einer OpenID Connect-Anwendung in Specops Authentication verfügbar sein soll, und klicken Sie auf OK.

Erstellen einer Single Sign-On-Anwendung

Melden Sie sich als Administrator bei Specops Authentication Web an.
Klicken Sie auf Single Sign-On.
Klicken Sie auf Neu hinzufügen.
Wählen Sie Anwendungsvorlage: Salesforce. Anwendungsprotokoll wird automatisch auf OpenID Connect gesetzt.
Klicken Sie auf Weiter.
Geben Sie unter Allgemeine Einstellungen einen Anwendungsnamen und optional eine Beschreibung für die Anwendung ein.
Fügen Sie unter Umleitungs-URLs URLs hinzu, die bei der Authentifizierung und Abmeldung für Umleitungen zulässig sein sollen. Lassen Sie das Feld vorerst leer. Eine Callback-URL wird später hinzugefügt, nachdem der Authentifizierungsanbieter in Salesforce registriert wurde.
Konfigurieren Sie unter Standard-Anspruchszuordnung optional Claims mit Benutzerinformationen, die während der Authentifizierung von Active Directory an Salesforce übermittelt werden sollen. Diese Liste wird mit den Claims vorausgefüllt, die im Beispiel für den Registrierungshandler in der Salesforce-Dokumentation verwendet werden, siehe Erstellen einer Apex-Registrierungshandlerklasse. Claims können weiterhin hinzugefügt, entfernt oder angepasst werden, um Ihren Anforderungen zu entsprechen.
- Anspruch: Wählen Sie einen Namen aus der Liste vordefinierter Namen oder Benutzerdefiniert..., um einen benutzerdefinierten Namen einzugeben.
- AD-Attribut oder benutzerdefinierter Wert: Wählen Sie einen Wert aus der Liste der Active Directory-Attribute oder Benutzerdefiniert..., um einen benutzerdefinierten Namen einzugeben. Wenn ein AD-Attribut ausgewählt ist, wird der Claim bei der Authentifizierung mit Daten des Benutzers gefüllt. Wenn Benutzerdefiniert ausgewählt ist, wird ein fester Wert verwendet.
  
  Warnung
  
  Der Claim "sub" muss einem AD-Attribut zugeordnet werden, das unveränderlich ist und den Benutzer eindeutig identifiziert. Ordnen Sie "sub" niemals z. B. dem Attribut "mail" zu, da dies einem böswilligen Benutzer ermöglichen könnte, Zugriff auf das Konto eines anderen Benutzers zu erhalten. Der Claim "sub" wird standardmäßig "objectGUID" zugeordnet.
Klicken Sie auf Weiter: Gruppenanspruchszuordnung.

Hinweis

Die Standard-Claims, die unter Standard-Anspruchszuordnung hinzugefügt werden, werden immer an die vertrauende Partei gesendet. Die Gruppen-Claims, die unter Gruppenansprüche-Zuordnung eingegeben werden, sind zusätzliche Claims, die für Benutzer, die Mitglieder der ausgewählten AD-Gruppen sind, dem OIDC-Token hinzugefügt werden.

Diese Konfiguration steuert nicht, welche Benutzer auf die Anwendung zugreifen können. Der Zugriff auf die Anwendung wird über die Richtlinienkonfiguration gesteuert. Das bedeutet, dass Benutzer in den ausgewählten Gruppen auch in einer Richtlinie enthalten sein müssen, um auf die Anwendung zugreifen zu können.
Fügen Sie unter Neue Gruppenansprüche hinzufügen optional Claims für Sicherheitsgruppen hinzu. Geben Sie den Namen einer Gruppe in Active Directory ein und klicken Sie auf Hinzufügen.
Geben Sie einen oder mehrere Claims und Claim-Werte für die Gruppe ein und klicken Sie auf Speichern.
Klicken Sie auf Weiter: Richtlinienkonfiguration.

Hinweis

Die Richtlinienkonfiguration bestimmt, für welche Benutzer die Anwendungsrichtlinie gilt und welche Authentifizierungsregeln für sie erzwungen werden. Nur Benutzer, die in einer Richtlinie enthalten sind, dürfen auf die Anwendung zugreifen. Benutzer, die in keiner Richtlinie enthalten sind, haben keinen Zugriff.
Wählen Sie einen Richtlinien-Modus aus der Liste.
Wenn Sie Gruppenrichtlinie oder Beides als Richtlinienmodus ausgewählt haben, wählen Sie Ihr Salesforce-GPO aus der Liste Gruppenrichtlinienobjekte aus und klicken Sie auf Hinzufügen.
Klicken Sie neben dem hinzugefügten GPO auf Authentifizierungsregeln bearbeiten. Konfigurieren Sie die gewünschten Authentifizierungsregeln und klicken Sie auf Speichern.
Wenn Sie Cloud oder Beides als Richtlinienmodus ausgewählt haben, klicken Sie auf Konfigurieren und fügen Sie die Identitätsdienste hinzu, die Sie einbeziehen möchten.
Klicken Sie auf Ich bin fertig.
Auf der Seite Anmeldeinformationen der Anwendung werden die Anmeldeinformationen und URLs angezeigt, die möglicherweise benötigt werden, wenn Specops Authentication in Salesforce als Identitätsanbieter konfiguriert wird.
Kopieren Sie den Wert Aktueller Client-Secret-Schlüssel unter Client-ID und speichern Sie ihn für die spätere Verwendung. Dies ist der Client-Secret-Wert, der in die Konfiguration der vertrauenden Partei eingegeben werden muss.

Wichtig!

Der Wert Aktueller Client-Secret-Schlüssel wird nur einmal angezeigt. Nachdem Sie diese Seite verlassen haben, kann der Wert nicht erneut angezeigt oder kopiert werden.
Wenn Sie fertig sind, klicken Sie auf Schließen.

Informationen zum Rotieren und Widerrufen eines Client-Secret-Schlüssels finden Sie im nächsten Abschnitt.

Rotieren und Widerrufen eines Client-Secret-Schlüssels

Beim Rotieren wird ein neuer Aktueller Client-Secret-Schlüssel erstellt und der bisherige Client-Secret-Schlüssel bleibt vorübergehend verfügbar. Beim Widerrufen wird der alte Client-Secret-Schlüssel entfernt, sodass er nicht mehr verwendet werden kann. Verwenden Sie diese Optionen, um den aktuellen Client-Secret-Schlüssel zu ersetzen oder einen alten dauerhaft zu widerrufen.

Klicken Sie auf Anmeldedaten anzeigen neben der OIDC-Anwendung auf der Seite Konfigurierte Single Sign-On-Anwendungen.
Auf der Seite Anmeldeinformationen der Anwendung:
1. Klicken Sie auf Secret rotieren, um einen neuen Aktueller Client-Secret-Schlüssel zu erzeugen. Der vorherige aktuelle Client-Secret-Schlüssel wird zu einem alten Client-Secret-Schlüssel. Wenn bereits ein alter Secret-Schlüssel vorhanden ist, wird er ersetzt. Beide Secret-Schlüssel bleiben gültig, bis der alte Client-Secret-Schlüssel widerrufen oder durch eine weitere Rotation ersetzt wird.
2. Klicken Sie auf Altes Secret widerrufen, um den alten Client-Secret-Schlüssel dauerhaft zu entfernen. Nachdem er widerrufen wurde, kann der alte Secret-Schlüssel nicht mehr verwendet werden, und der neue Aktueller Client-Secret-Schlüssel bleibt aktiv.

Hinzufügen von Specops Authentication als neuem Authentifizierungsanbieter

Dies sind die Mindestschritte zum Hinzufügen der neuen OpenID Connect-Anwendung in Salesforce. Detaillierte Informationen finden Sie unter: https://help.salesforce.com/s/articleView?id=xcloud.sso_provider_openid_connect.htm&type=5

Erstellen einer Apex-Registrierungshandlerklasse

Sie müssen eine benutzerdefinierte Apex-Klasse erstellen, die steuert, wie neue Benutzerdatensätze erstellt oder verknüpft werden, wenn sich jemand mit OpenID Connect über Specops Authentication anmeldet.

Melden Sie sich bei Salesforce an, klicken Sie auf das Symbol Einstellungen und wählen Sie Erweiterte Einrichtung öffnen.
Geben Sie in Schnellsuche "Apex" ein und wählen Sie Apex-Klassen.
Klicken Sie auf Neu.
Geben Sie den Code zum Erstellen der Apex-Klasse ein. Ein Codebeispiel finden Sie unter https://developer.salesforce.com/docs/atlas.en-us.apexref.meta/apexref/apex_auth_plugin.htm#apex_auth_plugin_example. Klicken Sie anschließend auf Speichern.

Hinzufügen eines Authentifizierungsanbieters

Melden Sie sich bei Salesforce an. Geben Sie in Schnellsuche "auth" ein und wählen Sie Auth. Providers aus der Liste.
Klicken Sie auf Neu.
Wählen Sie Anbietertyp: Open ID Connect.
Geben Sie einen Namen ein, z. B. "sa".
Geben Sie für Consumer Key die Client-ID aus den Anwendungsanmeldeinformationen in Specops Authentication ein.
Geben Sie für Consumer Secret den Client-Secret-Schlüssel aus den Anwendungsanmeldeinformationen in Specops Authentication ein.
Geben Sie für Authorize, Token und User Info Endpoint URL die entsprechenden URLs aus Specops Authentication ein.
Geben Sie für Token Issuer den Aussteller aus Specops Authentication ein.
Geben Sie unter Custom Logout URL den Ende-Sitzung-Endpunkt aus Specops Authentication ein.
Wählen Sie Typ des Registrierungshandlers: Apex.
Klicken Sie auf die Suchschaltfläche neben Registrierungshandler und wählen Sie den zuvor erstellten Registrierungshandler aus.
Wählen Sie unter Registrierung ausführen als einen vorhandenen Benutzer aus.
Klicken Sie auf Speichern.
Kopieren Sie die Callback URL und speichern Sie sie zunächst. Sie fügen sie später zur OpenID Connect-Anwendung in Specops Authentication hinzu.

Hinzufügen der Umleitungs-URLs zur OpenID Connect-Anwendung

Melden Sie sich als Administrator bei Specops Authentication Web an.
Klicken Sie auf Single Sign-On.
Gehen Sie zu der zuvor für Salesforce erstellten OpenID Connect-Anwendung und klicken Sie auf Anwendung bearbeiten.
Fügen Sie unter Umleitungs-URLs die Callback URL aus Salesforce hinzu.
Klicken Sie auf Speichern.

Hinzufügen von Specops Authentication zur Anmeldeseite

Melden Sie sich bei Salesforce an. Geben Sie in Schnellsuche "Domain" ein und wählen Sie Meine Domain.
Klicken Sie unter Authentifizierungskonfiguration auf Bearbeiten.
Aktivieren Sie unter Authentifizierungsdienst das Kontrollkästchen neben dem zuvor erstellten Authentifizierungsanbieter.
Klicken Sie auf Speichern.