Wie bei vielen anderen authentifizierten Websites auch, können Sie sich auch bei Salesforce mit einem alternativen Konto, etwa mit Ihrem Google-Konto, anmelden. Die Bereitstellung erfolgt durch OpenID Connect. In unserem Beispiel wird dieser als OpenId Identity Provider von Google konfiguriert.
Wie bei vielen anderen authentifizierten Websites auch, können Sie sich auch bei Salesforce mit einem alternativen Konto, etwa mit Ihrem Google-Konto, anmelden. Die Bereitstellung erfolgt durch OpenID Connect. In unserem Beispiel wird dieser als OpenId Identity Provider von Google konfiguriert.
Single Sign-On (SSO)
Überblick
Mit der Verbreitung von SaaS und anderen webbasierten Anwendungen wird das Identity Management ein wichtiges Anliegen für Unternehmen. Denken Sie nur an die Vielzahl von Benutzernamen und Passwörtern, die Sie täglich eingeben: Netzwerke, Portale, Webmail, Vorteil Systeme, Google Apps, maßgeschneiderte Anwendungen und natürlich Force.com Anwendungen. Jetzt multiplizieren Sie dies durch die Anzahl der Nutzer in Ihrem Unternehmen und denken an die aufwendige Administration und den Sicherheitsaspekt. Sie benötigen dedizierte Ressourcen, die eine lange Liste an Aufgaben bearbeiten müssen: Verwaltung Ihres Identitätsspeichers, Beantworten von Kennwortrücksetzanforderungen, Bereitstellung neuer Benutzer für jedes System und Deaktivierung von Benutzern, die keinen Zugriff mehr benötigen. Mit Single Sign-On könnten Sie 25 - 50 % Ihrer Passwörter und Ihrer damit verbundenen Kosten beseitigen!
Vorteile von Single Sign-On (SSO)
- Reduzierung der Verwaltungskosten: Mit SSO müssen Benutzer nur einmal Ihr Passwort eingeben und können Netzwerkressourcen, externe Apps und Salesforce sofort verwenden. Beim Zugriff auf Salesforce außerhalb des Unternehmensnetzwerks loggen sich Benutzer ganz einfach über das Firmennetzwerk ein. Mit weniger Passwörtern erhalten Systemadministratoren weniger Anfragen, um vergessene Passwörter zurückzusetzen.
- Investitionen nutzen: Viele Unternehmen nutzen eine zentrale LDAP-Datenbank, um Benutzeridentitäten zu verwalten. Sie können die Salesforce-Authentifizierung an dieses System delegieren. Werden Benutzer aus dem LDAP-System entfernt, können diese nicht mehr auf Salesforce zugreifen. Selbiges gilt für Mitarbeiter, die das Unternehmen verlassen.
- Zeitersparnis: Im Durchschnitt benötigen Benutzer 5 bis 20 Sekunden, um sich bei einer Online App anzumelden. Es kann länger dauern, wenn sie ihren Benutzernamen oder Passwort vergessen und es neu vergeben müssen. Mit SSO entfällt das manuelle Einloggen bei Salesforce. Die Produktivität erhöht sich und der Frust bleibt aus.
- Steigende Benutzerakzeptanz: Durch die einmalge Passworteingabe wird Salesforce regelmäßiger verwendet. Benutzer können E-Mails versenden, die Links zu Informationen in Salesforce enthalten, wie z. B. Datensätze und Berichte. Wenn der E-Mail Empfänger auf diese Links klickt, wird die entsprechende Salesforce-Seite direkt geöffnet.
- Erhöhte Sicherheit: Alle Kennwortrichtlinien, die Sie für Ihr Firmennetzwerk eingerichtet haben, sind für Salesforce gültig. Das Senden einer Authentifizierungsberechtigung, die nur für ein einziges Mal gültig ist, erhöht auch die Sicherheit für Benutzer, die Zugriff auf sensible Daten haben.
Registrieren Sie eine Google APP als oAuth Client
Erstellen Sie eine Registration Handler-Klasse
- Gehen Sie zu Ihrer Google Entwicklerkonsole: https://console.developers.google.com/project.
- Unter Credentials, neue Credential erstellen "OAuth Client ID".
- Im Application Type wählen Sie "Web Application".
- Benennen Sie das Projekt um und speichern Sie es.
Konfiguration Single Sign-On
Erstellen Sie eine Registration Handler-Klasse (Apex Klasse)
Wenn wir uns bei OpenID anmelden, müssen die Daten, die wir vom Authentifizierungsanbieter erhalten, bearbeitet werden. Hierbei gilt es, diejenigen herauszufiltern, die zu unseren Benutzern gehören. Unten stehend finden Sie ein Beispiel für einen einfachen Registrierungs-Handler, der basierend auf eine E-Mail den dazugehörigen Benutzer anzeigt.
/**
* @author: Ahmed Abdelhamed(Cloud Consulting Group GmbH)
* @email:support@cloudconsulting24.com
* @Updated Date: (10.09.2017)
*/
public class GoogleOpenIdRegistrationHandler implements Auth.RegistrationHandler{
public User createUser(Id portalId, Auth.UserData data){
//get a user with the same email as the Open Id user
User u = [SELECT Id FROM User WHERE Email = :data.email LIMIT 1];
return u;
}
public void updateUser(Id userId, Id portalId, Auth.UserData data){
//todo: we can do something when they login if needed
}
}
Stellen Sie Ihren Authentifizierungsanbieter in Salesforce ein
- Klicken Sie auf den Button "Setup" im Salesforce. Geben Sie anschließend "Auth Providers" im Quick Find ein.
- Geben Sie "Name" und "Url Suffix" ein.
- Setzen Sie den Consumer Key als "Client-ID" fest (aus Ihrem Google-Projekt).
- Geben Sie im Authorize Endpoint folgende URL ein: accounts.google.com/o/oauth2/auth.
- Geben Sie im Token Endpoint folgende URL ein: accounts.google.com/o/oauth2/token.
- Geben Sie im User Info Endpoint folgende URL ein: www.googleapis.com/oauth2/v3/userinfo.
- Geben Sie im Default Scopes als Texteingabe "email openid profile" ein. Dies definiert, welche Daten –via der Authentifizierung – von Google angefordert werden.
- Wählen Sie die zuvor erstellte Registration Handler-Klasse aus.
- Legen Sie einen Admin-Benutzer als "Execute" ein, und speichern Sie ihn dann.
Klasse Update Authentication Provider Details zum Google Projekt
Bearbeiten Sie in Ihrem Google-Projekt die URL des berechtigten Rückrufs und geben Sie die Callback-URL aus dem Salesforce-Auth ein.
Erstellen Sie eine Domäne und fügen Sie den Authentifizierungsdienst hinzu
- Klicken Sie auf den Button "Setup" in Salesforce. Geben Sie anschließend "Domain Management" im Quick Find ein.
- Klicken Sie auf "My Domain". Es kann ein paar Minuten dauern bis diese aktiviert wird.
- Login und Bereitstellung der "My Domain".
- Jetzt können Sie das Zugangslogo editieren und haben die Möglichkeit, einen neuen Authentifizierungsdienst hinzuzufügen – nämlich den Authentifizierungsanbieter den Sie zuvor erstellt haben.
Mit der neuen My Domain-URL können Ihre Benutzer die Schaltfläche "Login" mit Google auswählen und Single Sign-On zu Salesforce mit ihrem Google-Konto erleben.
Zusammenfassung
Single Sign-On ist eine Funktion, die mehrere Anwendungen über ein Passwort verbindet. Das zeitaufwendige An- und Abmelden mit komplexen Passwörtern, einhergehend mit einem steigenden Sicherheitsrisiko Ihrer Daten, gehört damit endlich der Zeitgeschichte an. Mittels der Single Sign-On Technologie gestaltet sich das Arbeiten für Sie und Ihre Mitarbeiter wesentlich einfacher, schneller und sicherer.