Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Salesforce in Microsoft Entra ID integrieren. Wenn Sie Salesforce in Microsoft Entra ID integrieren, können Sie:
- Kontrolle in Microsoft Entra ID, wer Zugriff auf Salesforce hat.
- Ermöglichen Sie es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei Salesforce angemeldet zu sein.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Hinweis
Aktualisiert: 24. Juni 2026 – Ab dem 29. Juni 2026 nimmt Microsoft Entra ID automatisch Claims für Authentication Method References (amr) und Authentication Context References (acr) in Token auf, die für SAML 2.0- und OpenID Connect (OIDC)-Anwendungen ausgestellt werden, die den v2.0-Endpunkt der Microsoft Identity Platform verwenden. Diese Ansprüche enthalten zusätzliche Informationen dazu, wie der Benutzer authentifiziert und der Authentifizierungskontext bei der Anmeldung erfüllt wurde. Für das einmalige Anmelden von Salesforce sind keine Konfigurationsänderungen in Microsoft Entra ID erforderlich. Um die MFA-Anforderungen von Salesforce zum Schutz vor Phishing für Salesforce-Administratoren zu erfüllen, sollten Kunden Microsoft Entra Conditional Access-Richtlinien implementieren, die für Anmeldungen von Salesforce-Administratoren phishingsichere Authentifizierungsmethoden erfordern.
Hinweis
Wir sind uns bewusst, dass Salesforce die Geräteaktivierungsänderungen für einmalige Sign-On (SSO)-Anmeldungen ab dem 3. Februar 2026 erzwungen hat. Wir haben eng mit dem Salesforce-Team zusammengearbeitet, und Ab dem 3. Februar wird Salesforce mit der Annahme des authnmethodreferences Anspruchs beginnen, der standardmäßig im SAML-Token enthalten ist, das von Entra ID ausgestellt wurde. Wenn der Anspruch "authnmethodreferences" den Wert "multipleauthn" enthält, behandelt Salesforce das Gerät als vertrauenswürdig. Stellen Sie sicher, dass Ihre Richtlinie für den bedingten Zugriff, die MFA erzwingt, für diese Anforderung konfiguriert ist. Weitere Informationen zu diesem Anspruch finden Sie in SAML Single Sign-On-Protokoll AuthnMethodReferences.
Für Kunden, die die OpenID Connect-Authentifizierung mit Salesforce verwenden oder Salesforce mit benutzerdefiniertem OpenID Connect-Anbieter konfiguriert haben, können Sie zurück zum Microsoft Identity Platform v2.0-Endpunkt wechseln. Der v2.0-Endpunkt sendet nun je nach Authentifizierung des Benutzers den amr-Anspruch im Token, wie von Salesforce benötigt.
Für Kunden, die AD FS mit Entra ID als Verbundanbieter verwenden, beachten Sie bitte den Leitfaden zu den für MFA erwarteten eingehenden Assertions für SAML 2.0-Verbund-IdPs, damit Entra ID diesen Anspruch im SAML-Token erhält.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Salesforce-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist
Beschreibung des Szenarios
In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
Salesforce unterstützt das SP-initiierte Single Sign-On.
Salesforce unterstützt die automatisierte Benutzerbereitstellung und Bereitstellungsaufhebung (empfohlen).
Salesforce unterstützt die Just-in-Time-Benutzerbereitstellung.
Salesforce Mobile-Anwendung kann jetzt mit Microsoft Entra ID für die Aktivierung von SSO konfiguriert werden. In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
Salesforce aus der Galerie hinzufügen
Um die Integration von Salesforce in Microsoft Entra ID zu konfigurieren, müssen Sie Salesforce aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
- Navigieren Sie zu Entra ID>Enterprise apps>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Salesforce in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich Salesforce aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365 Assistenten.
Konfigurieren und Testen Microsoft Entra SSO für Salesforce
Konfigurieren und testen Sie Microsoft Entra SSO mit Salesforce mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie einen Link zwischen dem Microsoft Entra Testbenutzer B.Simon und dem entsprechenden Benutzerkonto in Salesforce herstellen.
Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit Salesforce zu konfigurieren und zu testen:
-
Configure Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
- Erstellen Sie einen Microsoft Entra-Testbenutzer – um das Microsoft Entra-Single-Sign-On mit B.Simon zu testen.
- Weisen Sie den Microsoft Entra-Testbenutzer zu, damit B.Simon die Microsoft Entra-Einmalanmeldung verwenden kann.
-
Konfigurieren Sie Salesforce Single Sign-On - um die Einstellungen für das einmalige Anmelden auf der Anwendungsseite zu konfigurieren.
- Erstellen Sie einen Salesforce-Testbenutzer - um ein Gegenstück zu B.Simon in Salesforce zu haben, das mit der Microsoft-Entra-Darstellung des Benutzers verknüpft ist.
- SSO-Test - um zu überprüfen, ob die Konfiguration funktioniert
Konfigurieren Microsoft Entra SSO
Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise apps>Salesforce>Single sign-on.
Wählen Sie auf der Seite Einzelanmeldungsmethode auswählenSAML aus.
Wählen Sie auf der Seite Einmaliges Anmelden mit SAML einrichten das Symbol "Bearbeiten/Bleistift-Icon" für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.
Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein:
a) Geben Sie im Textfeld Bezeichner den Wert in folgendem Muster ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comb. Geben Sie im Textfeld Antwort-URL den Wert nach folgendem Muster ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comc. Geben Sie im Textfeld Anmelde-URL den Wert im folgenden Format ein:
Enterprise-Konto:
https://<subdomain>.my.salesforce.comDeveloper-Konto:
https://<subdomain>-dev-ed.my.salesforce.comHinweis
Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das Kundensupportteam von Salesforce, um diese Werte zu erhalten.
Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Kopieren Sie im Abschnitt Salesforce einrichten die entsprechenden URLs basierend auf Ihren Anforderungen.
Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers
Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.
Salesforce SSO konfigurieren
Melden Sie sich in einem anderen Webbrowserfenster bei der Salesforce-Unternehmenswebsite als Administrator an.
Wählen Sie das Symbol "Setup " unter "Einstellungen" in der oberen rechten Ecke der Seite aus.
Scrollen Sie im Navigationsbereich nach unten zu den EINSTELLUNGEN , und wählen Sie "Identität" aus, um den zugehörigen Abschnitt zu erweitern. Wählen Sie dann "Einzelne Sign-On Einstellungen" aus.
Wählen Sie auf der Seite "Einzel-Sign-On-Einstellungen " die Schaltfläche "Bearbeiten " aus.
Hinweis
Wenn Sie die Einstellungen für einmaliges Anmelden für Ihr Salesforce-Konto nicht aktivieren können, müssen Sie sich möglicherweise an das Salesforce-Clientsupportteam wenden.
Wählen Sie SAML Aktiviert und dann "Speichern" aus.
Um Ihre SAML-Einstellungen für einmaliges Anmelden zu konfigurieren, wählen Sie "Neu" aus der Metadatendatei aus.
Wählen Sie "Datei auswählen ", um die XML-Metadatendatei hochzuladen, die Sie heruntergeladen haben, und wählen Sie "Erstellen" aus.
Die Felder auf der Seite SAML Single Sign-On Settings werden automatisch aufgefüllt. Wenn Sie SAML JIT verwenden möchten, wählen Sie User Provisioning Enabled (Benutzerbereitstellung aktiviert) aus, und legen Sie SAML Identity Type (SAML-Identitätstyp) auf Assertion contains the Federation ID from the User object (Assertion enthält die Verbund-ID des Benutzerobjekts) fest. Andernfalls deaktivieren Sie die Option User Provisioning Enabled und legen SAML Identity Type auf Assertion contains the User‘s Salesforce username (Assertion enthält den Salesforce-Benutzernamen des Benutzers) fest. Wählen Sie Speichern aus.
Hinweis
Wenn Sie SAML JIT konfiguriert haben, müssen Sie die erforderlichen SAML-Tokenattribute im Abschnitt "Konfigurieren Microsoft Entra SSO" hinzufügen. Die Salesforce-Anwendung erwartet bestimmte SAML-Assertionen. Daher müssen Sie über bestimmte Attribute in ihrer Konfiguration der SAML-Tokenattribute verfügen. Der folgende Screenshot zeigt die Liste der Standardattribute von Salesforce:
Wenn weiterhin Probleme beim Bereitstellen von Benutzern mit SAML JIT auftreten, finden Sie weitere Informationen unter Just-in-Time-Bereitstellungsanforderungen und SAML-Assertionsfelder. Im Allgemeinen wird bei einem JIT-Fehler möglicherweise ein Fehler wie
We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.angezeigt.Wählen Sie im linken Navigationsbereich in Salesforce " Unternehmenseinstellungen " aus, um den zugehörigen Abschnitt zu erweitern, und wählen Sie dann "Meine Domäne" aus.
Scrollen Sie nach unten zum Abschnitt " Authentifizierungskonfiguration ", und wählen Sie die Schaltfläche "Bearbeiten " aus.
Überprüfen Sie im Abschnitt " Authentifizierungskonfiguration " die Anmeldeseite und AzureSSO als Authentifizierungsdienst Ihrer SAML-SSO-Konfiguration, und wählen Sie dann " Speichern" aus.
Hinweis
Wenn mehrere Authentifizierungsdienste aktiviert sind, werden Benutzer aufgefordert, einen Authentifizierungsdienst zur Anmeldung auszuwählen, wenn das einmalige Anmelden bei der Salesforce-Umgebung initiiert wird. Wenn Sie dies nicht möchten, sollten Sie alle anderen Authentifizierungsdienste deaktiviert lassen.
Erstellen eines Salesforce-Testbenutzers
In diesem Abschnitt wird ein Benutzer mit dem Namen B. Simon in Salesforce erstellt. Salesforce unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Falls ein Benutzer nicht bereits in Salesforce vorhanden ist, wird beim Versuch, auf Salesforce zuzugreifen, ein neuer Benutzer erstellt. Salesforce unterstützt auch die automatische Benutzerbereitstellung. Weitere Informationen finden Sie unter Konfigurieren der automatischen Benutzerbereitstellung von Salesforce.
SSO testen
In diesem Abschnitt testen Sie Ihre Microsoft Entra Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Salesforce-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.
Rufen Sie direkt die Salesforce-Anmelde-URL auf und initiieren Sie den Anmeldevorgang.
Sie können Microsoft Meine Apps verwenden. Wenn Sie die Salesforce-Kachel im Meine Apps-Portal auswählen, sollten Sie automatisch bei Salesforce angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen zum Meine Apps-Portal finden Sie unter Introduction zum Meine Apps Portal.
Testen von SSO für Salesforce (für mobile Geräte)
Führen Sie die folgenden Schritte aus, um SSO in der mobilen Salesforce-App zu testen:
Öffnen Sie die mobile Salesforce-Anwendung. Wählen Sie auf der Anmeldeseite die Option "Benutzerdefinierte Domäne verwenden" aus.
Geben Sie im Textfeld "Benutzerdefinierte Domäne " Ihren registrierten benutzerdefinierten Domänennamen ein, und wählen Sie "Weiter" aus.
Geben Sie Ihre Microsoft Entra Anmeldeinformationen ein, um sich bei der Salesforce-Anwendung anzumelden, und wählen Sie Next aus.
Wählen Sie auf der Seite "Zugriff zulassen" wie unten gezeigt die Option "Zulassen " aus, um Zugriff auf die Salesforce-Anwendung zu gewähren.
Schließlich wird nach erfolgreicher Anmeldung die Anwendungs-Homepage angezeigt.
Entdecken vorhandener Benutzer in Salesforce
Vor der Integration mit Microsoft Entra verfügt Ihr Salesforce-Konto möglicherweise bereits über einen oder mehrere Benutzer. Mithilfe der Kontoermittlungsfunktionalität können Sie einen Bericht aller Benutzer in Salesforce generieren, ermitteln, welche Benutzer übereinstimmende Konten in Entra haben und welche Benutzer mit nur einem Klick in Salesforce lokal sind. Weitere Informationen finden Sie unter Verwendung der Kontoermittlung für die Anwendungsbereitstellung. Auf diese Weise können Sie das Onboarding in Entra vereinfachen und gleichzeitig regelmäßig auf unbefugten Zugriff überwachen.
Verhindern des Anwendungszugriffs über lokale Konten
Nachdem Sie überprüft haben, dass SSO funktioniert und in Ihrer Organisation eingeführt wurde, empfehlen wir, den Anwendungszugriff mit lokalen Anmeldedaten zu deaktivieren. Dadurch wird sichergestellt, dass Ihre Richtlinien für bedingten Zugriff, MFA usw. vorhanden sind, um Anmeldungen bei Salesforce zu schützen.
Verwandte Inhalte
Wenn Sie über Enterprise Mobility + Security E5 oder eine andere Lizenz für Microsoft Defender for Cloud Apps verfügen, können Sie einen Überwachungspfad der Anwendungsaktivitäten in diesem Produkt sammeln, der beim Untersuchen von Warnungen verwendet werden kann. In Defender for Cloud Apps können Warnungen ausgelöst werden, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten nicht Ihren Richtlinien entsprechen. Durch das Verbinden von Microsoft Defender für Cloud Apps mit Salesforce werden Salesforce-Anmeldeereignisse von Defender für Cloud Apps erfasst.
Darüber hinaus können Sie die Sitzungssteuerung durchsetzen, die den Schutz vor Exfiltration und Infiltration sensibler Daten Ihrer Organisation in Echtzeit gewährleistet. Die Sitzungssteuerung erweitert den bedingten Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.