Konfigurieren Sie Salesforce für die einmalige Anmeldung mit Microsoft Entra ID.

In diesem Artikel erfahren Sie, wie Sie Salesforce in Microsoft Entra ID integrieren. Wenn Sie Salesforce in Microsoft Entra ID integrieren, können Sie:

  • Kontrolle in Microsoft Entra ID, wer Zugriff auf Salesforce hat.
  • Ermöglichen Sie es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei Salesforce angemeldet zu sein.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Hinweis

Aktualisiert: 24. Juni 2026 – Ab dem 29. Juni 2026 nimmt Microsoft Entra ID automatisch Claims für Authentication Method References (amr) und Authentication Context References (acr) in Token auf, die für SAML 2.0- und OpenID Connect (OIDC)-Anwendungen ausgestellt werden, die den v2.0-Endpunkt der Microsoft Identity Platform verwenden. Diese Ansprüche enthalten zusätzliche Informationen dazu, wie der Benutzer authentifiziert und der Authentifizierungskontext bei der Anmeldung erfüllt wurde. Für das einmalige Anmelden von Salesforce sind keine Konfigurationsänderungen in Microsoft Entra ID erforderlich. Um die MFA-Anforderungen von Salesforce zum Schutz vor Phishing für Salesforce-Administratoren zu erfüllen, sollten Kunden Microsoft Entra Conditional Access-Richtlinien implementieren, die für Anmeldungen von Salesforce-Administratoren phishingsichere Authentifizierungsmethoden erfordern.

Hinweis

Wir sind uns bewusst, dass Salesforce die Geräteaktivierungsänderungen für einmalige Sign-On (SSO)-Anmeldungen ab dem 3. Februar 2026 erzwungen hat. Wir haben eng mit dem Salesforce-Team zusammengearbeitet, und Ab dem 3. Februar wird Salesforce mit der Annahme des authnmethodreferences Anspruchs beginnen, der standardmäßig im SAML-Token enthalten ist, das von Entra ID ausgestellt wurde. Wenn der Anspruch "authnmethodreferences" den Wert "multipleauthn" enthält, behandelt Salesforce das Gerät als vertrauenswürdig. Stellen Sie sicher, dass Ihre Richtlinie für den bedingten Zugriff, die MFA erzwingt, für diese Anforderung konfiguriert ist. Weitere Informationen zu diesem Anspruch finden Sie in SAML Single Sign-On-Protokoll AuthnMethodReferences.

Für Kunden, die die OpenID Connect-Authentifizierung mit Salesforce verwenden oder Salesforce mit benutzerdefiniertem OpenID Connect-Anbieter konfiguriert haben, können Sie zurück zum Microsoft Identity Platform v2.0-Endpunkt wechseln. Der v2.0-Endpunkt sendet nun je nach Authentifizierung des Benutzers den amr-Anspruch im Token, wie von Salesforce benötigt.

Für Kunden, die AD FS mit Entra ID als Verbundanbieter verwenden, beachten Sie bitte den Leitfaden zu den für MFA erwarteten eingehenden Assertions für SAML 2.0-Verbund-IdPs, damit Entra ID diesen Anspruch im SAML-Token erhält.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Salesforce-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • Salesforce unterstützt das SP-initiierte Single Sign-On.

  • Salesforce unterstützt die automatisierte Benutzerbereitstellung und Bereitstellungsaufhebung (empfohlen).

  • Salesforce unterstützt die Just-in-Time-Benutzerbereitstellung.

  • Salesforce Mobile-Anwendung kann jetzt mit Microsoft Entra ID für die Aktivierung von SSO konfiguriert werden. In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

Um die Integration von Salesforce in Microsoft Entra ID zu konfigurieren, müssen Sie Salesforce aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Salesforce in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Salesforce aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365 Assistenten.

Konfigurieren und Testen Microsoft Entra SSO für Salesforce

Konfigurieren und testen Sie Microsoft Entra SSO mit Salesforce mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie einen Link zwischen dem Microsoft Entra Testbenutzer B.Simon und dem entsprechenden Benutzerkonto in Salesforce herstellen.

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit Salesforce zu konfigurieren und zu testen:

  1. Configure Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    • Erstellen Sie einen Microsoft Entra-Testbenutzer – um das Microsoft Entra-Single-Sign-On mit B.Simon zu testen.
    • Weisen Sie den Microsoft Entra-Testbenutzer zu, damit B.Simon die Microsoft Entra-Einmalanmeldung verwenden kann.
  2. Konfigurieren Sie Salesforce Single Sign-On - um die Einstellungen für das einmalige Anmelden auf der Anwendungsseite zu konfigurieren.
  3. SSO-Test - um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren Microsoft Entra SSO

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise apps>Salesforce>Single sign-on.

  3. Wählen Sie auf der Seite Einzelanmeldungsmethode auswählenSAML aus.

  4. Wählen Sie auf der Seite Einmaliges Anmelden mit SAML einrichten das Symbol "Bearbeiten/Bleistift-Icon" für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Bearbeiten der SAML-Basiskonfiguration

  5. Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein:

    a) Geben Sie im Textfeld Bezeichner den Wert in folgendem Muster ein:

    Enterprise-Konto: https://<subdomain>.my.salesforce.com

    Developer-Konto: https://<subdomain>-dev-ed.my.salesforce.com

    b. Geben Sie im Textfeld Antwort-URL den Wert nach folgendem Muster ein:

    Enterprise-Konto: https://<subdomain>.my.salesforce.com

    Developer-Konto: https://<subdomain>-dev-ed.my.salesforce.com

    c. Geben Sie im Textfeld Anmelde-URL den Wert im folgenden Format ein:

    Enterprise-Konto: https://<subdomain>.my.salesforce.com

    Developer-Konto: https://<subdomain>-dev-ed.my.salesforce.com

    Hinweis

    Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das Kundensupportteam von Salesforce, um diese Werte zu erhalten.

  6. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Downloadlink für das Zertifikat

  7. Kopieren Sie im Abschnitt Salesforce einrichten die entsprechenden URLs basierend auf Ihren Anforderungen.

    Kopieren der Konfiguration-URL(s)

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Salesforce SSO konfigurieren

  1. Melden Sie sich in einem anderen Webbrowserfenster bei der Salesforce-Unternehmenswebsite als Administrator an.

  2. Wählen Sie das Symbol "Setup " unter "Einstellungen" in der oberen rechten Ecke der Seite aus.

    Symbol zum Konfigurieren der Einstellungen für einmaliges Anmelden

  3. Scrollen Sie im Navigationsbereich nach unten zu den EINSTELLUNGEN , und wählen Sie "Identität" aus, um den zugehörigen Abschnitt zu erweitern. Wählen Sie dann "Einzelne Sign-On Einstellungen" aus.

    Konfigurieren der Einstellungen für einmaliges Anmelden

  4. Wählen Sie auf der Seite "Einzel-Sign-On-Einstellungen " die Schaltfläche "Bearbeiten " aus.

    Bearbeitung der Single Sign-On Konfiguration

    Hinweis

    Wenn Sie die Einstellungen für einmaliges Anmelden für Ihr Salesforce-Konto nicht aktivieren können, müssen Sie sich möglicherweise an das Salesforce-Clientsupportteam wenden.

  5. Wählen Sie SAML Aktiviert und dann "Speichern" aus.

    Einmaliges Anmelden mit SAML aktivieren

  6. Um Ihre SAML-Einstellungen für einmaliges Anmelden zu konfigurieren, wählen Sie "Neu" aus der Metadatendatei aus.

    Single Sign-On neu aus Metadatendatei konfigurieren

  7. Wählen Sie "Datei auswählen ", um die XML-Metadatendatei hochzuladen, die Sie heruntergeladen haben, und wählen Sie "Erstellen" aus.

    Konfigurieren des Single Sign-On: Datei auswählen

  8. Die Felder auf der Seite SAML Single Sign-On Settings werden automatisch aufgefüllt. Wenn Sie SAML JIT verwenden möchten, wählen Sie User Provisioning Enabled (Benutzerbereitstellung aktiviert) aus, und legen Sie SAML Identity Type (SAML-Identitätstyp) auf Assertion contains the Federation ID from the User object (Assertion enthält die Verbund-ID des Benutzerobjekts) fest. Andernfalls deaktivieren Sie die Option User Provisioning Enabled und legen SAML Identity Type auf Assertion contains the User‘s Salesforce username (Assertion enthält den Salesforce-Benutzernamen des Benutzers) fest. Wählen Sie Speichern aus.

    Single Sign-On mit aktivierter Benutzerbereitstellung konfigurieren

    Hinweis

    Wenn Sie SAML JIT konfiguriert haben, müssen Sie die erforderlichen SAML-Tokenattribute im Abschnitt "Konfigurieren Microsoft Entra SSO" hinzufügen. Die Salesforce-Anwendung erwartet bestimmte SAML-Assertionen. Daher müssen Sie über bestimmte Attribute in ihrer Konfiguration der SAML-Tokenattribute verfügen. Der folgende Screenshot zeigt die Liste der Standardattribute von Salesforce:

    Screenshot: Bereich „Erforderliche JIT-Attribute“

    Wenn weiterhin Probleme beim Bereitstellen von Benutzern mit SAML JIT auftreten, finden Sie weitere Informationen unter Just-in-Time-Bereitstellungsanforderungen und SAML-Assertionsfelder. Im Allgemeinen wird bei einem JIT-Fehler möglicherweise ein Fehler wie We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help. angezeigt.

  9. Wählen Sie im linken Navigationsbereich in Salesforce " Unternehmenseinstellungen " aus, um den zugehörigen Abschnitt zu erweitern, und wählen Sie dann "Meine Domäne" aus.

    Konfigurieren des einmaligen Anmeldens: My Domain (Meine Domäne)

  10. Scrollen Sie nach unten zum Abschnitt " Authentifizierungskonfiguration ", und wählen Sie die Schaltfläche "Bearbeiten " aus.

    Single Sign-On-Authentifizierung konfigurieren

  11. Überprüfen Sie im Abschnitt " Authentifizierungskonfiguration " die Anmeldeseite und AzureSSO als Authentifizierungsdienst Ihrer SAML-SSO-Konfiguration, und wählen Sie dann " Speichern" aus.

    Hinweis

    Wenn mehrere Authentifizierungsdienste aktiviert sind, werden Benutzer aufgefordert, einen Authentifizierungsdienst zur Anmeldung auszuwählen, wenn das einmalige Anmelden bei der Salesforce-Umgebung initiiert wird. Wenn Sie dies nicht möchten, sollten Sie alle anderen Authentifizierungsdienste deaktiviert lassen.

Erstellen eines Salesforce-Testbenutzers

In diesem Abschnitt wird ein Benutzer mit dem Namen B. Simon in Salesforce erstellt. Salesforce unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Falls ein Benutzer nicht bereits in Salesforce vorhanden ist, wird beim Versuch, auf Salesforce zuzugreifen, ein neuer Benutzer erstellt. Salesforce unterstützt auch die automatische Benutzerbereitstellung. Weitere Informationen finden Sie unter Konfigurieren der automatischen Benutzerbereitstellung von Salesforce.

SSO testen

In diesem Abschnitt testen Sie Ihre Microsoft Entra Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Salesforce-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.

  • Rufen Sie direkt die Salesforce-Anmelde-URL auf und initiieren Sie den Anmeldevorgang.

  • Sie können Microsoft Meine Apps verwenden. Wenn Sie die Salesforce-Kachel im Meine Apps-Portal auswählen, sollten Sie automatisch bei Salesforce angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen zum Meine Apps-Portal finden Sie unter Introduction zum Meine Apps Portal.

Testen von SSO für Salesforce (für mobile Geräte)

Führen Sie die folgenden Schritte aus, um SSO in der mobilen Salesforce-App zu testen:

  1. Öffnen Sie die mobile Salesforce-Anwendung. Wählen Sie auf der Anmeldeseite die Option "Benutzerdefinierte Domäne verwenden" aus.

    Mobile Salesforce-App: Use Custom Domain (Benutzerdefinierte Domäne verwenden)

  2. Geben Sie im Textfeld "Benutzerdefinierte Domäne " Ihren registrierten benutzerdefinierten Domänennamen ein, und wählen Sie "Weiter" aus.

    Benutzerdefinierte Domain der Salesforce Mobile-App

  3. Geben Sie Ihre Microsoft Entra Anmeldeinformationen ein, um sich bei der Salesforce-Anwendung anzumelden, und wählen Sie Next aus.

    Salesforce mobile App Microsoft Entra Anmeldeinformationen

  4. Wählen Sie auf der Seite "Zugriff zulassen" wie unten gezeigt die Option "Zulassen " aus, um Zugriff auf die Salesforce-Anwendung zu gewähren.

    Mobile Salesforce-App: Allow Access (Zugriff zulassen)

  5. Schließlich wird nach erfolgreicher Anmeldung die Anwendungs-Homepage angezeigt.

    Startseite der mobilen Salesforce-App Mobile Salesforce-App

Entdecken vorhandener Benutzer in Salesforce

Vor der Integration mit Microsoft Entra verfügt Ihr Salesforce-Konto möglicherweise bereits über einen oder mehrere Benutzer. Mithilfe der Kontoermittlungsfunktionalität können Sie einen Bericht aller Benutzer in Salesforce generieren, ermitteln, welche Benutzer übereinstimmende Konten in Entra haben und welche Benutzer mit nur einem Klick in Salesforce lokal sind. Weitere Informationen finden Sie unter Verwendung der Kontoermittlung für die Anwendungsbereitstellung. Auf diese Weise können Sie das Onboarding in Entra vereinfachen und gleichzeitig regelmäßig auf unbefugten Zugriff überwachen.

Verhindern des Anwendungszugriffs über lokale Konten

Nachdem Sie überprüft haben, dass SSO funktioniert und in Ihrer Organisation eingeführt wurde, empfehlen wir, den Anwendungszugriff mit lokalen Anmeldedaten zu deaktivieren. Dadurch wird sichergestellt, dass Ihre Richtlinien für bedingten Zugriff, MFA usw. vorhanden sind, um Anmeldungen bei Salesforce zu schützen.

Wenn Sie über Enterprise Mobility + Security E5 oder eine andere Lizenz für Microsoft Defender for Cloud Apps verfügen, können Sie einen Überwachungspfad der Anwendungsaktivitäten in diesem Produkt sammeln, der beim Untersuchen von Warnungen verwendet werden kann. In Defender for Cloud Apps können Warnungen ausgelöst werden, wenn Benutzer-, Administrator- oder Anmeldeaktivitäten nicht Ihren Richtlinien entsprechen. Durch das Verbinden von Microsoft Defender für Cloud Apps mit Salesforce werden Salesforce-Anmeldeereignisse von Defender für Cloud Apps erfasst.

Darüber hinaus können Sie die Sitzungssteuerung durchsetzen, die den Schutz vor Exfiltration und Infiltration sensibler Daten Ihrer Organisation in Echtzeit gewährleistet. Die Sitzungssteuerung erweitert den bedingten Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.