当 Salesforce 成为您销售、服务和客户运营的核心时，用户的登录方式就变得非常重要。

对于许多企业来说，用户和合作伙伴每天都要访问数十个云应用。如果每个系统都需要单独的用户名和密码，会导致密码疲劳、安全性降低以及 IT 支持负担加重。

实施单点登录可以为用户带来无缝的一键登录体验，同时增强安全性并减少 IT 运维负担。

本指南将介绍最常见的 Salesforce 单点登录（SSO）设置用例、受益对象、主要优势以及开始前需要考虑的事项。

本指南适用于全球 Salesforce 组织以及在中国运营或扩展的企业使用的阿里云上的Salesforce部署。

执行摘要：

1. Salesforce 单点登录（SSO）允许企业使用支持 SAML 2.0/OAuth 2.0 的中心身份提供商（IdP），让用户通过一个安全的企业登录访问 Salesforce（包括阿里云上的Salesforce），无需单独的密码。

2. 它通过集中认证、在 IdP 层面强制执行策略以及简化用户生命周期管理，实现更强的安全性与合规性、更流畅的员工/合作伙伴体验以及更低的 IT 运维负担。

3. Salesforce SSO 对于中大型、受监管企业以及在中国运营、需要让阿里云上的Salesforce融入一致且合规身份策略的品牌尤其有价值。

4. 成功实施依赖于正确的 IdP 选择、Salesforce 管理员权限以及清晰的身份与用户配置模型，随后分阶段上线。

5. 团队应预见身份不匹配、变更管理和 IdP 依赖等风险，应用安全最佳实践，并可与 IT Consultis 合作，在全球及中国环境下设计和维护强健的 Salesforce SSO 架构。

什么是 Salesforce 的单点登录（SSO）？

Salesforce 单点登录设置让用户可以用他们用于邮箱或其他系统的公司账号直接访问 Salesforce。

用户无需为 Salesforce 创建和记住单独的密码，而是只需登录一次中心登录系统（通常称为身份提供商，IdP）。该系统验证用户身份后，通知 Salesforce：“此人已通过验证，可以登录。”

Salesforce（用户想要访问的服务提供商）随后为该用户打开正确的账户。

简单来说：您用企业凭证登录一次后，就可以直接打开 Salesforce（以及其他已连接的应用），无需再次输入密码。

Salesforce SSO 的工作原理

典型的 Salesforce SSO 实施流程如下：

1. 用户使用常用企业凭证和多因素认证（MFA）登录公司的主登录系统（身份提供商，IdP）。
2. 当他们点击 Salesforce 应用（通过门户、应用启动器或书签）时，Salesforce 不会再要求输入单独的密码，而是后台与 IdP 通信。
3. IdP 确认一切安全——例如检查 MFA、设备状态（设备是否可信）、网络/位置及其他安全条件。
4. 如果一切通过，IdP 会向 Salesforce 发送一条安全、数字签名的消息——通常是（标准安全登录消息）或 OAuth 2.0 令牌（确认用户身份的安全访问令牌）。该消息包含用户的唯一标识（如邮箱、用户名或员工编号，映射到 Salesforce 的 Federation ID 或 Username 字段）。
5. Salesforce 使用该标识匹配正确的 Salesforce 账户并授予相应权限。

对用户来说，只需点击 Salesforce 即可直接进入。所有 IdP/SAML/OAuth 细节都在后台自动完成。d.

T采用 Salesforce 单点登录的主要优势

1. 更强的安全性与集中合规

对于金融服务、医疗、政府和上市公司等高度监管行业，通过 Salesforce SSO 集中认证是关键安全控制措施：

• 降低密码风险： 用户无需管理单独的 Salesforce 密码，减少弱密码、重复密码或被钓鱼的风险。
• 集中控制： 密码复杂度、MFA、锁定规则和会话策略都在 IdP 层面统一管理。
• 简化审计与合规： IdP 作为唯一权威的审计日志，便于满足 SOX（财务报告控制）、GDPR（欧盟数据保护）、HIPAA（医疗数据隐私）等标准及内部安全政策的合规要求。

2. 改善员工、合作伙伴和经销商体验

在中大型组织中，员工和外部合作伙伴已通过中心身份系统访问邮箱、VPN、内网等工具。将 SSO 扩展到 Salesforce 可实现：

• 一键访问： 用户用企业凭证登录一次后即可打开 Salesforce（及其他应用），无需重复输入密码。
• 更少阻碍： 不再有忘记 Salesforce 密码或多账号混淆的问题。
• 顺畅的合作伙伴/经销商访问： 可信合作伙伴可获得安全、无障碍的 Salesforce 门户访问，契合现有合同和合作等级。

3. 降低 IT 支持负担与简化用户管理

Salesforce SSO 设置完成后，IT 团队将受益于：

• 密码相关工单减少： “忘记密码”和登录相关支持请求大幅下降。
• 简化生命周期管理： 当用户在 IdP 被禁用或更新时，其 Salesforce 访问和权限可在一个地方统一控制。
• 角色与策略一致： 基于角色的访问和安全策略在 Salesforce 及其他企业系统间保持一致。

4. 运营效率与可扩展性

Salesforce SSO 还支持长期增长和转型：

• 简化应用集成： SSO 建立后，新增 Salesforce 组织或连接应用的流程更快、更可预测。
• 支持扩张与并购： 收购新团队或公司时，只需将其身份源接入 IdP，即可顺利纳入 Salesforce，无需重新设计访问方案。

Salesforce SSO 适用对象

Salesforce SSO 尤其适合：

• 中大型企业（100+员工）： 数百用户和多系统环境下，单独的 Salesforce 密码会带来高昂成本（密码重置工单）、高风险（弱/重复密码）和高运维负担（手动开通/停用）。通过 SSO 集中登录可降低这些负担并提升安全性。
• 有严格安全与合规要求的组织： 受监管行业通常需要集中身份与访问管理、强认证控制（MFA、条件访问、IP 限制）及详细访问日志。Salesforce SSO 提供统一的控制点和日志，便于执行和证明合规。

对于在中国运营或扩展的企业，尤其是为满足数据本地化和合规要求而使用阿里云上的Salesforce的企业，SSO 可确保中国用户与全球团队享有同样安全、无缝的登录体验。

在中国市场运营的受监管企业还应考虑使用 WeCom 消息归档功能，以高效管理与潜在客户、客户和合作伙伴的内部及外部沟通。

Salesforce SSO 设置的关键前提条件

在 Salesforce（服务提供商，SP）或身份提供商（IdP）中配置前，请确保以下基础已就绪：

1. 支持的身份提供商（IdP）

您需要一个支持 SAML 2.0 和/或 OAuth 2.0 的 IdP，例如 Okta、Microsoft Azure AD (Entra ID)、Ping Identity、OneLogin、ADFS，或开源身份与访问管理解决方案 Keycloak。

还需拥有该 IdP 的管理员权限，以便配置 Salesforce 连接（如上传证书、更新元数据、管理 SSO 设置等）。

2. Salesforce 管理员权限

您需要系统管理员或等效权限（如“修改所有数据”、“自定义应用”）来配置 Salesforce 的 SSO 设置。

包括生成自签名证书和元数据文件、设置服务提供商（SP）URL、定义回调 URL 以及为 SSO 连接配置加密和签名方式。

3. 明确的身份与用户配置策略

• 用户标识： 决定用哪个属性（邮箱、用户名、员工编号等）在 IdP 与 Salesforce 间匹配用户（如 Federation ID 或 Username）。
• 用户配置方式： 选择预配置用户（通过管理员或自动化提前创建）或即时（JIT）配置（用户首次 SSO 登录时自动在 Salesforce 创建账户）。JIT 也可用于自动更新用户信息。
• 备用策略： 规划当 IdP 不可用时，管理员如何仍可访问 Salesforce（如仅为少数管理员保留标准 Salesforce 登录）。这也支持后续分阶段上线。

入门建议：首次实施 Salesforce SSO 的实用建议

如果您首次考虑为 Salesforce 启用 SSO，前提条件就绪后，可采用简单的分阶段方法：

1. 从安全与合规目标出发。 明确启用 SSO 的原因：提升安全、简化访问、合规，或全部。
2. 确认并标准化 IdP 设置。 验证所选 IdP（见前提条件）支持 SAML/OAuth，配置正确，并能与现有系统集成——包括您在中国市场运行的阿里云上的Salesforce。
3. 与身份及 HR 数据模型对齐。 按前述身份与用户配置策略，确认用户如何被识别、配置和停用，以及各环节责任人。
4. 小范围试点。 先在有限用户组（如某部门）试点，验证策略、性能和用户体验。
5. 逐步推广至更多用户和应用。 Salesforce SSO 稳定后，将同一 IdP 访问方式扩展至其他关键业务系统。

最强烈的建议很简单：启用 SSO 并将其作为访问 Salesforce 的标准方式，同时为管理员保留受控的备用登录选项。

Salesforce SSO 的潜在挑战、局限及规避方法

从技术上讲，遵循最佳实践后，Salesforce SSO 设置并不复杂，但需注意以下几点：

• 身份不匹配： 如果 SAML 断言中的标识与 Salesforce 字段不匹配，用户将无法登录。提前规划身份映射可避免此问题。
• 变更管理： 从密码登录切换到 SSO 需清晰沟通和培训，让用户了解变化和时间表。
• 对单一系统依赖过高： 若 IdP 宕机，用户可能无法访问。因此必须为 Salesforce 保留受控的管理员备用登录。

还需注意一些局限和兼容性问题：

• Salesforce 支持现代 SSO 协议，如 SAML 2.0 和 OAuth 2.0。
• 无法支持这些协议的遗留或特殊应用，可能需额外集成或替代方案。
• 规划企业级 SSO 时，务必验证所有应用的协议支持，确保 Salesforce 能顺利融入整体架构。

此外，不能只关注初始设置。即使协议和集成都正确，只有配合强策略、会话控制和监控，Salesforce SSO 才能实现最大安全收益——详见下一节。

Salesforce SSO 的安全与合规最佳实践

要充分发挥 Salesforce SSO 的安全价值：

1. 在 IdP 层面强制执行强策略

• 有条件访问策略（如阻止高风险登录、要求可信设备/网络）。

2. 强化 Salesforce 会话设置

在 Salesforce 内部，配置会话安全以符合公司标准。

• 会话超时： 根据风险偏好设置合理的空闲会话时限（如 15–30 分钟）。
• 登录 IP 范围： 对敏感角色限制为公司网络或 VPN。
• 高安全操作： 访问敏感数据（如个人身份信息、财务信息）时，要求重新认证或额外检查。

3. 保持强审计与监控

• 定期审查 IdP 的认证日志。
• 监控异常登录行为（如不可能的旅行、异常时间、重复失败）。
• 将 Salesforce SSO 纳入定期访问审查和合规报告。

Salesforce Global 与阿里云上的Salesforce的单点登录

从 SSO 角度看，Salesforce Global 与阿里云上的Salesforce 没有本质区别。

• 原理一致：IdP 认证用户后向 Salesforce 发送断言。
• 配置模式——设置 SAML 或 OAuth、映射标识、测试——基本相同。

可能存在环境专属 URL 或区域性差异，但核心Salesforce SSO 实施方法保持一致。

当 Salesforce Global 与阿里云上的Salesforce需协同工作时

在许多企业环境下，往往不止一个 Salesforce 组织。例如：

• 需满足中国数据本地化与监管要求，中国用户用阿里云上的Salesforce，全球团队用 Salesforce Global。
• 希望两地用户都能获得一致的单点登录体验，尽管托管环境不同。
• 正在将 Salesforce 与企业微信（WeCom）集成，希望 SSO 能融入更广泛的生态。

此时，以全球与中国环境为一体设计 SSO，有助于统一身份、访问控制和用户体验。

IT Consultis (ITC) 是经认证的 Salesforce 合作伙伴，支持品牌进行全球 Salesforce 部署以及基于阿里巴巴云的 Salesforce 实施，尤其适用于在中国运营或计划拓展中国市场的组织。
 
我们帮助团队设计、实施和优化 Salesforce CRM，实现安全、合规与用户体验的平衡——包括作为现代集中身份战略一部分的Salesforce SSO 实施。
 
从架构设计、集成到上线和持续优化，我们与 CRM、销售和 IT 团队合作，让 Salesforce 部署更顺畅、更安全。