Zum Hauptinhalt springen

Salesforce-Integration: Einrichtung und Sicherheitsübersicht

Technischer Leitfaden für IT- und Sicherheitsteams zur Salesforce-Integration von Bliro: Authentifizierungsmodell, OAuth-Scopes mit Begründungen sowie Berechtigungen auf Tool-Ebene.

Verfasst von Martin Thoma

Dieser Leitfaden richtet sich an IT- und Sicherheitsteams, die Bliros Integration mit Salesforce bewerten. Er beschreibt das Authentifizierungsmodell, die Berechtigungen, die Bliro beim Consent anfordert, und wie Bliro Tool-Berechtigungen über seine KI-Agenten durchsetzt.

Überblick

Bliro verbindet sich mit Salesforce über benutzerdelegiertes OAuth 2.0. Bliro handelt im Auftrag des angemeldeten Nutzers und kann in Salesforce keine Aktion ausführen, die der Nutzer selbst nicht ausführen dürfte. Die Integration wird über Bliros Salesforce Connected App bereitgestellt.

  • Name der Connected App: Bliro

Funktionsweise der Integration

Wenn ein Nutzer Salesforce in Bliro verbindet, geschieht Folgendes:

  1. Bliro initiiert eine OAuth-2.0-Autorisierungsanfrage gegen login.salesforce.com.

  2. Der Nutzer meldet sich bei Salesforce an und genehmigt die angeforderten Scopes auf dem Bildschirm Allow Access.

  3. Salesforce stellt einen Access Token, einen Refresh Token sowie die Instanz-URL des Nutzers aus, alle gebunden an den angemeldeten Nutzer.

  4. Bliro verwendet den Access Token, um die Salesforce REST API auf der Instanz-URL der Home-Org des Nutzers in dessen Namen aufzurufen.

  5. Wenn der Access Token abläuft, erneuert Bliro ihn automatisch über den Refresh Token – so lange, bis der Nutzer die Verbindung trennt oder ein Administrator den Zugriff widerruft.

Alle Salesforce-Anfragen sind auf die Identität und die Salesforce-Berechtigungen des jeweiligen Nutzers beschränkt. Bliro hält niemals einen Integration-User- oder Application-Level-Credential gegen deine Salesforce-Org.

Voraussetzungen

  • Der Nutzer verfügt über eine gültige Salesforce-Lizenz mit API-Zugriff (Berechtigung API Enabled im Profile oder über ein Permission Set).

  • Deine Salesforce-Org erlaubt die Bliro Connected App. Wenn in der Org die Richtlinie "Admin approved users are pre-authorized" gilt, muss ein Administrator die Bliro Connected App zunächst für das Profile oder Permission Set des Nutzers freigeben, bevor dieser den OAuth-Flow abschließen kann.

  • Der Nutzer ist bei Bliro angemeldet.

Einrichtung: Bliro mit Salesforce verbinden

  1. Öffne in Bliro Integrations und wähle Salesforce.

  2. Klicke auf Connect. Bliro leitet dich zur Salesforce-Anmeldeseite weiter (login.salesforce.com).

  3. Melde dich mit deinen Salesforce-Zugangsdaten an.

  4. Prüfe auf dem Bildschirm Allow Access die angeforderten Berechtigungen und klicke auf Allow. Die angeforderten Berechtigungen sind im nächsten Abschnitt detailliert aufgeführt.

  5. Bliro leitet dich zurück zur Integrationsseite.

  6. Konfiguriere die Tools & Permissions, die Bliro in deinem Auftrag nutzen darf.

Angeforderte Berechtigungen (OAuth-Scopes)

Beim Consent fordert Bliro für die Salesforce-Integration genau die folgenden drei Scopes an. Jeder ist nachfolgend mit Zweck und Begründung aufgeführt.

Scope

Begründung

openid

Standard-OpenID-Connect-Scope. Erforderlich, um den Nutzer zu identifizieren und die Salesforce-Verbindung mit dem richtigen Bliro-Konto zu verknüpfen.

refresh_token

Erforderlich, damit Bliro einen Refresh Token erhalten kann, um den kurzlebigen Salesforce-Access-Token automatisch zu erneuern. Ohne diesen Scope müsste sich der Nutzer jedes Mal neu anmelden, sobald der Access Token abläuft – auch für Aktionen nach einem Meeting, die ausgeführt werden, nachdem der Nutzer die App bereits geschlossen hat. Dieser Scope gewährt selbst keinen zusätzlichen Datenzugriff.

api

Erforderlich, um die Salesforce REST API im Namen des angemeldeten Nutzers aufzurufen. Dieser Scope ermöglicht es Bliro, Salesforce-Datensätze zu lesen oder zu schreiben – jedoch stets strikt innerhalb der bestehenden Salesforce-Berechtigungen des Nutzers (Profile, Permission Sets, Sharing Rules und Field-Level Security). Bliro kann keine Datensätze lesen oder ändern, die der Nutzer selbst nicht lesen oder ändern dürfte.

Tools und Berechtigungen

Auch wenn der api-Scope gewährt wurde, führt Bliro standardmäßig keine Salesforce-Operation aus. Jede einzelne Aktion, die Bliro ausführen kann – zum Beispiel Read Account, Create Contact oder Update Opportunity – ist als Tool mit einer eigenen Berechtigungsstufe modelliert und wird von einem Organisationsadministrator konfiguriert.

Für Salesforce können Administratoren zusätzlich eigene Tools erstellen, indem sie ein beliebiges Salesforce-Objekt auswählen; Bliro generiert daraufhin automatisch die entsprechenden Read-, Create- und Update-Tools dafür.

Eine ausführliche Erläuterung des Tool-Modells, der Berechtigungsstufen, des Ablaufs der Berechtigungsabfrage sowie der Art und Weise, wie Bliro abgelehnte Tools durchsetzt, findest du unter AI Tools and Permissions.

Sicherheitsüberlegungen

  • Ausschließlich im Auftrag des Nutzers. Bliro hält niemals einen Integration-User- oder Application-Level-Credential gegen deine Salesforce-Org. Jeder API-Aufruf wird als der jeweilige Nutzer authentifiziert; Salesforce wendet bei jeder Anfrage dessen Profile, Permission Sets, Sharing Rules und Field-Level Security an.

  • Token-Speicherung. Refresh Tokens werden im Ruhezustand verschlüsselt gespeichert. Access Tokens sind kurzlebig und werden nur für die Dauer eines Vorgangs gehalten.

  • Auditierbarkeit in Salesforce. Da Bliro als der jeweilige Nutzer agiert, wird jeder Lese- und Schreibvorgang in Salesforce diesem Nutzer zugeordnet (Felder Created By / Last Modified By, Field History Tracking, Setup Audit Trail sowie – sofern lizenziert – Event Monitoring). Die Aktivität ist damit über die nativen Salesforce-Werkzeuge nachvollziehbar.

  • Anmelde- und Sitzungsrichtlinien der Org. Sämtliche Anmelde- oder Sitzungsrichtlinien deiner Org (Login IP Ranges, MFA, Sitzungs-Timeouts, Anmeldezeiten und Connected-App-Zugriffsrichtlinien) gelten gleichermaßen für Aufrufe durch Bliro.

Verbindung trennen und Zugriff widerrufen

Nutzer können Salesforce jederzeit auf der Integrationsseite in Bliro durch Klick auf Disconnect trennen. Dadurch wird der Refresh Token auf Bliro-Seite gelöscht und die Möglichkeit von Bliro beendet, Salesforce im Namen des Nutzers aufzurufen.

Darüber hinaus kann der Nutzer den Zugriff von Bliro direkt in Salesforce widerrufen unter Personal Settings → Advanced User Details → OAuth Connected Apps → Revoke. Administratoren können den Zugriff von Bliro org-weit widerrufen über Setup → Connected Apps OAuth Usage; dort kann die Bliro Connected App blockiert oder können die Tokens einzelner Nutzer widerrufen werden.

IT-Sicherheitsmaterial

Eine umfassendere Darstellung von Bliros Ansatz zu Sicherheit und Datenschutz findest du in unserem Trust Center.

Kontakt und Hilfe

Fragen zur Salesforce-Integration, zu den Scope-Begründungen oder zur zentralen Administration? Wende dich an [email protected].

Hat dies deine Frage beantwortet?