Kurz: Konfigurace Salesforce pro automatické zřizování uživatelů

  • Článek

Cílem tohoto kurzu je ukázat kroky potřebné k provedení v Salesforce a Microsoft Entra ID k automatickému zřizování a rušení zřizování uživatelských účtů z Microsoft Entra ID do Salesforce.

Požadavky

Scénář popsaný v tomto kurzu předpokládá, že již máte následující:

  • Tenant Microsoft Entra
  • Tenant Salesforce.com

Poznámka:

Role by neměly být při importu rolí ručně upravovány v MICROSOFT Entra ID.

Důležité

Pokud používáte Salesforce.com zkušební účet, nebudete moct nakonfigurovat automatizované zřizování uživatelů. Zkušební účty nemají povolený potřebný přístup k rozhraní API, dokud nebudou zakoupeny. Toto omezení můžete obejít pomocí bezplatného vývojářského účtu k dokončení tohoto kurzu.

Pokud používáte prostředí sandboxu Salesforce, přečtěte si kurz integrace sandboxu Salesforce.

Přiřazení uživatelů k Salesforce

Microsoft Entra ID používá koncept nazvaný "přiřazení" k určení, kteří uživatelé by měli přijímat přístup k vybraným aplikacím. V kontextu automatického zřizování uživatelských účtů se synchronizují jenom uživatelé a skupiny, které jsou "přiřazené" k aplikaci v Microsoft Entra ID.

Před konfigurací a povolením služby zřizování musíte rozhodnout, kteří uživatelé nebo skupiny v Microsoft Entra ID potřebují přístup k vaší aplikaci Salesforce. Tyto uživatele můžete přiřadit k aplikaci Salesforce podle pokynů v části Přiřazení uživatele nebo skupiny k podnikové aplikaci.

Důležité tipy pro přiřazování uživatelů k Salesforce

  • K otestování konfigurace zřizování se doporučuje, aby byl k Salesforce přiřazen jeden uživatel Microsoft Entra. Později může být přiřazeno více uživatelů nebo skupin.

  • Při přiřazování uživatele k Salesforce musíte vybrat platnou roli uživatele. Pro zřizování nefunguje role Výchozí přístup.

    Poznámka:

    Tato aplikace importuje profily ze salesforce v rámci procesu zřizování, který zákazník může chtít vybrat při přiřazování uživatelů v Microsoft Entra ID. Upozorňujeme, že profily, které se importují ze Salesforce, se zobrazují jako role v Microsoft Entra ID.

Povolení automatizovaného zřizování uživatelů

Tato část vás provede propojením ID Microsoft Entra s rozhraním API pro zřizování uživatelských účtů Salesforce – v40.

Tip

Můžete se také rozhodnout povolit jednotné přihlašování založené na SAML pro Salesforce podle pokynů uvedených na webu Azure Portal. Jednotné přihlašování je možné nakonfigurovat nezávisle na automatickém zřizování, i když se tyto dvě funkce vzájemně doplňují.

Konfigurace automatického zřizování uživatelských účtů

Cílem této části je nastínit, jak povolit zřizování uživatelských účtů služby Active Directory pro Salesforce.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím> identit.>

  3. Pokud jste nakonfigurovali Salesforce pro jednotné přihlašování, vyhledejte instanci Salesforce pomocí vyhledávacího pole. V opačném případě vyberte Přidat a vyhledejte Salesforce v galerii aplikací. Ve výsledcích hledání vyberte Salesforce a přidejte ho do seznamu aplikací.

  4. Vyberte svou instanci Salesforce a pak vyberte kartu Zřizování .

  5. Nastavte Režim zřizování na hodnotu Automaticky.

    Screenshot shows the Salesforce Provisioning page, with Provisioning Mode set to Automatic and other values you can set.

  6. V části Správa Přihlašovací údaje zadejte následující nastavení konfigurace:

    1. Do textového pole Správa Uživatelské jméno zadejte název účtu Salesforce, který má profil system Správa istrator v Salesforce.com přiřazen.

    2. Do textového pole Správa Heslo zadejte heslo pro tento účet.

  7. Pokud chcete získat token zabezpečení Salesforce, otevřete novou kartu a přihlaste se ke stejnému účtu správce Salesforce. V pravém horním rohu stránky klikněte na své jméno a potom klikněte na Nastavení.

    Screenshot shows the Settings link selected.

  8. V levém navigačním podokně klikněte na Moje osobní údaje , rozbalte související oddíl a potom klepněte na tlačítko Obnovit token zabezpečení.

    Screenshot shows Reset My Security Token selected from My Personal Information.

  9. Na stránce Resetovat token zabezpečení klikněte na tlačítko Resetovat token zabezpečení.

    Screenshot shows the Rest Security Token page, with explanatory text and the option to Reset Security Token

  10. Zaškrtněte e-mailovou schránku přidruženou k tomuto účtu správce. Vyhledejte e-mail z Salesforce.com, který obsahuje nový token zabezpečení.

  11. Zkopírujte token, přejděte do okna Microsoft Entra a vložte ho do pole Tajný token .

  12. Adresa URL tenanta by se měla zadat, pokud je instance Salesforce v cloudu Salesforce Government. V opačném případě je nepovinný. Zadejte adresu URL tenanta ve formátu "https://< your-instance.my.salesforce.com>" a <nahraďte instanci> názvem vaší instance Salesforce.

  13. Vyberte testovací Připojení ion, abyste zajistili, že se ID Microsoft Entra může připojit k vaší aplikaci Salesforce.

  14. Do pole E-mail s oznámením zadejte e-mailovou adresu osoby nebo skupiny, která by měla dostávat oznámení o chybách zřizování, a zaškrtněte následující políčko.

  15. Klikněte na Uložit.

  16. V části Mapování vyberte Synchronizovat uživatele Microsoft Entra do Salesforce.

  17. V části Mapování atributů zkontrolujte atributy uživatele, které jsou synchronizovány z Microsoft Entra ID do Salesforce. Všimněte si, že atributy vybrané jako odpovídající vlastnosti se používají ke shodě uživatelských účtů v Salesforce pro operace aktualizace. Výběrem tlačítka Uložit potvrďte provedené změny.

  18. Pokud chcete povolit službu zřizování Microsoft Entra pro Salesforce, změňte stav zřizování na Zapnuto v části Nastavení.

  19. Klikněte na možnost Uložit.

Poznámka:

Jakmile se uživatelé zřídí v aplikaci Salesforce, musí správce nakonfigurovat pro ně konkrétní nastavení jazyka. Další podrobnosti o konfiguraci jazyka najdete v tomto článku.

Tím se spustí počáteční synchronizace všech uživatelů nebo skupin přiřazených k Salesforce v části Uživatelé a skupiny. Počáteční synchronizace trvá déle než následné synchronizace, ke kterým dochází přibližně každých 40 minut, pokud je služba spuštěná. Pomocí oddílu Podrobnosti synchronizace můžete sledovat průběh a sledovat odkazy na protokoly aktivit zřizování, které popisují všechny akce prováděné službou zřizování v aplikaci Salesforce.

Další informace o tom, jak číst protokoly zřizování Microsoft Entra, najdete v tématu Vytváření sestav o automatickém zřizování uživatelských účtů.

Běžné problémy

  • Pokud máte problémy s autorizací přístupu k Salesforce, zkontrolujte následující:
    • Použité přihlašovací údaje mají přístup správce k Salesforce.
    • Verze Salesforce, kterou používáte, podporuje Webový access (např. edice Developer, Enterprise, Sandbox a Unlimited).
    • Pro uživatele je povolený přístup k webovému rozhraní API.
  • Služba zřizování Microsoft Entra pro uživatele podporuje zřizovací jazyk, národní prostředí a časové pásmo. Tyto atributy jsou ve výchozím mapování atributů, ale nemají výchozí zdrojový atribut. Ujistěte se, že jste vybrali výchozí zdrojový atribut a že zdrojový atribut je ve formátu očekávaném SalesForce. Například localeSidKey pro angličtinu (Spojené státy) je en_US. Projděte si pokyny uvedené tady a určete správný formát localeSidKey. Formáty languageLocaleKey naleznete zde. Kromě toho, aby byl formát správný, možná budete muset zajistit, aby byl jazyk povolený pro vaše uživatele, jak je popsáno zde.
  • SalesforceLicenseLimitExceeded: V cílové aplikaci nelze vytvořit uživatele, protože pro tohoto uživatele nejsou k dispozici žádné licence. Buď si opatřte další licence pro cílovou aplikaci, nebo zkontrolujte přiřazení uživatelů a konfiguraci mapování atributů, abyste měli jistotu, že jsou správné uživatele přiřazené správnými atributy.
  • SalesforceDuplicateUserName: Uživatele nelze zřídit, protože má Salesforce.com uživatelské jméno, které je duplikováno v jiném tenantovi Salesforce.com.  V Salesforce.com musí být hodnoty atributu Username jedinečné pro všechny tenanty Salesforce.com.  Ve výchozím nastavení se uživatelské jméno uživatele v Microsoft Entra ID stane jeho uživatelské jméno v Salesforce.com.  Máte dvě možnosti.  Jednou z možností je vyhledat a přejmenovat uživatele s duplicitním uživatelským jménem v druhém Salesforce.com tenantovi, pokud ho spravujete i v jiném tenantovi.  Druhou možností je odebrat přístup od uživatele Microsoft Entra do tenanta Salesforce.com, se kterým je váš adresář integrovaný. Tuto operaci budeme opakovat při dalším pokusu o synchronizaci.
  • SalesforceRequiredFieldMissing: Salesforce vyžaduje, aby uživatel úspěšně vytvořil nebo aktualizoval určité atributy. Tento uživatel chybí jeden z požadovaných atributů. Ujistěte se, že jsou atributy, jako je e-mail a alias, vyplněné pro všechny uživatele, které chcete zřídit v Salesforce. Pomocí filtrů oborů založených na atributech můžete nastavit rozsah uživatelů, kteří tyto atributy nemají.
  • Výchozí mapování atributů pro zřizování pro Salesforce zahrnuje výraz SingleAppRoleAssignments pro mapování appRoleAssignments v Microsoft Entra ID na ProfileName v Salesforce. Ujistěte se, že uživatelé nemají v MICROSOFT Entra ID více přiřazení rolí aplikace, protože mapování atributů podporuje pouze zřizování jedné role.
  • Salesforce vyžaduje, aby se aktualizace e-mailů před změnou schválily ručně. V důsledku toho se může v protokolech zřizování zobrazit více položek, které aktualizují e-mail uživatele (dokud se změna e-mailu neschválila).

Další materiály