Konfigurieren von Salesforce für die automatische Benutzerbereitstellung mit Microsoft Entra-ID

Das Ziel dieses Artikels besteht darin, die Schritte zu zeigen, die erforderlich sind, um in Salesforce und Microsoft Entra ID auszuführen, um Benutzerkonten von Microsoft Entra ID automatisch in Salesforce bereitzustellen und zu deaktivieren.

Voraussetzungen

Das in diesem Artikel beschriebene Szenario geht davon aus, dass Sie bereits über die folgenden Elemente verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Einen Salesforce.com-Mandanten

• Ein Salesforce-Kontoname und ein Kennwort sowie das Token. Siehe Konfigurieren der automatischen Bereitstellung des Benutzerkontos, um zu erfahren, wie Sie das Token erhalten. Wenn Sie das Kontokennwort zurücksetzen, stellt Salesforce Ihnen zukünftig ein neues Token bereit, und Sie müssen die Salesforce-Bereitstellungseinstellungen bearbeiten.

• Ein benutzerdefiniertes Benutzerprofil in Salesforce für den Integrationsbenutzer. Sobald Sie ein benutzerdefiniertes Profil im Salesforce-Portal erstellt haben, bearbeiten Sie die administrativen Berechtigungen des Profils, um Folgendes zu aktivieren:

  • API aktiviert.

  • Benutzerverwaltung: Wenn Sie diese Option aktivieren, werden automatisch die folgenden Funktionen aktiviert: Berechtigungssätze zuweisen, Interne Benutzerinnen und Benutzer verwalten, IP-Adressen verwalten, Login-Zugangsrichtlinien verwalten, Kennwortrichtlinien verwalten, Profile und Berechtigungssätze verwalten, Rollen verwalten, Freigaben verwalten, Benutzerpasswörter zurücksetzen und Benutzerinnen und Benutzer freischalten, Alle Benutzerinnen und Benutzer anzeigen, Rollen und Hierarchie anzeigen, Setup und Konfiguration anzeigen.

  Weitere Informationen finden Sie in der Dokumentation Salesforce Erstellen oder Klonen von Profilen.

  Hinweis

  Weisen Sie die Berechtigungen direkt diesem Profil zu. Fügen Sie die Berechtigungen nicht über Berechtigungsgruppen hinzu.

Wichtig

Wenn Sie ein Salesforce.com Testkonto verwenden, können Sie die automatisierte Benutzerbereitstellung nicht konfigurieren. Testkonten verfügen nicht über den erforderlichen API-Zugriff, bis sie erworben wurden. Sie können diese Einschränkung umgehen, indem Sie ein kostenloses Entwicklerkonto verwenden, um diesen Artikel abzuschließen.

Wenn Sie eine Salesforce-Sandbox-Umgebung verwenden, lesen Sie den Artikel zur Salesforce-Sandbox-Integration.

Planen der Zuweisung von Benutzern zu Salesforce

Microsoft Entra ID ermittelt anhand von „Zuweisungen“, welche Benutzer*innen Zugriff auf ausgewählte Apps erhalten sollen. Im Kontext der automatischen Bereitstellung von Benutzer*innen werden nur die Benutzer*innen und/oder Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen sind.

Vor dem Konfigurieren und Aktivieren des Bereitstellungsdiensts müssen Sie entscheiden, welche Benutzer*innen oder Gruppen in Microsoft Entra ID Zugriff auf Ihre Salesforce-App benötigen.

Wichtige Tipps zum Zuweisen von Benutzern zu Salesforce

• Es wird empfohlen, dass einem einzelnen Microsoft Entra-Benutzer Salesforce zugewiesen ist, um die Bereitstellungskonfiguration zu testen. Weitere Benutzer und/oder Gruppen können später über die unter "Benutzer zuweisen" beschriebenen Mechanismen zugewiesen werden.

• Wenn Sie einen Benutzer zu Salesforce zuweisen, müssen Sie eine gültige Benutzerrolle auswählen. Die Rolle „Standardzugriff“ ist für Bereitstellungen nicht geeignet. Beachten Sie, dass für einige Rollen möglicherweise eine Lizenzierung in Salesforce erforderlich ist.

  Hinweis

  Im Rahmen des Bereitstellungsprozesses importiert Microsoft Entra Profile aus Salesforce. Die Profile, die aus Salesforce importiert werden, werden als Anwendungsrollen in der Microsoft Entra-ID angezeigt, sodass Sie beim Zuweisen von Benutzern in der Microsoft Entra-ID auswählen können. Wenn Sie Einem benutzerdefinierten Profil Benutzer zuweisen möchten, warten Sie, bis Profile aus Salesforce importiert werden, bevor Sie Einer Anwendung Benutzer zuweisen. Beachten Sie, dass die Anwendungsrollen bei Rollenimporten nicht manuell in der Microsoft Entra-ID bearbeitet werden sollten.

Identifizieren vorhandener Benutzer in Salesforce

Vor der Integration mit Microsoft Entra verfügt Ihr Salesforce-Konto möglicherweise bereits über einen oder mehrere Benutzer, die von einem Salesforce-Administrator oder anderen Prozessen erstellt wurden. Mithilfe des Salesforce-Exportdatenfeatures können Sie ermitteln, welche Benutzer bereits vorhanden sind. Weitere Informationen finden Sie unter Exportieren von Sicherungsdaten aus Salesforce. Stellen Sie beim Exportieren aus Salesforce sicher, dass User im exportierten Datensatz enthalten sind, und wählen Sie eine Exportdateicodierung aus, die alle Namen von Benutzern in der Organisation unterstützt, z. B. Unicode (UTF-8).

Nachdem Sie die exportierten Daten aus Salesforce exportiert haben, können Sie die User.csv Datei extrahieren und in Excel oder in PowerShell öffnen, um die Liste der aktiven Benutzer anzuzeigen, die sich bereits in Salesforce befinden.

import-csv .\User.csv | where {$_.IsActive -eq '1'}  | sort UserName | ft UserName

Aktivieren der automatisierten Benutzerbereitstellung

Dieser Abschnitt führt Sie durch das Verbinden Ihrer Microsoft Entra-ID mit der Bereitstellungs-API für Das Benutzerkonto von Salesforce – v40.

Tipp

Sie können auch das SAML-basierte einmalige Anmelden für Salesforce aktivieren. Befolgen Sie dazu die Anweisungen im Azure-Portal. Einmaliges Anmelden kann unabhängig von der automatischen Bereitstellung konfiguriert werden, obwohl diese beiden Features einander ergänzen.

Konfigurieren der automatischen Bereitstellung von Benutzerkonten

In diesem Abschnitt wird erläutert, wie Sie die Bereitstellung von Active Directory-Benutzerkonten für Salesforce aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps.

3. Wenn Sie Salesforce für einmaliges Anmelden konfiguriert haben, suchen Sie über das Suchfeld nach Ihrer Salesforce-Instanz. Wählen Sie andernfalls Hinzufügen aus, und suchen Sie im Anwendungskatalog nach Salesforce. Wählen Sie „Salesforce“ in den Suchergebnissen aus, und fügen Sie die Anwendung Ihrer Anwendungsliste hinzu.

4. Wählen Sie Ihre Salesforce-Instanz aus, und wählen Sie dann die Registerkarte Bereitstellung aus.

5. Legen Sie den Bereitstellungsmodus auf Automatisch fest.

   

6. Geben Sie im Abschnitt Administratoranmeldeinformationen die folgenden Konfigurationseinstellungen an:

   1. Geben Sie im Textfeld Administratorbenutzername den Namen eines Salesforce-Kontos ein, dem das Profil Systemadministrator in „Salesforce.com“ zugewiesen ist.

   2. Geben Sie im Textfeld Administratorkennwort das Kennwort für dieses Konto ein.

7. Um Ihr Salesforce-Sicherheitstoken abzurufen, öffnen Sie eine neue Registerkarte, und melden Sie sich mit dem gleichen Salesforce-Administratorkonto an. Wählen Sie in der oberen rechten Ecke der Seite Ihren Namen und dann "Einstellungen" aus.

   

8. Wählen Sie im linken Navigationsbereich "Meine persönlichen Informationen " aus, um den zugehörigen Abschnitt zu erweitern, und wählen Sie dann "Mein Sicherheitstoken zurücksetzen" aus.

   

9. Wählen Sie auf der Seite " Sicherheitstoken zurücksetzen " die Schaltfläche " Sicherheitstoken zurücksetzen " aus.

   

10. Überprüfen Sie den E-Mail-Posteingang dieses Administratorkontos. Achten Sie auf eine E-Mail von Salesforce.com, die das neue Sicherheitstoken enthält.

11. Kopieren Sie das Token, wechseln Sie zu Ihrem Microsoft Entra-Fenster, und fügen Sie es in das Feld Geheimes Token ein.

12. Die Mandanten-URL muss eingegeben werden, wenn sich die Instanz von Salesforce in der Salesforce Government Cloud befindet. Andernfalls ist sie optional. Geben Sie die Mandanten-URL im Format „https://<your-instance>.my.salesforce.com“ ein. Ersetzen Sie dabei „<your-instance>“ durch den Namen Ihrer Salesforce-Instanz.

13. Wählen Sie Verbindung testen aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Ihrer Salesforce-App herstellen kann.

14. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das unten gezeigte Kontrollkästchen.

15. Wählen Sie "Speichern" aus.

16. Wählen Sie im Abschnitt „Zuordnungen“ die Option Microsoft Entra-Benutzer mit Salesforce synchronisieren aus.

17. Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit Salesforce synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Salesforce für Updatevorgänge verwendet werden. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

18. Um den Microsoft Entra-Bereitstellungsdienst für Salesforce zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt „Einstellungen“ in Ein.

19. Wählen Sie "Speichern" aus.

Hinweis

Nachdem die Benutzer in der Salesforce-Anwendung bereitgestellt wurden, muss der Administrator die sprachspezifischen Einstellungen für diese Benutzer konfigurieren. Weitere Informationen zur Sprachkonfiguration finden Sie in diesem Artikel.

Dadurch wird die Erstsynchronisierung aller Benutzer und/oder Gruppen gestartet, die Salesforce im Abschnitt „Benutzer und Gruppen“ zugewiesen sind. Die Erstsynchronisierung dauert länger als nachfolgende Synchronisierungen, die ungefähr alle 40 Minuten erfolgen, solange der Dienst ausgeführt wird.

Überwachung

Im Abschnitt Synchronisierungsdetails können Sie den Fortschritt überwachen und Links zu Protokollen zur Bereitstellungsaktivität aufrufen. Darin sind alle Aktionen aufgeführt, die vom Bereitstellungsdienst in Ihrer Salesforce-App ausgeführt werden.

Weitere Informationen zum Lesen der Microsoft Entra-Bereitstellungsprotokolle finden Sie unter Meldung zur automatischen Bereitstellung von Konten für Benutzer*innen.

Benutzer zuweisen

Sobald die Tests abgeschlossen sind und ein Benutzer erfolgreich für Salesforce bereitgestellt wird, sollten Sie sicherstellen, dass allen anderen Benutzern, die Salesforce benötigen, die Anwendungsrollen zugewiesen sind. Dazu gehören alle Benutzer, die derzeit über aktive Konten in Salesforce verfügen, wie im Abschnitt "Identifizieren vorhandener Benutzer in Salesforce" beschrieben. Sie können diese und alle weiteren autorisierten Benutzer der Salesforce-Anwendung in Microsoft Entra zuweisen, indem Sie eine der hier aufgeführten Anweisungen befolgen:

• Sie können im Microsoft Entra Admin Center jeden einzelnen Benutzer der Anwendung zuweisen.
• Sie können der Anwendung einzelne Benutzer über Microsoft Graph oder das PowerShell-Cmdlet New-MgServicePrincipalAppRoleAssignedTozuweisen oder
• Wenn Ihre Organisation über eine Lizenz für Microsoft Entra ID Governance verfügt, können Sie auch Berechtigungsverwaltungsrichtlinien für die Automatisierung der Zugriffszuweisung bereitstellen, Aufgaben hinzufügen oder entfernen, wenn Personen der Organisation beitreten oder Rollen verlassen oder ändern. Sie können ein Zugriffspaket für die Berechtigungsverwaltung für diese Anwendung erstellen. Sie können auch Richtlinien einrichten, dass Benutzer der Zugriff entweder auf Anforderung, von Administratoren, automatisch anhand von Regeln oder über Lebenszyklus-Workflows zugewiesen wird.

Wenn Benutzer, die der Anwendung zugewiesen sind, in der Microsoft Entra-ID aktualisiert werden, werden diese Änderungen automatisch an Salesforce bereitgestellt.

Häufige Probleme

• Wenn Sie Probleme beim Aktivieren der Bereitstellung für Salesforce haben, überprüfen Sie, dass Folgendes erfüllt ist:
  • Die verwendeten Anmeldeinformationen bieten Administratorzugriff auf Salesforce.
  • Die version von Salesforce, die Sie verwenden, unterstützt Web Access (z. B. Developer, Enterprise, Sandbox und Unlimited editions of Salesforce.)
  • Der Web-API-Zugriff ist für den Benutzer aktiviert.
• Der Microsoft Entra-Bereitstellungsdienst unterstützt die Sprache, das Gebietsschema und die Zeitzone der Bereitstellung für Benutzer*innen. Diese Attribute befinden sich in den Standard-Attributzuordnungen, verfügen aber nicht über ein Standardquell-Attribut. Stellen Sie sicher, dass Sie das Standardquellattribut auswählen und dass das Quellattribut das Format hat, das von Salesforce erwartet wird. Beispielsweise hat „localeSidKey“ für „english(UnitedStates)“ den Wert „en_US“. Überprüfen Sie die hier bereitgestellte Anleitung, um das richtige localeSidKey-Format zu ermitteln. Die languageLocaleKey-Formate finden Sie hier. Zusätzlich zum richtigen Format müssen Sie möglicherweise auch sicherstellen, dass die Sprache für die Benutzer aktiviert ist, wie hier beschrieben.
• SalesforceLicenseLimitExceeded: Der Benutzer konnte in Salesforce nicht erstellt werden, weil keine Lizenzen für diesen Benutzer verfügbar sind. Erwerben Sie entweder zusätzliche Lizenzen für die Zielanwendung, oder überprüfen Sie Ihre Benutzerzuweisungen , um sicherzustellen, dass die richtigen Benutzer zugewiesen sind.
• SalesforceDuplicateUserName: Der Benutzer kann nicht bereitgestellt werden, da er einen Salesforce.com "Benutzername" aufweist, der in einem anderen Salesforce.com Mandanten dupliziert ist.  In Salesforce.com müssen Werte für das Username-Attribut für alle Salesforce.com-Mandanten eindeutig sein.  Standardmäßig wird der userPrincipalName-Wert von Benutzer*innen in Microsoft Entra ID zum Benutzernamen (Username) in Salesforce.com.  Sie haben zwei Möglichkeiten.  Eine Möglichkeit besteht darin, den Benutzer mit dem doppelten „Username“ im anderen Salesforce.com-Mandanten zu suchen und umzubenennen, wenn Sie diesen anderen Mandanten ebenfalls verwalten.  Die andere Möglichkeit ist das Entfernen des Zugriffs von Microsoft Entra-Benutzers*innen auf den Salesforce.com-Mandanten, in den Ihr Verzeichnis integriert ist. Dieser Vorgang wird beim nächsten Synchronisierungsversuch wiederholt.
• SalesforceRequiredFieldMissing: Für Salesforce müssen bestimmte Attribute des Benutzers vorhanden sein, damit der Benutzer erfolgreich erstellt oder aktualisiert werden kann. Für diesen Benutzer fehlt eines der erforderlichen Attribute. Stellen Sie sicher, dass Attribute wie „email“ und „alias“ für alle Benutzer aufgefüllt werden, die Sie in Salesforce bereitstellen möchten. Sie können Benutzer, für die diese Attribute nicht vorhanden sind, mithilfe attributbasierter Bereichsfilter ausschließen.
• Die Standardattributzuordnung für die Bereitstellung in Salesforce enthält den Ausdruck „SingleAppRoleAssignments“, um „appRoleAssignments“ in Microsoft Entra ID zu „ProfileName“ in Salesforce zuzuordnen. Stellen Sie sicher, dass die Benutzer nicht über mehrere App-Rollenzuweisungen in der Microsoft Entra-ID verfügen, da die Attributzuordnung nur die Bereitstellung einer Rolle unterstützt. Wenn Sie über eine Gruppe von Benutzern verfügen, denen die Gruppe einer Rolle zugewiesen ist, kann ein Mitglied dieser Gruppe keine direkte Zuweisung zur Salesforce-Anwendung mit einer anderen Rolle haben.
• Salesforce erfordert, dass E-Mail-Updates manuell genehmigt werden, bevor sie geändert werden. Folglich werden möglicherweise mehrere Einträge in den Bereitstellungsprotokollen angezeigt, um die E-Mail des Benutzers zu aktualisieren (bis die E-Mail-Änderung genehmigt wurde).

Zusätzliche Ressourcen

• Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
• Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?
• Konfigurieren des einmaligen Anmeldens