Tutorial: Configuración de Salesforce para el aprovisionamiento automático de usuarios
El objetivo de este tutorial es explicar los pasos que hay que realizar en Salesforce y Microsoft Entra ID para aprovisionar y cancelar automáticamente el aprovisionamiento de cuentas de usuario de Microsoft Entra ID en Salesforce.
Requisitos previos
En la situación descrita en este tutorial se supone que ya cuenta con los elementos siguientes:
Un inquilino de Microsoft Entra.
Un inquilino de Salesforce.com.
Un nombre de usuario y una contraseña de la cuenta de Salesforce y el token. En el futuro, si restablece la contraseña de la cuenta, Salesforce le proporciona un nuevo token y tendrá que editar la configuración de aprovisionamiento de Salesforce.
Un perfil de usuario personalizado en Salesforce. Una vez que haya creado un perfil personalizado en el portal de Salesforce, edite los permisos administrativos del perfil para habilitar lo siguiente:
API habilitada.
Administrar usuarios: habilitar esta opción habilita automáticamente lo siguiente: Asignar conjuntos de permisos, Administrar usuarios internos, Administrar direcciones IP, Administrar directivas de acceso de inicio de sesión, Administrar directivas de contraseña, Administrar perfiles y conjuntos de permisos, Administrar roles, Administrar uso compartido, Restablecer contraseñas de usuario y Desbloquear usuarios, Ver todos los usuarios, Ver roles y jerarquía, Ver configuración y configuración.
Vea también la documentación de Salesforce Crear o clonar perfiles.
Nota:
Asigne los permisos directamente al perfil. No agregue los permisos a través de conjuntos de permisos.
Nota:
Los roles no deben editarse manualmente en Microsoft Entra ID al realizar importaciones de roles.
Importante
Si utiliza una cuenta de prueba de Salesforce.com, no podrá configurar el aprovisionamiento automático de usuarios. Las cuentas de prueba no disponen del acceso necesario a la API habilitado hasta que se adquieren. Puede evitar esta limitación utilizando una cuenta gratuita de desarrollador para completar este tutorial.
Si está utilizando un entorno de espacio aislado de Salesforce, consulte el Tutorial de integración de espacio aislado de Salesforce.
Asignación de usuarios a Salesforce
Microsoft Entra ID usa un concepto denominado "asignaciones" para determinar qué usuarios deben obtener acceso a determinadas aplicaciones. En el contexto del aprovisionamiento automático de cuentas de usuarios solo se sincronizan los usuarios o grupos que se "asignan" a una aplicación en Microsoft Entra ID.
Antes de configurar y habilitar el servicio de aprovisionamiento, debe decidir qué usuarios o grupos de Microsoft Entra ID necesitan acceder a la aplicación de Salesforce. Puede asignar estos usuarios a la aplicación Salesforce siguiendo las instrucciones de: Asignación de un usuario o un grupo a una aplicación empresarial.
Sugerencias importantes para asignar usuarios a Salesforce
Se recomienda asignar un único usuario de Microsoft Entra a Salesforce para probar la configuración de aprovisionamiento. Más tarde, se pueden asignar otros usuarios o grupos.
Al asignar a un usuario a Salesforce, debe seleccionar un rol de usuario válido. El rol "Acceso predeterminado" no funciona con el aprovisionamiento.
Nota:
Esta aplicación importa los perfiles desde Salesforce como parte del proceso de aprovisionamiento, que el cliente puede seleccionar al asignar usuarios en Microsoft Entra ID. Tenga en cuenta que los perfiles que se importarán desde Salesforce aparecen como roles en Microsoft Entra ID.
Habilitación del aprovisionamiento automático de usuarios
Esta sección lo guiará para conectar su Microsoft Entra ID a la API de aprovisionamiento de cuentas de usuario de Salesforce - v40
Sugerencia
También puede decidir habilitar el inicio de sesión único basado en SAML para Salesforce siguiendo las instrucciones de Azure Portal. El inicio de sesión único puede configurarse independientemente del aprovisionamiento automático, aunque estas dos características se complementan entre sí.
Configurar el aprovisionamiento automático de cuentas de usuario
El objetivo de esta sección es describir cómo habilitar el aprovisionamiento de cuentas de usuario de Active Directory para Salesforce.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
Si ha configurado Salesforce para el inicio de sesión único, busque la instancia de Salesforce mediante el campo de búsqueda. En caso contrario, seleccione Agregar y busque Salesforce en la galería de aplicaciones. Seleccione Salesforce en los resultados de búsqueda y agréguelo a la lista de aplicaciones.
Seleccione la instancia de Salesforce y, después, seleccione la pestaña Aprovisionamiento.
Establezca el modo de aprovisionamiento en Automático.
En la sección Credenciales de administrador, proporcione los siguientes valores de configuración:
Como nombre de usuario del administrador, escriba un nombre de cuenta de espacio de Salesforce que tenga asignado el perfil Administrador del sistema en Salesforce.com.
En el cuadro de texto Contraseña de administrador, escriba la contraseña de esta cuenta.
Para obtener el token de seguridad de Salesforce, abra una nueva pestaña e inicie sesión en la misma cuenta de administrador de Salesforce. En la esquina superior derecha de la página, haga clic en su nombre y, a continuación, haga clic en Configuración.
En el panel de navegación izquierdo, haga clic en Mi información personal para expandir la sección relacionada y haga clic en Reset My Security Token (Restablecer mi token de seguridad).
En la página Reset Security Token (Restablecer token de seguridad), haga clic en el botón Reset Security Token (Restablecer token de seguridad).
Compruebe la bandeja de entrada de correo electrónico asociada a esta cuenta de administrador. Busque un correo electrónico de Salesforce.com que contenga el nuevo token de seguridad.
Copie el token, vaya a la ventana de Microsoft Entra y péguelo en el campo Token secreto.
Si la instancia de Salesforce está en la nube de administración pública de Salesforce, es obligatorio especificar un valor en URL de inquilino. De lo contrario, este valor es opcional. Escriba la dirección URL del inquilino con el formato de
https://<your-instance>.my.salesforce.com
, reemplazando<your-instance>
por el nombre de la instancia de Salesforce.Seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse a la aplicación Salesforce.
Escriba la dirección de correo electrónico de una persona o grupo que debe recibir las notificaciones de error aprovisionamiento en el campo Correo electrónico de notificación y active la casilla que aparece a continuación.
Haga clic en Save(Guardar).
En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con Salesforce.
En la sección Asignaciones de atributos, revise los atributos de usuario de Microsoft Entra ID que se sincronizan con Salesforce. Tenga en cuenta que los atributos seleccionados como propiedades de Coincidencia se usarán para buscar coincidencias con las cuentas de usuario de Salesforce con el objetivo de realizar operaciones de actualización. Seleccione el botón Guardar para confirmar los cambios.
Para habilitar el servicio de aprovisionamiento de Microsoft Entra para Salesforce, cambie el Estado de aprovisionamiento a Activado en la sección Configuración
Haga clic en Save(Guardar).
Nota:
Una vez que los usuarios están aprovisionados en la aplicación Salesforce, el administrador debe configurar los valores específicos del idioma para ellos. Consulte este artículo para obtener más detalles sobre la configuración del idioma.
Esta acción inicia la sincronización inicial de todos los usuarios y grupos asignados a Salesforce en la sección Usuarios y grupos. La sincronización inicial tarda más tiempo en realizarse que las posteriores, que se producen aproximadamente cada 40 minutos si se está ejecutando el servicio. Puede usar la sección Detalles de sincronización para supervisar el progreso y seguir los vínculos a los registros de actividad de aprovisionamiento, donde se describen todas las acciones que ha llevado a cabo el servicio de aprovisionamiento en la aplicación de Salesforce.
Para más información sobre cómo leer los registros de aprovisionamiento de Microsoft Entra, consulte Creación de informes sobre el aprovisionamiento automático de cuentas de usuario.
Problemas comunes
- Si tiene problemas para autorizar el acceso a Salesforce, asegúrese de lo siguiente:
- Las credenciales usadas tienen acceso de administrador a Salesforce.
- La versión de Salesforce que usa es compatible con el acceso web (por ejemplo, las ediciones Developer, Enterprise, Sandbox y Unlimited de Salesforce.)
- El acceso a la API web está habilitado para el usuario.
- El servicio de aprovisionamiento de Microsoft Entra admite el idioma de aprovisionamiento, la configuración regional y la zona horaria para un usuario. Estos atributos se encuentran en las asignaciones de atributos predeterminadas pero no tienen un atributo de origen predeterminado. Asegúrese de seleccionar el atributo de origen predeterminado y de que el atributo de origen esté en el formato esperado por SalesForce. Por ejemplo, localeSidKey para inglés (Estados Unidos) es en_US. Revise la guía proporcionada aquí para determinar el formato apropiado de localeSidKey. Los formatos de languageLocaleKey se pueden encontrar aquí. Además de garantizar que el formato sea correcto, es posible que deba asegurarse de que el idioma esté habilitado para sus usuarios como se describe aquí .
- SalesforceLicenseLimitExceeded: No se pudo crear el usuario en la aplicación de destino porque no hay licencias disponibles para este usuario. Puede adquirir licencias adicionales para la aplicación de destino o revisar las asignaciones de usuario y la configuración de asignación de atributos para asegurarse de que se asignan los atributos correctos a los usuarios correctos.
- SalesforceDuplicateUserName: No se puede aprovisionar al usuario porque tiene un 'Nombre de usuario' de Salesforce.com que está duplicado en otro inquilino de Salesforce.com. En Salesforce.com, los valores del atributo 'Nombre de usuario' deben ser únicos en todos los inquilinos de Salesforce.com. De forma predeterminada, el valor de userPrincipalName de un usuario en Microsoft Entra ID se convierte en su 'Nombre de usuario' en Salesforce.com. Tiene dos opciones. Una opción es buscar y cambiar el nombre del usuario con el duplicado 'Nombre de usuario' en el otro inquilino de Salesforce.com, si también administra ese otro inquilino. La otra opción es eliminar el acceso del usuario de Microsoft Entra al inquilino de Salesforce.com con el que está integrado su directorio. Se volverá a intentar esta operación en el siguiente intento de sincronización.
- SalesforceRequiredFieldMissing: Salesforce requiere que ciertos atributos estén presentes en el usuario para crear o actualizar el usuario correctamente. A este usuario le falta uno de los atributos requeridos. Asegúrese de que atributos como correo electrónico y alias se llenen en todos los usuarios que quiera que se aprovisionen en Salesforce. Puede buscar usuarios que no tengan estos atributos mediante filtros de alcance basados en atributos.
- La asignación de atributos predeterminada para el aprovisionamiento en Salesforce incluye la expresión SingleAppRoleAssignments para asignar appRoleAssignments en Microsoft Entra ID a ProfileName en Salesforce. Asegúrese de que los usuarios no tengan varias asignaciones de roles de aplicación en Microsoft Entra ID, ya que la asignación de atributos solo admite el aprovisionamiento de un rol.
- Salesforce requiere que las actualizaciones de correo electrónico se aprueben manualmente antes del cambio. Por tanto, es posible que vea varias entradas en los registros de aprovisionamiento para actualizar el correo electrónico del usuario (hasta que se haya aprobado el cambio de correo electrónico).