Partager via


Tutoriel : Configurer Salesforce pour l’approvisionnement automatique d’utilisateurs

L’objectif de ce tutoriel est de montrer les étapes que vous devez effectuer dans Salesforce et Microsoft Entra ID pour approvisionner et désapprovisionner automatiquement les comptes utilisateur de Microsoft Entra ID vers Salesforce.

Prérequis

Le scénario décrit dans ce didacticiel part du principe que vous disposez des éléments suivants :

  • Un locataire Microsoft Entra.

  • Un locataire Salesforce.com.

  • Un nom d’utilisateur et un mot de passe de compte Salesforce ainsi que le jeton. À l’avenir, si vous réinitialisez le mot de passe du compte, Salesforce vous fournit un nouveau jeton et vous devrez modifier les paramètres d’approvisionnement Salesforce.

  • Un profil utilisateur personnalisé dans Salesforce. Une fois que vous avez créé un profil personnalisé dans le portail Salesforce, modifiez les autorisations d’administration du profil pour activer les éléments suivants :

    • API activée.

    • Gérer les utilisateurs : L’activation de cette option active automatiquement les jeux d’autorisations suivants : Affecter des ensembles d’autorisations, gérer les adresses IP internes UsersManage (Gestion d’utilisateurs), gérer les stratégies d’accès aux connexions, gérer les stratégies de mot de passe de connexion, gérer les profils et les jeux d’autorisations, gérer les rôles, gérer le partage, réinitialiser les mots de passe des utilisateurs et déverrouiller les utilisateurs, afficher tous les utilisateurs, afficher les rôles et la hiérarchie, afficher la configuration.

N’hésitez pas à consulter également la documentation Salesforce Créer ou cloner des profils.

Remarque

Attribuez les autorisations directement au profil. N’ajoutez pas les autorisations via des jeux d’autorisations.

Remarque

Les rôles ne doivent pas être modifiés manuellement dans Microsoft Entra ID lors de l’importation des rôles.

Important

Si vous utilisez un compte d’essai Salesforce.com, vous ne pouvez pas configurer l’approvisionnement automatique des utilisateurs. Les comptes d’essai n’ont pas l’accès d’API requis tant qu’ils ne sont pas achetés. Vous pouvez contourner cette limitation en utilisant un compte de développeur gratuit pour suivre ce didacticiel.

Si vous utilisez un environnement Salesforce Sandbox, consultez la page Didacticiel d’intégration à Salesforce Sandbox.

Assigner des utilisateurs à Salesforce

Microsoft Entra ID utilise un concept appelé « attributions » pour déterminer les utilisateurs devant recevoir un accès aux applications sélectionnées. Dans le cadre de l’approvisionnement automatique des comptes d’utilisateurs, seuls les utilisateurs et les groupes qui sont « attribués » à une application dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d’activer le service d’approvisionnement, vous devez déterminer quels utilisateurs ou groupes dans Microsoft Entra ID ont besoin d’accéder à votre application Salesforce. Vous pouvez attribuer ces utilisateurs à votre application Salesforce en suivant les instructions fournies dans Attribuer un utilisateur ou un groupe à une application d’entreprise

Conseils importants concernant l’assignation d’utilisateurs à Salesforce

  • Il est recommandé qu’un seul utilisateur Microsoft Entra soit affecté à Salesforce pour tester la configuration de l’approvisionnement. Vous pouvez affecter plus tard d’autres utilisateurs et/ou groupes.

  • Lorsque vous assignez un utilisateur à Salesforce, vous devez sélectionner un rôle d’utilisateur valide. Le rôle « Accès par défaut » ne fonctionne pas pour l’approvisionnement

    Remarque

    Cette application importe des profils à partir de Salesforce dans le cadre du processus d’approvisionnement. Il est possible que le client souhaite sélectionner ce processus lors de l’affectation des utilisateurs dans Microsoft Entra ID. Veuillez noter que les profils qui sont importés à partir de Salesforce apparaissent en tant que rôles dans Microsoft Entra ID

Activer l’approvisionnement automatique des utilisateurs

Cette section vous guide dans la connexion de votre Microsoft Entra ID à l’API d’approvisionnement de compte d’utilisateur de Salesforce - v40

Conseil

Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour Salesforce en suivant les instructions fournies dans le Portail Azure. L’authentification unique peut être configurée indépendamment de l’approvisionnement automatique, bien que ces deux fonctionnalités se complètent.

Configurer l’approvisionnement automatique d’un compte utilisateur

Cette section décrit comment activer l’approvisionnement des utilisateurs des comptes d’utilisateurs Active Directory sur Salesforce.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise.

  3. Si vous avez configuré Salesforce pour l’authentification unique, recherchez votre instance Salesforce à l’aide du champ de recherche. Sinon, sélectionnez Ajouter et effectuer une recherche pour Salesforce dans la galerie d’applications. Dans les résultats de la recherche, sélectionnez Salesforce, puis ajoutez-le à votre liste d’applications.

  4. Sélectionnez votre instance de Salesforce, puis sélectionnez l’onglet Approvisionnement.

  5. Définissez le Mode d’approvisionnement sur Automatique.

    Capture d’écran montrant la page d’approvisionnement Salesforce, avec le Mode d’approvisionnement défini sur Automatique et d’autres valeurs que vous pouvez définir.

  6. Dans la section Informations d’identification de l’administrateur, fournissez les paramètres de configuration suivants :

    1. Dans la zone de texte Nom d’utilisateur administrateur, saisissez le nom d’un compte Salesforce auquel le profil Administrateur système est assigné dans Salesforce.com.

    2. Dans la zone de texte Mot de passe d’administrateur, entrez le mot de passe de ce compte.

  7. Pour obtenir le jeton de sécurité Salesforce, ouvrez un nouvel onglet et connectez-vous au même compte d’administration Salesforce. Dans le coin supérieur droit de la page, cliquez sur votre nom, puis cliquez sur Paramètres.

    Capture d’écran montrant le lien Paramètres sélectionné.

  8. Dans le volet de navigation gauche, cliquez sur Mes informations personnelles pour développer la section associée, puis sur Réinitialiser mon jeton de sécurité.

    Capture d’écran montrant Réinitialiser mon jeton de sécurité sélectionné à partir de Mes informations personnelles.

  9. Sur la page Réinitialiser le jeton de sécurité, cliquez sur Réinitialiser le jeton de sécurité.

    Capture d’écran montrant la page Jeton de sécurité REST, avec du texte explicatif et l’option de réinitialisation du jeton de sécurité

  10. Contrôlez la boîte de réception associée à ce compte d’administrateur. Recherchez un message électronique provenant de Salesforce.com qui contient le nouveau jeton de sécurité.

  11. Copiez le jeton, accédez à votre fenêtre Microsoft Entra et collez-le dans le champ Jeton secret.

  12. L’URL de locataire doit être entrée si l’instance de Salesforce se trouve sur Salesforce Government Cloud. Dans le cas contraire, elle est facultative. Entrez l’URL du locataire au format , https://<your-instance>.my.salesforce.comen remplaçant <your-instance> par le nom de votre instance Salesforce.

  13. Sélectionnez Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à votre application Salesforce.

  14. Dans le champ E-mail de notification, saisissez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement, puis cochez la case.

  15. Cliquez sur Enregistrer.

  16. Sous la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Salesforce.

  17. Dans la section Mappages d’attributs, examinez les attributs utilisateur synchronisés de Microsoft Entra ID vers Salesforce. Remarque : Les attributs sélectionnés en tant que propriétés de Correspondance servent à faire correspondre les comptes utilisateur dans Salesforce, en vue d’opérations de mise à jour. Cliquez sur le bouton Enregistrer pour valider les modifications.

  18. Pour activer le service d’approvisionnement Microsoft Entra pour Salesforce, modifiez l’état d’approvisionnement sur Activé dans la section Paramètres.

  19. Cliquez sur Enregistrer.

Notes

Une fois les utilisateurs approvisionnés dans l’application Salesforce, l’administrateur doit configurer les paramètres propres à leur langue. Pour plus d' informations sur la configuration de la langue, consultez cet article.

Cette commande démarre la synchronisation initiale des utilisateurs et/ou des groupes affectés à Salesforce dans la section Utilisateurs et Groupes. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui se produisent toutes les 40 minutes environ tant que le service est en cours d’exécution. Vous pouvez utiliser la section Détails de la synchronisation pour surveiller la progression et suivre les liens vers les journaux d’activité de provisionnement, qui décrivent toutes les actions effectuées par le service de provisionnement dans votre application Salesforce.

Pour plus d’informations sur la façon de lire les journaux d’approvisionnement Microsoft Entra, voir Rapports sur le provisionnement automatique des comptes d’utilisateur.

Problèmes courants

  • Si vous rencontrez des problèmes pour autoriser l'accès à Salesforce, vérifiez les points suivants :
    • Les informations d'identification utilisées disposent d’un accès administrateur à Salesforce.
    • La version de Salesforce que vous utilisez prend en charge l'accès Web (par exemple, les versions Developer, Enterprise, Sandbox et Unlimited de Salesforce).
    • L'accès à l'API Web est activé pour l'utilisateur.
  • Le service d’approvisionnement Microsoft Entra prend en charge la langue, les paramètres régionaux et le fuseau horaire d’approvisionnement pour un utilisateur. Ces attributs figurent dans les mappages d'attributs par défaut mais n'ont pas d'attribut source par défaut. Assurez-vous que vous sélectionnez l'attribut source par défaut et que l'attribut source est dans le format attendu par SalesForce. Par exemple, localeSidKey pour english(UnitedStates) est en_US. Passez en revue les conseils fournis ici pour déterminer le format localeSidKey approprié. Les formats languageLocaleKey se trouvent ici. En plus de vous assurer que le format est correct, vous devrez peut-être vérifier que la langue est activée pour vos utilisateurs, comme décrit ici.
  • SalesforceLicenseLimitExceeded : L’utilisateur n’a pas pu être créé dans l’application cible, car il n’existe aucune licence disponible pour cet utilisateur. Procurez-vous des licences supplémentaires pour l’application cible, ou passez en revue vos attributions d’utilisateurs et la configuration de mappage des attributs pour vous assurer que les utilisateurs appropriés sont affectés avec les attributs appropriés.
  • SalesforceDuplicateUserName : L'utilisateur ne peut pas être approvisionné car il dispose d'un attribut 'Username' Salesforce.com qui est dupliqué dans un autre locataire Salesforce.com.  Dans Salesforce.com, les valeurs de l'attribut 'Username' doivent être uniques pour tous les locataires Salesforce.com.  Par défaut, l’attribut userPrincipalName d’un utilisateur dans Microsoft Entra ID devient son attribut « Username » dans Salesforce.com.  Vous avez le choix entre deux options.  Une option consiste à trouver et à renommer l'utilisateur avec le doublon 'Username' dans l'autre locataire Salesforce.com, si vous administrez également cet autre locataire.  L’autre option consiste à supprimer l’accès de l’utilisateur Microsoft Entra au locataire Salesforce.com auquel votre répertoire est intégré. Nous réessayerons cette opération lors de la prochaine tentative de synchronisation.
  • SalesforceRequiredFieldMissing : Salesforce exige que certains attributs soient présents sur l'utilisateur pour créer ou mettre à jour avec succès l’utilisateur. Il manque à cet utilisateur un des attributs requis. Assurez-vous que tous les utilisateurs que vous souhaitez approvisionner dans Salesforce possèdent des attributs tels que l'e-mail et l'alias. Vous pouvez définir l’étendue des utilisateurs qui n'ont pas ces attributs à l'aide de filtres d’étendue basés sur des attributs.
  • Le mappage d’attributs par défaut pour l’approvisionnement dans Salesforce inclut l’expression SingleAppRoleAssignments permettant de mapper appRoleAssignments dans Microsoft Entra ID à ProfileName dans Salesforce. Assurez-vous que les utilisateurs n’ont pas plusieurs attributions de rôles d’applications dans Microsoft Entra ID, car le mappage d’attributs ne prend en charge que l’approvisionnement d’un seul rôle.
  • Salesforce requiert l’approbation manuelle des mises à jour de la messagerie électronique avant leur modification. Par conséquent, vous pouvez voir plusieurs entrées dans les journaux d’approvisionnement pour mettre à jour la messagerie de l’utilisateur (jusqu’à ce que la modification de la messagerie ait été approuvée).

Ressources supplémentaires