Configurer Salesforce pour l’approvisionnement automatique d’utilisateurs avec l’ID Microsoft Entra

L’objectif de cet article est de montrer les étapes requises pour effectuer dans Salesforce et Microsoft Entra ID pour approvisionner et déprovisionner automatiquement des comptes d’utilisateur de Microsoft Entra ID vers Salesforce.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des éléments suivants :

• Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• L’un des rôles suivants :
  • Administrateur d’application
  • Administrateur d’application cloud
  • Propriétaire de l’application.

• Un locataire Salesforce.com.

• Un nom d’utilisateur et un mot de passe de compte Salesforce et le jeton. Consultez configurer l’approvisionnement automatique de compte d’utilisateur pour savoir comment obtenir le jeton. À l’avenir, si vous réinitialisez le mot de passe du compte, Salesforce vous fournit un nouveau jeton et vous devez modifier les paramètres d’approvisionnement Salesforce.

• Profil utilisateur personnalisé dans Salesforce pour l’utilisateur d’intégration. Une fois que vous avez créé un profil personnalisé dans le portail Salesforce, modifiez les autorisations d’administration du profil pour activer les éléments suivants :

  • API activée.

  • Gérer les utilisateurs : L’activation de cette option active automatiquement les jeux d’autorisations suivants : Affecter des ensembles d’autorisations, gérer les adresses IP internes UsersManage (Gestion d’utilisateurs), gérer les stratégies d’accès aux connexions, gérer les stratégies de mot de passe de connexion, gérer les profils et les jeux d’autorisations, gérer les rôles, gérer le partage, réinitialiser les mots de passe des utilisateurs et déverrouiller les utilisateurs, afficher tous les utilisateurs, afficher les rôles et la hiérarchie, afficher la configuration.

  N’hésitez pas à consulter également la documentation Salesforce Créer ou cloner des profils.

  Remarque

  Attribuez les autorisations directement à ce profil. N’ajoutez pas les autorisations via des jeux d’autorisations.

Important

Si vous utilisez un compte d’essai Salesforce.com, vous ne pourrez pas configurer l’approvisionnement automatique d’utilisateurs. Les comptes d’évaluation n’ont pas l’accès à l’API nécessaire tant qu’ils n’ont pas été achetés. Vous pouvez contourner cette limitation à l’aide d’un compte de développeur gratuit pour terminer cet article.

Si vous utilisez un environnement Salesforce Sandbox, consultez l’article d’intégration Salesforce Sandbox.

Planifier l’attribution d’utilisateurs à Salesforce

Microsoft Entra ID utilise un concept appelé « attributions » pour déterminer les utilisateurs devant recevoir un accès aux applications sélectionnées. Dans le cadre de l’approvisionnement automatique des comptes d’utilisateurs, seuls les utilisateurs et les groupes qui sont « attribués » à une application dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d’activer le service d’approvisionnement, vous devez déterminer quels utilisateurs ou groupes dans Microsoft Entra ID ont besoin d’accéder à votre application Salesforce.

Conseils importants concernant l’assignation d’utilisateurs à Salesforce

• Il est recommandé qu’un seul utilisateur Microsoft Entra soit affecté à Salesforce pour tester la configuration d’approvisionnement. Plus d’utilisateurs et/ou de groupes peuvent être affectés ultérieurement, par le biais des mécanismes décrits dans Affecter des utilisateurs.

• Lorsque vous assignez un utilisateur à Salesforce, vous devez sélectionner un rôle d’utilisateur valide. Le rôle Accès par défaut ne fonctionne pas pour l’attribution. Notez que certains rôles peuvent nécessiter des licences dans Salesforce.

  Remarque

  Dans le cadre du processus d’approvisionnement, Microsoft Entra importe des profils à partir de Salesforce. Les profils importés à partir de Salesforce apparaissent en tant que rôles d’application dans l’ID Microsoft Entra. Vous pouvez donc sélectionner lors de l’attribution d’utilisateurs dans Microsoft Entra ID. Si vous souhaitez affecter des utilisateurs à un profil personnalisé, attendez que les profils soient importés à partir de Salesforce avant d’affecter des utilisateurs à une application. Notez que les rôles d’application ne doivent pas être modifiés manuellement dans l’ID Microsoft Entra lors de l’importation de rôles.

Identification des utilisateurs existants dans Salesforce

Avant l’intégration à Microsoft Entra, votre compte Salesforce peut déjà avoir un ou plusieurs utilisateurs, créés par un administrateur Salesforce ou d’autres processus. Vous pouvez déterminer quels utilisateurs sont déjà présents à l’aide de la fonctionnalité de données d’exportation Salesforce. Pour plus d’informations, consultez Exporter des données de sauvegarde à partir de Salesforce. Lors de l’exportation à partir de Salesforce, vérifiez que User les données sont incluses dans le jeu de données exporté, puis sélectionnez un encodage de fichier d’exportation qui autorise tous les noms des utilisateurs de l’organisation, tels que Unicode (UTF-8).

Une fois les données exportées à partir de Salesforce, vous pouvez extraire le User.csv fichier et l’ouvrir dans Excel, ou dans PowerShell, pour afficher la liste des utilisateurs actifs déjà dans Salesforce.

import-csv .\User.csv | where {$_.IsActive -eq '1'}  | sort UserName | ft UserName

Activer l’approvisionnement automatique des utilisateurs

Cette section vous guide à connecter votre ID Microsoft Entra à l’API d’approvisionnement de compte d’utilisateur Salesforce - v40.

Conseil

Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour Salesforce en suivant les instructions fournies dans le Portail Azure. L’authentification unique peut être configurée indépendamment de l’approvisionnement automatique, bien que ces deux fonctionnalités se complètent.

Configurer l’approvisionnement automatique d’un compte utilisateur

Cette section décrit comment activer l’approvisionnement des utilisateurs des comptes d’utilisateurs Active Directory sur Salesforce.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez aux Entra ID>applications d'entreprise.

3. Si vous avez configuré Salesforce pour l’authentification unique, recherchez votre instance Salesforce à l’aide du champ de recherche. Sinon, sélectionnez Ajouter et effectuer une recherche pour Salesforce dans la galerie d’applications. Dans les résultats de la recherche, sélectionnez Salesforce, puis ajoutez-le à votre liste d’applications.

4. Sélectionnez votre instance de Salesforce, puis sélectionnez l’onglet Approvisionnement.

5. Définissez le Mode d’approvisionnement sur Automatique.

   

6. Dans la section Informations d’identification de l’administrateur, fournissez les paramètres de configuration suivants :

   1. Dans la zone de texte Nom d’utilisateur administrateur, saisissez le nom d’un compte Salesforce auquel le profil Administrateur système est assigné dans Salesforce.com.

   2. Dans la zone de texte Mot de passe d’administrateur, entrez le mot de passe de ce compte.

7. Pour obtenir le jeton de sécurité Salesforce, ouvrez un nouvel onglet et connectez-vous au même compte d’administration Salesforce. Dans le coin supérieur droit de la page, sélectionnez votre nom, puis sélectionnez Paramètres.

   

8. Dans le volet de navigation gauche, sélectionnez Mes informations personnelles pour développer la section associée, puis réinitialiser mon jeton de sécurité.

   

9. Dans la page Réinitialiser le jeton de sécurité , sélectionnez Bouton Réinitialiser le jeton de sécurité .

   

10. Contrôlez la boîte de réception associée à ce compte d’administrateur. Recherchez un message électronique provenant de Salesforce.com qui contient le nouveau jeton de sécurité.

11. Copiez le jeton, accédez à votre fenêtre Microsoft Entra et collez-le dans le champ Jeton secret.

12. L’URL de locataire doit être entrée si l’instance de Salesforce se trouve sur Salesforce Government Cloud. Sinon, il est facultatif. Entrez l’URL de locataire en utilisant le format https://<your-instance>.my.salesforce.com, où vous devez remplacer <your-instance> par le nom de votre instance Salesforce.

13. Sélectionnez Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à votre application Salesforce.

14. Dans le champ E-mail de notification, saisissez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement, puis cochez la case.

15. Sélectionnez Enregistrer.

16. Sous la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Salesforce.

17. Dans la section Mappages d’attributs, examinez les attributs utilisateur synchronisés de Microsoft Entra ID vers Salesforce. Remarque : Les attributs sélectionnés en tant que propriétés de Correspondance servent à faire correspondre les comptes utilisateur dans Salesforce, en vue d’opérations de mise à jour. Cliquez sur le bouton Enregistrer pour valider les modifications.

18. Pour activer le service d’approvisionnement Microsoft Entra pour Salesforce, modifiez l’état d’approvisionnement sur Activé dans la section Paramètres.

19. Sélectionnez Enregistrer.

Remarque

Une fois les utilisateurs approvisionnés dans l’application Salesforce, l’administrateur doit configurer les paramètres propres à leur langue. Pour plus d' informations sur la configuration de la langue, consultez cet article.

Cette commande démarre la synchronisation initiale des utilisateurs et/ou des groupes affectés à Salesforce dans la section Utilisateurs et Groupes. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui se produisent toutes les 40 minutes environ tant que le service est en cours d’exécution.

Supervision

Vous pouvez utiliser la section Détails de la synchronisation pour surveiller la progression et suivre les liens vers les journaux d’activité de provisionnement, qui décrivent toutes les actions effectuées par le service de provisionnement dans votre application Salesforce.

Pour plus d’informations sur la façon de lire les journaux d’approvisionnement Microsoft Entra, voir Rapports sur le provisionnement automatique des comptes d’utilisateur.

Attribuer des utilisateurs

Une fois le test terminé, et qu’un utilisateur est correctement approvisionné sur Salesforce, vous devez vous assurer que tous les autres utilisateurs qui ont besoin de Salesforce sont affectés aux rôles d’application. Cela inclut tous les utilisateurs qui ont actuellement des comptes actifs dans Salesforce, comme décrit dans la section Identification des utilisateurs existants dans Salesforce. Vous pouvez affecter ces utilisateurs et tous les utilisateurs autorisés supplémentaires à l’application Salesforce dans Microsoft Entra en suivant l’une des instructions ci-dessous :

• Vous pouvez affecter chaque utilisateur(-trice) à l’application dans le Centre d’administration Microsoft Entra,
• Vous pouvez affecter des utilisateurs individuels à l’application via Microsoft Graph ou l’applet de commande New-MgServicePrincipalAppRoleAssignedToPowerShell, ou
• si votre organisation dispose d’une licence pour microsoft Entra ID Governance, vous pouvez également déployer des stratégies de gestion des droits d’utilisation pour automatiser l’attribution d’accès, ajouter ou supprimer des affectations en tant que personnes qui rejoignent l’organisation, ou quitter ou modifier des rôles. Vous pouvez créer un package d’accès de gestion des droits d’utilisation pour cette application. Vous pouvez avoir des stratégies d’accès affecté à des utilisateurs, soit à leur demande, par un(e) administrateur(-trice), soit automatiquement en fonction des règles ou via des workflows de cycle de vie.

Lorsque les utilisateurs affectés à l’application sont mis à jour dans Microsoft Entra ID, ces modifications sont automatiquement transmises à Salesforce.

Problèmes courants

• Si vous rencontrez des problèmes lors de l’activation de l’approvisionnement dans Salesforce, vérifiez les points suivants :
  • Les informations d'identification utilisées disposent d’un accès administrateur à Salesforce.
  • La version de Salesforce que vous utilisez prend en charge Web Access (par exemple, Developer, Enterprise, Sandbox et Unlimited éditions de Salesforce.)
  • L'accès à l'API Web est activé pour l'utilisateur.
• Le service d’approvisionnement Microsoft Entra prend en charge la langue, les paramètres régionaux et le fuseau horaire d’approvisionnement pour un utilisateur. Ces attributs se trouvent dans les mappages d’attributs par défaut, mais n’ont pas d’attribut source par défaut. Assurez-vous que vous sélectionnez l'attribut source par défaut et que l'attribut source est dans le format attendu par SalesForce. Par exemple, localeSidKey pour english(UnitedStates) est en_US. Passez en revue les conseils fournis ici pour déterminer le format localeSidKey approprié. Les formats languageLocaleKey se trouvent ici. En plus de vous assurer que le format est correct, vous devrez peut-être vérifier que la langue est activée pour vos utilisateurs, comme décrit ici.
• SalesforceLicenseLimitExceededed : L’utilisateur n’a pas pu être créé dans Salesforce, car il n’existe aucune licence disponible pour cet utilisateur. Procurez-vous des licences supplémentaires pour l’application cible ou passez en revue vos affectations d’utilisateurs pour vous assurer que les utilisateurs appropriés sont affectés.
• SalesforceDuplicateUserName : L’utilisateur ne peut pas être approvisionné, car il a un Salesforce.com 'Username' qui est dupliqué dans un autre locataire Salesforce.com.  Dans Salesforce.com, les valeurs de l'attribut 'Username' doivent être uniques pour tous les locataires Salesforce.com.  Par défaut, l’attribut userPrincipalName d’un utilisateur dans Microsoft Entra ID devient son attribut « Username » dans Salesforce.com.  Vous avez le choix entre deux options.  Une option consiste à trouver et à renommer l'utilisateur avec le doublon 'Username' dans l'autre locataire Salesforce.com, si vous administrez également cet autre locataire.  L’autre option consiste à supprimer l’accès de l’utilisateur Microsoft Entra au locataire Salesforce.com auquel votre répertoire est intégré. Nous réessayerons cette opération lors de la prochaine tentative de synchronisation.
• SalesforceRequiredFieldMissing : Salesforce exige que certains attributs soient présents sur l'utilisateur pour créer ou mettre à jour avec succès l’utilisateur. Il manque à cet utilisateur un des attributs requis. Assurez-vous que tous les utilisateurs que vous souhaitez approvisionner dans Salesforce possèdent des attributs tels que l'e-mail et l'alias. Vous pouvez définir l’étendue des utilisateurs qui n'ont pas ces attributs à l'aide de filtres d’étendue basés sur des attributs.
• Le mappage d’attributs par défaut pour l’approvisionnement dans Salesforce inclut l’expression SingleAppRoleAssignments permettant de mapper appRoleAssignments dans Microsoft Entra ID à ProfileName dans Salesforce. Vérifiez que les utilisateurs n’ont pas plusieurs attributions de rôles d’application dans Microsoft Entra ID, car le mappage d’attributs prend uniquement en charge l’approvisionnement d’un seul rôle. Si vous avez un groupe d’utilisateurs où le groupe est affecté à un rôle, un membre de ce groupe ne peut pas avoir d’affectation directe à l’application Salesforce avec un autre rôle.
• Salesforce requiert l’approbation manuelle des mises à jour de la messagerie électronique avant leur modification. Par conséquent, vous pouvez voir plusieurs entrées dans les journaux d’approvisionnement pour mettre à jour la messagerie de l’utilisateur (jusqu’à ce que la modification de la messagerie ait été approuvée).

Ressources supplémentaires

• Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
• Qu’est-ce que l’accès aux applications et l’authentification unique avec Microsoft Entra ID ?
• Configurer l’authentification unique