Oktatóanyag: A Salesforce konfigurálása automatikus felhasználókiépítéshez
Az oktatóanyag célja, hogy bemutassuk a Salesforce-ban és a Microsoft Entra ID-ban a felhasználói fiókok Microsoft Entra ID-ból a Salesforce-ba történő automatikus kiépítéséhez és megszüntetéséhez szükséges lépéseket.
Előfeltételek
Az ebben az oktatóanyagban felvázolt forgatókönyv feltételezi, hogy már rendelkezik a következőkkel:
- Egy Microsoft Entra bérlő
- Egy Salesforce.com-bérlő
Megjegyzés:
A szerepkörök nem szerkeszthetők manuálisan a Microsoft Entra-azonosítóban a szerepkörimportálás során.
Fontos
Ha Salesforce.com próbafiókot használ, akkor nem fogja tudni konfigurálni az automatikus felhasználókiépítést. A próbaverziós fiókok nem rendelkeznek a szükséges API-hozzáféréssel, amíg meg nem vásárolják őket. Ezt a korlátozást az oktatóanyag elvégzéséhez használhatja egy ingyenes fejlesztői fiókkal .
Ha Salesforce tesztkörnyezetet használ, tekintse meg a Salesforce Tesztkörnyezet integrációs oktatóanyagát.
Felhasználók hozzárendelése a Salesforce-hoz
A Microsoft Entra ID egy "hozzárendelések" nevű koncepciót használ annak meghatározására, hogy mely felhasználóknak kell hozzáférést kapniuk a kiválasztott alkalmazásokhoz. Az automatikus felhasználói fiókok kiépítésének kontextusában a rendszer csak azokat a felhasználókat és csoportokat szinkronizálja, amelyek "hozzárendelve" vannak egy alkalmazáshoz a Microsoft Entra-azonosítóban.
A kiépítési szolgáltatás konfigurálása és engedélyezése előtt el kell döntenie, hogy a Microsoft Entra ID-ban mely felhasználóknak vagy csoportoknak kell hozzáférniük a Salesforce-alkalmazáshoz. Ezeket a felhasználókat hozzárendelheti a Salesforce-alkalmazáshoz a felhasználó vagy csoport hozzárendelése vállalati alkalmazáshoz című témakör utasításait követve
Fontos tippek a felhasználók Salesforce-hoz való hozzárendeléséhez
A kiépítési konfiguráció teszteléséhez ajánlott egyetlen Microsoft Entra-felhasználót hozzárendelni a Salesforce-hoz. Később további felhasználók és/vagy csoportok rendelhetők hozzá.
Ha felhasználót rendel a Salesforce-hoz, érvényes felhasználói szerepkört kell választania. Az "Alapértelmezett hozzáférés" szerepkör nem működik a kiépítéshez
Megjegyzés:
Ez az alkalmazás a Kiépítési folyamat részeként importál profilokat a Salesforce-ból, amelyeket az ügyfél a Felhasználók Microsoft Entra-azonosítóban való hozzárendelésekor választhat ki. Vegye figyelembe, hogy a Salesforce-ból importált profilok szerepkörként jelennek meg a Microsoft Entra ID-ban.
Automatikus felhasználói kiépítés engedélyezése
Ez a szakasz végigvezeti a Microsoft Entra-azonosítónak a Salesforce felhasználói fiókkiépítési API-jával való csatlakoztatásán – v40
Tipp.
Dönthet úgy is, hogy engedélyezi az SAML-alapú egyszeri bejelentkezést a Salesforce-hoz az Azure Portal utasításait követve. Az egyszeri bejelentkezés az automatikus kiépítéstől függetlenül konfigurálható, bár ez a két funkció kiegészíti egymást.
Automatikus felhasználói fiókkiépítés konfigurálása
Ennek a szakasznak a célja, hogy bemutatja, hogyan engedélyezheti az Active Directory felhasználói fiókok a Salesforce-nak való üzembe helyezését.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
Ha konfigurálta a Salesforce-ot az egyszeri bejelentkezéshez, keressen rá a Salesforce-példányra a keresőmező használatával. Ellenkező esetben válassza a Salesforce hozzáadása és keresése lehetőséget az alkalmazáskatalógusban. Válassza a Salesforce lehetőséget a keresési eredmények közül, és adja hozzá az alkalmazások listájához.
Válassza ki a Salesforce-példányt, majd válassza a Kiépítés lapot.
Állítsa a Kiépítési mód mezőt Automatikus értékre.
A Rendszergazda Hitelesítő adatok szakaszban adja meg a következő konfigurációs beállításokat:
A Rendszergazda Felhasználónév szövegmezőbe írjon be egy Salesforce-fióknevet, amely a System Rendszergazda istrator profillal rendelkezik Salesforce.com hozzárendelve.
A Rendszergazda Jelszó szövegmezőbe írja be a fiók jelszavát.
A Salesforce biztonsági jogkivonatának lekéréséhez nyisson meg egy új lapot, és jelentkezzen be ugyanarra a Salesforce rendszergazdai fiókra. A lap jobb felső sarkában kattintson a nevére, majd a Gépház gombra.
A bal oldali navigációs panelen a Személyes adatok elemre kattintva bontsa ki a kapcsolódó szakaszt, majd kattintson a Biztonsági jogkivonat alaphelyzetbe állítása parancsra.
A Biztonsági jogkivonat alaphelyzetbe állítása lapon kattintson a Biztonsági jogkivonat alaphelyzetbe állítása gombra.
Ellenőrizze a rendszergazdai fiókhoz társított e-mail-postaládát. Keressen egy e-mailt az új biztonsági jogkivonatot tartalmazó Salesforce.com.
Másolja ki a jogkivonatot, nyissa meg a Microsoft Entra ablakot, és illessze be a Titkos jogkivonat mezőbe.
A bérlő URL-címét meg kell adni, ha a Salesforce példánya a Salesforce kormányzati felhőben található. Ellenkező esetben nem kötelező. Adja meg a bérlő URL-címét a "https://< your-instance.my.salesforce.com>" formátumban, és cserélje le <a példányt> a Salesforce-példány nevére.
Válassza a Tesztelés Csatlakozás ion lehetőséget, hogy a Microsoft Entra ID csatlakozni tud-e a Salesforce-alkalmazáshoz.
Az Értesítési e-mail mezőben adja meg annak a személynek vagy csoportnak az e-mail-címét, akinek kiépítési hibaértesítéseket kell kapnia, és jelölje be az alábbi jelölőnégyzetet.
Kattintson a Mentés gombra.
A Leképezések szakaszban válassza a Microsoft Entra-felhasználók szinkronizálása a Salesforce-ra lehetőséget.
Az Attribútumleképezések szakaszban tekintse át a Microsoft Entra-azonosítóról a Salesforce-ra szinkronizált felhasználói attribútumokat. Vegye figyelembe, hogy az egyező tulajdonságokként kiválasztott attribútumok a Frissítési műveletekhez a Salesforce felhasználói fiókjainak egyezésére szolgálnak. A módosítások véglegesítéséhez válassza a Mentés gombot.
A Salesforce Microsoft Entra kiépítési szolgáltatásának engedélyezéséhez módosítsa a kiépítés állapotát Be értékre a Gépház szakaszban
Kattintson a Mentés gombra.
Megjegyzés:
Miután a felhasználók ki lettek építve a Salesforce alkalmazásban, a rendszergazdának konfigurálnia kell a nyelvspecifikus beállításokat. A nyelvi konfigurációval kapcsolatos további részletekért tekintse meg ezt a cikket.
Ez elindítja a Salesforce-hoz rendelt felhasználók és/vagy csoportok kezdeti szinkronizálását a Felhasználók és csoportok szakaszban. A kezdeti szinkronizálás több időt vesz igénybe, mint a későbbi szinkronizálások, amelyek körülbelül 40 percenként történnek, amíg a szolgáltatás fut. A Szinkronizálás részletei szakaszban nyomon követheti az előrehaladást, és követheti a kiépítési tevékenységnaplókra mutató hivatkozásokat, amelyek a Kiépítési szolgáltatás által a Salesforce-alkalmazásban végrehajtott összes műveletet ismertetik.
A Microsoft Entra kiépítési naplóinak olvasásával kapcsolatos további információkért lásd : Jelentéskészítés az automatikus felhasználói fiókok kiépítéséről.
Common issues
- Ha problémákat tapasztal a Salesforce-hoz való hozzáférés engedélyezésében, győződjön meg a következőkről:
- A használt hitelesítő adatok rendszergazdai hozzáféréssel rendelkeznek a Salesforce-hoz.
- A Salesforce ön által használt verziója támogatja a Web Accesst (például a Salesforce Fejlesztői, Enterprise, Tesztkörnyezeti és Korlátlan kiadásait).)
- A webes API-hozzáférés engedélyezve van a felhasználó számára.
- A Microsoft Entra kiépítési szolgáltatás támogatja a kiépítési nyelvet, a területi beállításokat és az időzónát a felhasználók számára. Ezek az attribútumok az alapértelmezett attribútumleképezésekben találhatók, de nem rendelkeznek alapértelmezett forrásattribútummal. Győződjön meg arról, hogy az alapértelmezett forrásattribútumot választja ki, és hogy a forrásattribútum a SalesForce által várt formátumban legyen. A localeSidKey például az angol (Egyesült Államok) nyelvhez en_US. Tekintse át az itt található útmutatást a localeSidKey formátum meghatározásához. A languageLocaleKey formátumok itt találhatók. A formátum helyességének biztosítása mellett szükség lehet arra, hogy a nyelv engedélyezve legyen a felhasználók számára az itt leírtak szerint.
- SalesforceLicenseLimitExceededed: A felhasználó nem hozható létre a célalkalmazásban, mert ehhez a felhasználóhoz nincsenek elérhető licencek. Szerezzen be további licenceket a célalkalmazáshoz, vagy tekintse át a felhasználói hozzárendeléseket és az attribútumleképezési konfigurációt, hogy a megfelelő felhasználókat a megfelelő attribútumokkal rendelje hozzá.
- SalesforceDuplicateUserName: A felhasználó nem építhető ki, mert egy másik Salesforce.com bérlőben duplikált Salesforce.com felhasználónévvel rendelkezik. A Salesforce.com a Felhasználónév attribútum értékeinek minden Salesforce.com bérlőben egyedinek kell lenniük. Alapértelmezés szerint egy felhasználó userPrincipalName értéke a Microsoft Entra-azonosítóban a "Felhasználónév" lesz a Salesforce.com. Két lehetősége van. Az egyik lehetőség az, hogy megkeresi és átnevezi a felhasználót a másik Salesforce.com bérlő ismétlődő felhasználónévvel, ha a másik bérlőt is felügyeli. A másik lehetőség az, hogy eltávolítja a Hozzáférést a Microsoft Entra-felhasználótól ahhoz a Salesforce.com bérlőhöz, amellyel a címtár integrálva van. Ezt a műveletet a következő szinkronizálási kísérlet során újra megkísérljük.
- SalesforceRequiredFieldMissing: A Salesforce megköveteli, hogy bizonyos attribútumok jelen legyenek a felhasználón a felhasználó sikeres létrehozásához vagy frissítéséhez. Ez a felhasználó hiányzik az egyik szükséges attribútumból. Győződjön meg arról, hogy az olyan attribútumok, mint az e-mail és az alias minden olyan felhasználón fel vannak töltve, amelyet ki szeretne építeni a Salesforce-ba. Az attribútumalapú hatókörkezelési szűrőkkel hatókörbe helyezheti azokat a felhasználókat, akiknek nincsenek ilyen attribútumaik.
- A Salesforce-ba való kiépítés alapértelmezett attribútumleképezése tartalmazza a SingleAppRoleAssignments kifejezést, amely a Microsoft Entra ID appRoleAssignments elemét a Salesforce ProfileName-ra képezi le. Győződjön meg arról, hogy a felhasználók nem rendelkeznek több alkalmazásszerepkör-hozzárendeléssel a Microsoft Entra-azonosítóban, mivel az attribútumleképezés csak egy szerepkör kiépítését támogatja.
- A Salesforce megköveteli az e-mail-frissítések manuális jóváhagyását a módosítás előtt. Ennek eredményeképpen több bejegyzés is megjelenhet a kiépítési naplókban a felhasználó e-mail-címének frissítéséhez (amíg az e-mail-módosítást jóvá nem hagyják).