Bagikan melalui


Tutorial: Mengonfigurasi Salesforce untuk provisi pengguna otomatis

Tujuan tutorial ini adalah untuk menunjukkan langkah-langkah yang diperlukan untuk dilakukan di Salesforce dan ID Microsoft Entra untuk secara otomatis memprovisikan dan mendeprovisi akun pengguna dari ID Microsoft Entra ke Salesforce.

Prasyarat

Kerangka skenario dalam tutorial ini mengasumsikan bahwa Anda sudah memiliki item berikut:

  • Penyewa Microsoft Entra.

  • Penyewa Salesforce.com.

  • Nama pengguna dan kata sandi akun Salesforce serta token. Di masa mendatang, jika Anda mengatur ulang kata sandi akun, Salesforce memberi Anda token baru dan Anda harus mengedit pengaturan provisi Salesforce.

  • Profil pengguna kustom di Salesforce. Setelah Anda membuat profil kustom di portal Salesforce, edit Izin Administratif profil untuk mengaktifkan hal berikut:

    • API Diaktifkan.

    • Kelola Pengguna: Mengaktifkan opsi ini secara otomatis mengaktifkan yang berikut ini: Tetapkan Set Izin, Kelola Pengguna InternalKelola Alamat IP, Kelola Kebijakan Akses Masuk, Kelola Kebijakan Kata Sandi, Kelola Profil dan Kumpulan Izin, Kelola Peran, Kelola Berbagi, Atur Ulang Kata Sandi Pengguna, dan Buka Kunci Pengguna, Lihat Semua Pengguna, Lihat Peran dan Hierarki, Lihat Penyiapan dan Konfigurasi.

Lihat juga dokumentasi Membuat atau Mengkloning Profil Salesforce.

Catatan

Tetapkan izin langsung ke profil. Jangan tambahkan izin melalui set izin.

Catatan

Peran tidak boleh diedit secara manual di MICROSOFT Entra ID saat melakukan impor peran.

Penting

Jika Anda menggunakan akun Salesforce.com, maka Anda tidak akan dapat mengonfigurasi provisi pengguna otomatis. Akun uji coba tidak mengaktifkan akses API yang diperlukan hingga dibeli. Anda bisa mendapatkan sekitar batasan ini dengan menggunakan akun pengembang gratis untuk menyelesaikan tutorial ini.

Jika Anda menggunakan lingkungan Salesforce Sandbox, lihat tutorial integrasi Salesforce Sandbox.

Menetapkan pengguna ke Salesforce

MICROSOFT Entra ID menggunakan konsep yang disebut "penugasan" untuk menentukan pengguna mana yang harus menerima akses ke aplikasi yang dipilih. Dalam konteks provisi akun pengguna otomatis, hanya pengguna dan grup yang "ditetapkan" ke aplikasi di ID Microsoft Entra yang disinkronkan.

Sebelum mengonfigurasi dan mengaktifkan layanan provisi, Anda perlu memutuskan pengguna atau grup mana di ID Microsoft Entra yang memerlukan akses ke aplikasi Salesforce Anda. Anda dapat menetapkan pengguna ini ke aplikasi Salesforce Anda dengan mengikuti instruksi di Menetapkan pengguna atau grup ke aplikasi perusahaan

Tips penting untuk menetapkan pengguna ke Salesforce

  • Disarankan agar satu pengguna Microsoft Entra ditetapkan ke Salesforce untuk menguji konfigurasi provisi. Lebih banyak pengguna dan/atau grup dapat ditetapkan nanti.

  • Saat menetapkan Salesforce kepada pengguna, Anda harus memilih peran pengguna yang valid. Peran "Akses Default" tidak berfungsi untuk provisi

    Catatan

    Aplikasi ini mengimpor profil dari Salesforce sebagai bagian dari proses provisi, yang mungkin ingin dipilih pelanggan saat menetapkan pengguna di ID Microsoft Entra. Harap dicatat bahwa profil yang diimpor dari Salesforce muncul sebagai Peran di ID Microsoft Entra.

Aktifkan Provisi Pengguna Otomatis

Bagian ini memandu Anda menyambungkan ID Microsoft Entra ke API provisi akun pengguna Salesforce - v40

Tip

Anda juga dapat memilih untuk mengaktifkan Akses Menyeluruh berbasis SAML untuk Salesforce, mengikuti instruksi yang diberikan dalam portal Azure. Akses menyeluruh dapat dikonfigurasi secara independen dari provisi pengguna otomatis, meskipun kedua fitur ini saling memenuhi.

Mengonfigurasi provisi akun pengguna otomatis

Tujuan dari bagian ini adalah untuk menguraikan cara mengaktifkan provisi pengguna akun pengguna Layanan Domain Active Directory ke Salesforce.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise.

  3. Jika Anda telah mengonfigurasi Salesforce untuk akses menyeluruh, cari instans Salesforce Anda menggunakan bidang pencarian. Jika tidak, pilih Tambahkan dan cari Salesforce di aplikasi galeri. Pilih Salesforce dari hasil pencarian, dan tambahkan ke daftar aplikasi Anda.

  4. Pilih instans Salesforce Anda, lalu pilih tab Provisi.

  5. Atur Mode Provisi ke Otomatis.

    Cuplikan layar memperlihatkan halaman Provisi Salesforce, dengan Mode Provisi diatur ke Otomatis dan nilai lain yang bisa Anda atur.

  6. Di bawah bagian Info Masuk Admin, lakukan pengaturan konfigurasi berikut ini:

    1. Di kotak teks Nama Pengguna Admin, ketikkan nama akun Salesforce yang memiliki profil Administrator Sistem di Salesforce.com ditetapkan.

    2. Di kotak teks Kata Sandi Admin, ketik kata sandi untuk akun ini.

  7. Untuk mendapatkan token keamanan Salesforce Anda, buka tab baru dan masuk ke akun admin Salesforce yang sama. Di sudut kanan atas halaman, klik nama Anda, lalu klik Pengaturan.

    Cuplikan layar memperlihatkan tautan Pengaturan dipilih.

  8. Di panel navigasi kiri, klik Informasi Pribadi Saya untuk memperluas bagian terkait, lalu klik Reset Token Keamanan Saya.

    Cuplikan layar memperlihatkan Reset Token Keamanan Saya yang dipilih dari Informasi Pribadi Saya.

  9. Pada halaman Reset Token Keamanan, klik tombol Reset Token Keamanan.

    Cuplikan layar memperlihatkan halaman Token Keamanan Istirahat, dengan teks penjelasan dan opsi untuk Mereset Token Keamanan

  10. Periksa kotak masuk email yang terkait dengan akun admin ini. Cari email dari Salesforce.com yang berisi token keamanan baru.

  11. Salin token, buka jendela Microsoft Entra Anda, dan tempelkan ke bidang Token Rahasia.

  12. URL Penyewa harus dimasukkan jika instance Salesforce ada di Salesforce Government Cloud. Jika tidak, itu opsional. Masukkan URL penyewa menggunakan format https://<your-instance>.my.salesforce.com, mengganti <your-instance> dengan nama instans Salesforce Anda.

  13. Pilih Uji Koneksi untuk memastikan ID Microsoft Entra dapat tersambung ke aplikasi Salesforce Anda.

  14. Di bidang Email Pemberitahuan, masukkan alamat email seseorang atau grup yang harus menerima pemberitahuan kesalahan provisi, dan centang kotak centang.

  15. Klik Simpan.

  16. Di bawah bagian Pemetaan, pilih Sinkronkan pengguna Microsoft Entra ke Salesforce.

  17. Di bagian Pemetaan Atribut, tinjau atribut pengguna yang disinkronkan dari ID Microsoft Entra ke Salesforce. Perhatikan bahwa atribut yang dipilih sebagai Properti yang cocok digunakan untuk mencocokkan akun pengguna di Salesforce untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

  18. Untuk mengaktifkan layanan provisi Microsoft Entra untuk Salesforce, ubah Status Provisi menjadi Aktif di bagian Pengaturan

  19. Klik Simpan.

Catatan

Setelah pengguna disediakan dalam aplikasi Salesforce, administrator perlu mengonfigurasi pengaturan spesifik bahasa untuk mereka. Silakan lihat artikel ini untuk detail lebih lanjut tentang konfigurasi bahasa.

Ini akan memulai sinkronisasi awal pengguna dan/atau grup yang ditetapkan ke Salesforce di bagian Pengguna dan Grup. Sinkronisasi awal membutuhkan waktu lebih lama untuk dilakukan daripada sinkronisasi berikutnya, yang terjadi kira-kira setiap 40 menit selama layanan provisi Azure Active Directory berjalan. Anda dapat menggunakan bagian Detail Sinkronisasi untuk memantau kemajuan dan mengikuti tautan ke provisi log aktivitas, yang menjelaskan semua tindakan yang dilakukan oleh layanan provisi di aplikasi Salesforce Anda.

Untuk informasi selengkapnya tentang cara membaca log provisi Microsoft Entra, lihat Melaporkan provisi akun pengguna otomatis.

Masalah umum

  • Jika Anda mengalami masalah saat mengotorisasi akses ke Salesforce, pastikan hal berikut:
    • Kredensial yang digunakan memiliki akses admin ke Salesforce.
    • Versi Salesforce yang Anda gunakan mendukung Web Access (seperti Developer, Enterprise, Sandbox, dan Salesforce edisi Unlimited.)
    • Akses Web API diaktifkan untuk pengguna.
  • Layanan provisi Microsoft Entra mendukung provisi bahasa, lokal, dan zona waktu untuk pengguna. Atribut ini berada dalam pemetaan atribut default tetapi tidak memiliki atribut sumber default. Pastikan Anda memilih atribut sumber default dan atribut source berada dalam format yang diharapkan oleh SalesForce. Misalnya, localeSidKey untuk bahasa Inggris (Amerika Serikat) en_US. Tinjau panduan yang disediakan di sini untuk menentukan format localeSidKey yang tepat. Format languageLocaleKey dapat ditemukan di sini. Selain memastikan bahwa formatnya benar, Anda mungkin perlu memastikan bahwa bahasa diaktifkan untuk pengguna Anda seperti yang dijelaskan di sini.
  • SalesforceLicenseLimitExceeded: Pengguna tak bisa dibuat pada aplikasi target karena tak tersedia lisensi untuk pengguna ini. Baik mendapatkan lisensi tambahan untuk aplikasi target, atau meninjau tugas pengguna dan konfigurasi pemetaan atribut Anda untuk memastikan bahwa pengguna yang benar ditetapkan dengan atribut yang benar.
  • SalesforceDuplicateUserName: Pengguna tidak dapat disediakan karena memiliki opsi Salesforce.com Pengguna' yang diduplikasi di penyewa Salesforce.com lain.  Selain Salesforce.com, nilai untuk atribut 'Nama Pengguna' harus unik di semua Salesforce.com penyewa.  Secara default, userPrincipalName pengguna di ID Microsoft Entra menjadi 'Nama Pengguna' mereka di Salesforce.com.  Anda memiliki dua opsi.  Salah satu opsinya adalah menemukan dan mengganti nama pengguna dengan duplikat 'Nama Pengguna' di penyewa Salesforce.com lainnya, jika Anda mengelola penyewa lain juga.  Opsi lainnya adalah menghapus akses dari pengguna Microsoft Entra ke penyewa Salesforce.com yang terintegrasi dengan direktori Anda. Kami akan mencoba kembali operasi ini pada upaya sinkronisasi berikutnya.
  • SalesforceRequiredFieldMissing: Salesforce memerlukan atribut tertentu untuk hadir pada pengguna untuk berhasil membuat atau memperbarui pengguna. Pengguna ini kehilangan salah satu atribut yang diperlukan. Pastikan bahwa atribut seperti email dan alias diisi pada semua pengguna yang ingin Anda undang ke dalam Salesforce. Anda dapat lingkup pengguna yang tidak memiliki atribut ini menggunakan filter scoping berbasis atribut.
  • Pemetaan atribut default untuk provisi ke Salesforce menyertakan ekspresi SingleAppRoleAssignments untuk memetakan appRoleAssignments di ID Microsoft Entra ke ProfileName di Salesforce. Pastikan bahwa pengguna tidak memiliki beberapa penetapan peran aplikasi di ID Microsoft Entra karena pemetaan atribut hanya mendukung provisi satu peran.
  • Salesforce mengharuskan pembaruan email disetujui secara manual sebelum diubah. Akibatnya, Anda mungkin melihat beberapa entri dalam log provisi untuk memperbarui email pengguna (hingga perubahan email disetujui).

Sumber Daya Tambahan: