Mengonfigurasi Salesforce untuk provisi pengguna otomatis dengan Microsoft Entra ID

Tujuan dari artikel ini adalah untuk menunjukkan langkah-langkah yang diperlukan untuk dilakukan di Salesforce dan Microsoft Entra ID untuk memprovisi dan mendeprovisi akun pengguna secara otomatis dari Microsoft Entra ID ke Salesforce.

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki item berikut:

• Akun pengguna Microsoft Entra dengan langganan aktif. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
• Salah satu peran berikut:
  • Administrator Aplikasi
  • Administrator Aplikasi Cloud
  • Pemilik Aplikasi .

• Penyewa Salesforce.com.

• Nama pengguna dan kata sandi akun Salesforce, dan token. Lihat mengonfigurasi provisi akun pengguna otomatis untuk cara mendapatkan token. Di masa mendatang, jika Anda mengatur ulang kata sandi akun, Salesforce memberi Anda token baru dan Anda perlu mengedit pengaturan provisi Salesforce.

• Profil pengguna kustom di Salesforce untuk pengguna integrasi. Setelah Anda membuat profil kustom di portal Salesforce, edit Izin Administratif profil untuk mengaktifkan hal berikut:

  • API Diaktifkan.

  • Kelola Pengguna: Mengaktifkan opsi ini secara otomatis mengaktifkan yang berikut ini: Tetapkan Set Izin, Kelola Pengguna InternalKelola Alamat IP, Kelola Kebijakan Akses Masuk, Kelola Kebijakan Kata Sandi, Kelola Profil dan Kumpulan Izin, Kelola Peran, Kelola Berbagi, Atur Ulang Kata Sandi Pengguna, dan Buka Kunci Pengguna, Lihat Semua Pengguna, Lihat Peran dan Hierarki, Lihat Penyiapan dan Konfigurasi.

  Lihat juga dokumentasi Membuat atau Mengkloning Profil Salesforce.

  Catatan

  Tetapkan izin langsung ke profil ini. Jangan tambahkan izin melalui kumpulan izin.

Penting

Jika Anda menggunakan akun uji coba Salesforce.com, maka Anda tidak akan dapat mengonfigurasi provisi pengguna otomatis. Akun uji coba tidak memiliki akses API yang diperlukan hingga mereka dibeli. Anda bisa mengatasi batasan ini dengan menggunakan akun pengembang gratis untuk menyelesaikan artikel ini.

Jika Anda menggunakan lingkungan Salesforce Sandbox, harap melihat artikel integrasi Salesforce Sandbox .

Rencanakan penugasan pengguna ke Salesforce

Microsoft Entra ID menggunakan konsep yang disebut "penugasan" untuk menentukan pengguna mana yang harus menerima akses ke aplikasi yang dipilih. Dalam konteks provisi akun pengguna otomatis, hanya pengguna dan grup yang "ditetapkan" ke aplikasi di Microsoft Entra ID yang disinkronkan.

Sebelum mengonfigurasi dan mengaktifkan layanan provisi, Anda perlu memutuskan pengguna atau grup mana di Microsoft Entra ID memerlukan akses ke aplikasi Salesforce Anda.

Tips penting untuk menetapkan pengguna ke Salesforce

• Disarankan agar satu pengguna Microsoft Entra ditetapkan ke Salesforce untuk menguji pengaturan penyediaan. Lebih banyak pengguna dan/atau grup dapat ditetapkan nanti, melalui mekanisme yang dijelaskan dalam Menetapkan pengguna.

• Saat menetapkan Salesforce kepada pengguna, Anda harus memilih peran pengguna yang valid. Peran "Akses Default" tidak berfungsi untuk penyediaan. Perhatikan bahwa beberapa peran mungkin memerlukan lisensi di Salesforce.

  Catatan

  Sebagai bagian dari proses provisi, Microsoft Entra mengimpor profil dari Salesforce. Profil yang diimpor dari Salesforce muncul sebagai peran aplikasi di Microsoft Entra ID, sehingga Anda dapat memilih saat menetapkan pengguna di Microsoft Entra ID. Jika Anda ingin menetapkan pengguna ke profil kustom, tunggu profil diimpor dari Salesforce sebelum menetapkan pengguna ke aplikasi. Harap dicatat bahwa peran aplikasi tidak boleh diedit secara manual di Microsoft Entra ID saat melakukan impor peran.

Mengidentifikasi pengguna yang ada di Salesforce

Sebelum integrasi dengan Microsoft Entra, akun Salesforce Anda mungkin sudah memiliki satu atau beberapa pengguna, yang dibuat oleh administrator Salesforce atau proses lainnya. Anda memiliki dua cara untuk menentukan pengguna mana yang sudah ada di Salesforce.

Opsi 1 Dengan menggunakan fungsionalitas penemuan akun, Anda dapat membuat laporan semua pengguna di Salesforce, mengidentifikasi pengguna mana yang memiliki akun yang cocok di Entra, dan pengguna mana yang lokal ke Salesforce dengan satu klik. Pelajari selengkapnya tentang fungsionalitas penemuan akun di sini.

Opsi 2 Anda dapat menentukan pengguna mana yang sudah ada dengan menggunakan fitur data ekspor Salesforce. Untuk informasi selengkapnya, lihat Mengekspor Data Cadangan dari Salesforce. Saat mengekspor dari Salesforce, pastikan bahwa data User disertakan dalam himpunan data yang diekspor, dan pilih pengodean file ekspor yang memungkinkan semua nama pengguna di dalam organisasi, seperti Unicode (UTF-8).

Setelah Anda memiliki data yang diekspor dari Salesforce, maka Anda dapat mengekstrak file User.csv dan membuka di Excel, atau di PowerShell, untuk melihat daftar pengguna aktif yang sudah ada di Salesforce.

import-csv .\User.csv | where {$_.IsActive -eq '1'}  | sort UserName | ft UserName

Aktifkan Provisi Pengguna Otomatis

Bagian ini memandu Anda menyambungkan Microsoft Entra ID ke API provisi akun pengguna Salesforce - v40.

Petunjuk

Anda juga dapat memilih untuk mengaktifkan Sign-On Tunggal berbasis SAML untuk Salesforce, mengikuti instruksi yang diberikan di portal Azure. Masuk tunggal dapat dikonfigurasi secara independen dari penyediaan otomatis, meskipun kedua fitur ini saling melengkapi.

Mengonfigurasi provisi akun pengguna otomatis

Tujuan dari bagian ini adalah untuk menguraikan cara memungkinkan provisi akun pengguna Direktori Aktif untuk Salesforce.

1. Masuk ke pusat admin Microsoft Entra sebagai minimal seorang Cloud Application Administrator.

2. Telusuri ke Entra ID>Aplikasi Perusahaan.

3. Jika Anda telah mengonfigurasi Salesforce untuk single sign-on (SSO), cari instans Salesforce Anda menggunakan bidang pencarian. Jika tidak, pilih Tambahkan dan cari Salesforce di galeri aplikasi. Pilih Salesforce dari hasil pencarian, dan tambahkan ke daftar aplikasi Anda.

4. Pilih instans Salesforce Anda, lalu pilih tab Provisioning.

5. Pilih + Konfigurasi baru.

   

6. Di bawah bagian Kredensial Admin , berikan pengaturan konfigurasi berikut:

   1. Di kotak teks Nama Pengguna Admin, ketik nama akun Salesforce yang memiliki profil Administrator Sistem yang ditetapkan di Salesforce.com.

   2. Di kotak teks Kata Sandi Admin , ketik kata sandi untuk akun ini.

7. Untuk mendapatkan token keamanan Salesforce Anda, buka tab baru dan masuk ke akun admin Salesforce yang sama. Di sudut kanan atas halaman, pilih nama Anda, lalu pilih Pengaturan .

   

8. Di panel navigasi kiri, pilih Informasi Pribadi Saya untuk memperluas bagian terkait, lalu pilih Reset Token Keamanan Saya.

   

9. Pada halaman Reset Token Keamanan , pilih tombol Reset Token Keamanan .

   

10. Periksa kotak masuk email yang terkait dengan akun admin ini. Cari email dari Salesforce.com yang berisi token keamanan baru.

11. Salin token tersebut, buka jendela Microsoft Entra Anda, dan tempelkan di bidang Token Rahasia.

12. URL Penyewa harus dimasukkan jika instans Salesforce ada di Salesforce Government Cloud. Jika tidak, itu opsional. Masukkan URL penyewa menggunakan format https://<your-instance>.my.salesforce.com, mengganti <your-instance> dengan nama instans Salesforce Anda.

13. Pilih Uji Koneksi untuk memastikan Microsoft Entra ID dapat terhubung ke aplikasi Salesforce Anda.

14. Pilih Buat untuk membuat konfigurasi Anda.

15. Pilih Properti di halaman Gambaran Umum .

16. Pilih ikon Edit untuk mengedit properti. Aktifkan email pemberitahuan dan berikan email untuk menerima email karantina. Aktifkan pencegahan penghapusan yang tidak disengaja. Pilih Terapkan untuk menyimpan perubahan.

    

17. Pilih Pemetaan Atribut di panel kiri dan pilih pengguna.

18. Pilih Temukan identitas dalam gambaran umum provisi untuk menemukan akun di Salesforce. Opsi ini hanya akan terlihat untuk organisasi dengan lisensi Entra ID Governance.

19. Tinjau atribut pengguna yang disinkronkan dari Microsoft Entra ID ke Salesforce. Perhatikan bahwa atribut yang dipilih sebagai properti Pencocokan digunakan untuk mencocokkan akun pengguna di Salesforce untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

Catatan

Setelah pengguna disediakan dalam aplikasi Salesforce, administrator perlu mengonfigurasi pengaturan spesifik bahasa untuk mereka. Silakan lihat artikel ini untuk detail selengkapnya tentang konfigurasi bahasa.

1. Untuk mengonfigurasi filter cakupan, lihat instruksi berikut yang disediakan dalam artikel Filter cakupan.

2. Gunakan provisi sesuai permintaan untuk memvalidasi sinkronisasi dengan sejumlah kecil pengguna sebelum menyebarkan lebih luas di organisasi Anda.

3. Saat Anda siap untuk memprovisikan, pilih Mulai Provisi dari halaman Gambaran Umum .

Pemantauan

Anda dapat menggunakan bagian Detail Sinkronisasi untuk memantau kemajuan dan mengikuti tautan ke log aktivitas provisi, yang menjelaskan semua tindakan yang dilakukan oleh layanan provisi pada aplikasi Salesforce Anda.

Untuk informasi selengkapnya tentang cara membaca log provisi Microsoft Entra, lihat Pelaporan tentang provisi akun pengguna otomatis.

Menetapkan pengguna

Setelah pengujian selesai, dan pengguna berhasil diprovisikan ke Salesforce, maka Anda akan ingin memastikan pengguna lain yang membutuhkan Salesforce ditetapkan ke peran aplikasi. Ini termasuk setiap pengguna yang saat ini memiliki akun aktif di Salesforce, seperti yang dijelaskan di bagian Mengidentifikasi pengguna yang ada di Salesforce. Anda dapat menetapkan ini dan pengguna tambahan yang berwenang ke aplikasi Salesforce di Microsoft Entra dengan mengikuti salah satu petunjuk di tautan ini.

• Anda dapat menetapkan setiap pengguna individu ke aplikasi di pusat admin Microsoft Entra,
• Anda dapat menetapkan pengguna individual ke aplikasi melalui Microsoft Graph atau cmdlet PowerShell New-MgServicePrincipalAppRoleAssignedTo, atau
• jika organisasi Anda memiliki lisensi untuk Tata Kelola Microsoft Entra ID, Anda juga dapat menyebarkan kebijakan pengelolaan pemberian hak untuk mengotomatiskan penetapan akses, untuk menambahkan atau menghapus tugas saat orang bergabung dengan organisasi, atau meninggalkan atau mengubah peran. Anda dapat membuat paket akses pengelolaan pemberian hak untuk aplikasi ini. Anda dapat memiliki kebijakan bagi pengguna untuk diberi akses, baik saat mereka meminta, oleh administrator, secara otomatis berdasarkan aturan, atau melalui alur kerja siklus hidup.

Saat pengguna yang ditetapkan ke aplikasi diperbarui dalam Microsoft Entra ID, perubahan tersebut secara otomatis dipindahkan ke Salesforce.

Masalah umum

• Jika Anda mengalami masalah saat mengaktifkan penyediaan ke Salesforce, pastikan hal-hal berikut ini:
  • Kredensial yang digunakan memiliki akses admin ke Salesforce.
  • Versi Salesforce yang Anda gunakan mendukung Akses Web (seperti Developer, Enterprise, Sandbox, dan Salesforce edisi Unlimited.)
  • Akses Web API diaktifkan untuk pengguna.
• Layanan provisi Microsoft Entra mendukung provisi bahasa, lokal, dan zona waktu untuk pengguna. Atribut ini berada dalam pemetaan atribut default tetapi tidak memiliki atribut sumber default. Pastikan Anda memilih atribut sumber default dan atribut source berada dalam format yang diharapkan oleh SalesForce. Misalnya, localeSidKey untuk bahasa Inggris (Amerika Serikat) en_US. Tinjau panduan yang disediakan di sini untuk menentukan format localeSidKey yang tepat. Format languageLocaleKey dapat ditemukan di sini. Selain memastikan bahwa formatnya benar, Anda mungkin perlu memastikan bahwa bahasa diaktifkan untuk pengguna Anda seperti yang dijelaskan di sini.
• SalesforceLicenseLimitExceeded: Pengguna tidak dapat dibuat di Salesforce karena tidak ada lisensi yang tersedia untuk pengguna ini. Dapatkan lisensi tambahan untuk aplikasi target, atau tinjau penugasan pengguna Anda untuk memastikan bahwa pengguna yang benar ditetapkan.
• SalesforceDuplicateUserName: Pengguna tidak dapat disediakan karena memiliki Salesforce.com 'Nama Pengguna' yang diduplikasi di penyewa Salesforce.com lain.  Dalam Salesforce.com, nilai untuk atribut 'Nama Pengguna' harus unik di semua pengguna Salesforce.com.  Secara bawaan, userPrincipalName pengguna di Microsoft Entra ID menjadi 'Nama Pengguna' mereka di Salesforce.com.  Anda memiliki dua opsi.  Salah satu opsinya adalah mencari dan mengganti nama pengguna dengan duplikat 'Nama Pengguna' di penyewa Salesforce.com lainnya, jika Anda juga mengelola penyewa tersebut.  Opsi lainnya adalah menghapus akses dari pengguna Microsoft Entra ke penyewa Salesforce.com yang terintegrasi dengan direktori Anda. Kami akan mencoba kembali operasi ini pada upaya sinkronisasi berikutnya.
• SalesforceRequiredFieldMissing: Salesforce mengharuskan atribut tertentu hadir pada pengguna agar berhasil membuat atau memperbarui pengguna. Pengguna ini kehilangan salah satu atribut yang diperlukan. Pastikan bahwa atribut seperti email dan alias diisi pada semua pengguna yang ingin Anda undang ke dalam Salesforce. Anda dapat mencakup pengguna yang tidak memiliki atribut ini menggunakan filter cakupan berbasis atribut.
• Pemetaan atribut default untuk penyediaan ke Salesforce menyertakan ekspresi SingleAppRoleAssignments untuk memetakan appRoleAssignments dalam Microsoft Entra ID ke ProfileName di Salesforce. Pastikan bahwa pengguna tidak memiliki beberapa penetapan peran aplikasi di Microsoft Entra ID karena pemetaan atribut hanya mendukung provisi satu peran. Jika Anda memiliki sekelompok pengguna di mana grup ditetapkan ke satu peran, maka anggota grup tersebut tidak dapat memiliki penugasan langsung ke aplikasi Salesforce dengan peran yang berbeda.
• Salesforce mengharuskan pembaruan email disetujui secara manual sebelum diubah. Akibatnya, Anda mungkin melihat beberapa entri dalam log provisi untuk memperbarui email pengguna (hingga perubahan email disetujui).

Sumber Daya Tambahan:

• Mengelola provisi akun pengguna untuk Aplikasi Perusahaan
• Apa itu akses aplikasi dan masuk tunggal dengan Microsoft Entra ID?
• Mengonfigurasi Akses Menyeluruh