チュートリアル: Salesforce Sandbox を構成し、自動ユーザー プロビジョニングに対応させる
このチュートリアルの目的は、Microsoft Entra ID から Salesforce Sandbox に対するユーザー アカウントのプロビジョニングおよびプロビジョニング解除を自動的に行うために、Salesforce Sandbox と Microsoft Entra ID で行う必要がある手順を示すことです。
前提条件
このチュートリアルで説明するシナリオでは、次の項目があることを前提としています。
- Microsoft Entra テナント。
- Salesforce Sandbox for Work または Salesforce Sandbox for Education の有効なテナント。 どちらのサービスにも無料試用版のアカウントを使用できます。
- Team Admin アクセス許可がある Salesforce Sandbox のユーザー アカウント
Salesforce Sandbox へのユーザーの割り当て
Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー アカウント プロビジョニングのコンテキストでは、Microsoft Entra ID のアプリケーションに "割り当て済み" のユーザーとグループのみが同期されます。
プロビジョニング サービスを構成して有効にする前に、Salesforce Sandbox アプリへのアクセスが必要な Microsoft Entra ID 内のユーザーまたはグループを決定しておく必要があります。 これを決定したら、エンタープライズ アプリへのユーザーまたはグループの割り当てに関する手順に従って、これらのユーザーを Salesforce Sandbox アプリに割り当てることができます。
ユーザーを Salesforce Sandbox に割り当てる際の重要なヒント
単一の Microsoft Entra ユーザーを Salesforce Sandbox に割り当てて、プロビジョニングの構成をテストすることをお勧めします。 後でユーザーやグループを追加で割り当てられます。
Salesforce Sandbox にユーザーを割り当てるときに、有効なユーザー ロールを選択する必要があります。 "既定のアクセス" ロールはプロビジョニングでは使えません。
注意
Salesforce Sandbox アプリでは、既定で、プロビジョニングされたユーザーのユーザー名とメール アドレスに文字列が付加されます。 ユーザー名とメール アドレスは Salesforce 全体で一意である必要があります。これは、サンドボックスで実際のユーザー データが作成されないようにするためです。作成されると、これらのユーザーが実稼働 Salesforce 環境にプロビジョニングされなくなります。
注意
このアプリにより、プロビジョニング プロセスの一環として Salesforce Sandbox からカスタム ロールがインポートされます。顧客はユーザーを割り当てるとき、ロールを選択します。
自動化されたユーザー プロビジョニングを有効にする
このセクションでは、Microsoft Entra ID を Salesforce Sandbox のユーザー アカウント プロビジョニング API に接続する手順と、Microsoft Entra ID でのユーザーとグループの割り当てに基づいて、割り当て済みのユーザー アカウントを Salesforce Sandbox で作成、更新、無効化するようにプロビジョニング サービスを構成する手順を説明します。
ヒント
Salesforce Sandbox では SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Azure portal で説明されている手順に従ってください。 シングル サインオンは自動プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
自動ユーザー アカウント プロビジョニングを構成する
このセクションでは、Active Directory のユーザー アカウントのユーザー プロビジョニングを Salesforce Sandbox に対して有効にする方法について説明します。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
シングル サインオンのために Salesforce Sandbox を既に構成している場合は、検索フィールドで Salesforce Sandbox のインスタンスを検索します。 構成していない場合は、 [追加] を選択してアプリケーション ギャラリーで Salesforce Sandbox を検索します。 検索結果から Salesforce Sandbox を選択してアプリケーションの一覧に追加します。
Salesforce Sandbox のインスタンスを選択してから、 [プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションに次の構成設定を指定します。
[管理ユーザー名] ボックスに、Salesforce.com でシステム管理者プロファイルが割り当てられている Salesforce Sandbox アカウント名を入力します。
[管理パスワード] テキストボックスに、このアカウントのパスワードを入力します。
Salesforce Sandbox のセキュリティ トークンを取得するには、新しいタブを開き、同じ Salesforce Sandbox の管理者アカウントにサインインします。 ページの右上にある自分の名前をクリックし、 [Settings](設定) をクリックします。
左側のナビゲーション ウィンドウで [私の個人情報] をクリックして関連するセクションを展開し、 [私のセキュリティ トークンのリセット] をクリックします。
[セキュリティ トークンのリセット] ページで、 [セキュリティ トークンのリセット] ボタンをクリックします。
この管理アカウントに関連付けられている電子メールの受信トレイを確認します。 新しいセキュリティ トークンが記載された Salesforce Sandbox.com からの電子メールを探します。
トークンをコピーして、Microsoft Entra のウィンドウに移動し、[シークレット トークン] フィールドに貼り付けます。
[接続のテスト] をクリックして、Microsoft Entra ID で Salesforce Sandbox アプリに接続できることを確かめます。
プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを [通知用メール] フィールドに入力して、チェック ボックスをオンにします。
[保存] をクリックします。
[マッピング] セクションで、[Microsoft Entra ユーザーを Salesforce Sandbox に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Salesforce Sandbox に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Salesforce Sandbox のユーザー アカウントとの照合に使用されることに注意してください。 [保存] ボタンをクリックして変更をコミットします。
Salesforce Sandbox に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニング状態] を [オン] に変更します
[保存] をクリックします。
これで、[ユーザーとグループ] セクションで Salesforce Sandbox に割り当てたユーザーやグループの初期同期が開始されます。 初期同期は後続の同期よりも実行に時間がかかります。後続の同期は、サービスが実行されている限り約 40 分ごとに実行されます。 [同期の詳細] セクションを使用すると、進行状況を監視できるほか、リンクをクリックしてプロビジョニング アクティビティ ログを取得できます。このログには、プロビジョニング サービスによって Salesforce Sandbox アプリに対して実行されたすべてのアクションが記載されています。
Microsoft Entra プロビジョニング ログの読み方の詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。