Zelfstudie: Salesforce configureren voor automatische gebruikersinrichting
Het doel van deze zelfstudie is om de stappen weer te geven die moeten worden uitgevoerd in Salesforce en Microsoft Entra ID om gebruikersaccounts automatisch in te richten en de inrichting van gebruikersaccounts van Microsoft Entra ID ongedaan te maken voor Salesforce.
Vereisten
In het scenario dat in deze zelfstudie wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende items:
Een Microsoft Entra-tenant.
Een Salesforce.com tenant.
De gebruikersnaam en het wachtwoord van een Salesforce-account en het token. Als u het accountwachtwoord later opnieuw instelt, beschikt Salesforce over een nieuw token en moet u de inrichtingsinstellingen van Salesforce bewerken.
Een aangepast gebruikersprofiel in Salesforce. Nadat u een aangepast profiel hebt gemaakt in de Salesforce-portal, bewerkt u de beheerdersmachtigingen van het profiel om het volgende in te schakelen:
API ingeschakeld.
Gebruikers beheren: Als u deze optie inschakelt, schakelt u automatisch het volgende in: Machtigingensets toewijzen, IP-adressen voor interne gebruikers beheren, beleid voor aanmeldingstoegang beheren, wachtwoordbeleid beheren, profielen en machtigingensets beheren, rollen beheren, delen beheren, gebruikerswachtwoorden opnieuw instellen en gebruikers ontgrendelen, alle gebruikers weergeven, rollen en hiërarchie weergeven, Instellingen en configuratie weergeven.
Zie ook de documentatie voor Salesforce Create- of Clone-profielen .
Notitie
Wijs de machtigingen rechtstreeks toe aan het profiel. Voeg de machtigingen niet toe via machtigingensets.
Notitie
Rollen mogen niet handmatig worden bewerkt in Microsoft Entra-id bij het importeren van rollen.
Belangrijk
Als u een Salesforce.com-proefaccount gebruikt, kunt u automatische inrichting van gebruikers niet configureren. Voor proefaccounts is de benodigde API-toegang pas ingeschakeld als deze zijn gekocht. U kunt deze beperking omzeilen door een gratis ontwikkelaarsaccount te gebruiken om deze zelfstudie te voltooien.
Als u een Salesforce Sandbox-omgeving gebruikt, raadpleegt u de zelfstudie voor Salesforce Sandbox-integratie.
Gebruikers toewijzen aan Salesforce
Microsoft Entra ID maakt gebruik van een concept met de naam 'toewijzingen' om te bepalen welke gebruikers toegang moeten krijgen tot geselecteerde apps. In de context van het automatisch inrichten van gebruikersaccounts worden alleen de gebruikers en groepen gesynchroniseerd die aan een toepassing in Microsoft Entra-id zijn toegewezen.
Voordat u de inrichtingsservice configureert en inschakelt, moet u beslissen welke gebruikers of groepen in Microsoft Entra ID toegang nodig hebben tot uw Salesforce-app. U kunt deze gebruikers toewijzen aan uw Salesforce-app door de instructies in Een gebruiker of groep toewijzen aan een bedrijfs-app te volgen
Belangrijke tips voor het toewijzen van gebruikers aan Salesforce
Het wordt aanbevolen om één Microsoft Entra-gebruiker toe te wijzen aan Salesforce om de inrichtingsconfiguratie te testen. Meer gebruikers en/of groepen kunnen dan later nog worden toegewezen.
Wanneer u een gebruiker aan Salesforce toewijst, moet u een geldige gebruikersrol selecteren. De rol Standaardtoegang werkt niet voor inrichting.
Notitie
Met deze app importeert u profielen uit Salesforce als onderdeel van het inrichtingsproces, die de klant mogelijk wilt selecteren bij het toewijzen van gebruikers in Microsoft Entra-id. Houd er rekening mee dat de profielen die worden geïmporteerd uit Salesforce worden weergegeven als rollen in Microsoft Entra-id.
Automatische inrichting van gebruikers inschakelen
In deze sectie wordt u begeleid bij het verbinden van uw Microsoft Entra-id met de API voor het inrichten van gebruikersaccounts van Salesforce - v40
Tip
U kunt er ook voor kiezen om eenmalige aanmelding op basis van SAML in te schakelen voor Salesforce. Volg hiervoor de instructies in Azure Portal. Eenmalige aanmelding kan onafhankelijk van automatische inrichting worden geconfigureerd, maar deze twee functies vormen een aanvulling op elkaar.
Automatische inrichting van gebruikersaccounts configureren
Het doel van deze sectie is om een overzicht te geven van het inschakelen van gebruikersinrichting van Active Directory-gebruikersaccounts in Salesforce.
Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Als u Salesforce hebt geconfigureerd voor eenmalige aanmelding, zoekt u uw exemplaar van Salesforce met behulp van het zoekveld. Selecteer anders Toevoegen en zoek naar Salesforce in de toepassingsgalerie. Selecteer Salesforce in de zoekresultaten en voeg het toe aan uw lijst met toepassingen.
Selecteer uw exemplaar van Salesforce en selecteer vervolgens het tabblad Inrichten.
Stel Inrichtingsmodus in op Automatisch.
Geef in de sectie Beheerdersreferenties de volgende configuratie-instellingen op:
Typ in het tekstvak Gebruikersnaam van beheerder een naam voor het Salesforce-account waaraan het profiel Systeembeheerder in Salesforce.com is toegewezen.
Typ in het tekstvak Wachtwoord voor beheerder het wachtwoord voor dit account.
Als u een beveiligingstoken voor Salesforce wilt ophalen, opent u een nieuw tabblad en meldt u zich aan met hetzelfde Salesforce-beheerdersaccount. Klik in de rechterbovenhoek van de pagina op uw naam en klik vervolgens op Settings.
Klik in het linkernavigatievenster op My Personal Information om de gerelateerde sectie uit te vouwen en klik vervolgens op Reset My Security Token.
Klik op de pagina Beveiligingstoken opnieuw instellen op de knop Beveiligingstoken opnieuw instellen.
Controleer het postvak IN van het e-mailadres dat aan dit beheerdersaccount is gekoppeld. Zoek naar een e-mailbericht van Salesforce.com dat het nieuwe beveiligingstoken bevat.
Kopieer het token, ga naar uw Microsoft Entra-venster en plak het in het veld Token voor geheim.
De tenant-URL moet worden ingevoerd als het exemplaar van Salesforce zich in de Salesforce Government Cloud bevindt. Anders is het optioneel. Voer de tenant-URL in met behulp van de indeling ,
https://<your-instance>.my.salesforce.com
waarbij u<your-instance>
de naam van uw Salesforce-exemplaar vervangt.Selecteer Verbinding testen om te controleren of de Microsoft Entra-id verbinding kan maken met uw Salesforce-app.
Voer het e-mailadres in van een persoon of groep die meldingen van inrichtingsfouten moet ontvangen in het veld E-mailadres voor meldingen en schakel het onderstaande selectievakje in.
Klik op Opslaan.
Selecteer in de sectie Toewijzingen Microsoft Entra-gebruikers synchroniseren met Salesforce.
Controleer in de sectie Kenmerktoewijzingen de gebruikerskenmerken die vanuit Microsoft Entra-id met Salesforce worden gesynchroniseerd. U ziet dat de kenmerken die zijn geselecteerd als overeenkomende eigenschappen, worden gebruikt om de gebruikersaccounts in Salesforce te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.
Als u de Microsoft Entra-inrichtingsservice voor Salesforce wilt inschakelen, wijzigt u de inrichtingsstatus in Aan in de sectie Instellingen
Klik op Opslaan.
Notitie
Zodra de gebruikers zijn ingericht in de Salesforce-toepassing, moet de beheerder de taalspecifieke instellingen voor hen configureren. Lees dit artikel voor meer informatie over het configureren van taal.
De eerste synchronisatie van gebruikers en/of groepen die zijn toegewezen aan Salesforce in de sectie Gebruikers en Groepen wordt gestart. De eerste synchronisatie duurt langer dan volgende synchronisaties, die ongeveer om de 40 minuten plaatsvinden zolang de service wordt uitgevoerd. U kunt de sectie Synchronisatiedetails gebruiken om de voortgang te controleren en koppelingen te volgen naar activiteitenlogboeken van de inrichting, waarin alle acties worden beschreven die met de inrichtingsservice worden uitgevoerd voor uw Salesforce-app.
Zie Rapportage over automatische inrichting van gebruikersaccounts voor meer informatie over het lezen van de Microsoft Entra-inrichtingslogboeken.
Algemene problemen
- Als u problemen ondervindt met het autoriseren van toegang tot Salesforce, controleert u het volgende:
- De referenties die worden gebruikt, hebben beheerderstoegang tot Salesforce.
- De versie van Salesforce die u gebruikt, ondersteunt Web Access (zoals Developer, Enterprise, Sandbox en Unlimited-edities van Salesforce.)
- Web-API-toegang is ingeschakeld voor de gebruiker.
- De Microsoft Entra-inrichtingsservice ondersteunt de inrichtingstaal, landinstellingen en tijdzone voor een gebruiker. Deze kenmerken bevinden zich in de standaardkenmerktoewijzingen, maar hebben geen standaardbronkenmerk. Zorg ervoor dat u het standaardbronkenmerk selecteert en dat het bronkenmerk de indeling heeft die door SalesForce wordt verwacht. LocaleSidKey voor engels (Verenigde Staten) is bijvoorbeeld en_US. Bekijk de richtlijnen die hier worden gegeven om de juiste localeSidKey-indeling te bepalen. De languageLocaleKey-indelingen vindt u hier. Naast ervoor te zorgen dat de indeling juist is, moet u er mogelijk voor zorgen dat de taal is ingeschakeld voor uw gebruikers, zoals hier wordt beschreven.
- SalesforceLicenseLimitExceeded: De gebruiker kan niet worden gemaakt in de doeltoepassing omdat er geen licenties beschikbaar zijn voor deze gebruiker. Koop extra licenties voor de doeltoepassing of controleer uw gebruikerstoewijzingen en kenmerktoewijzingsconfiguratie om ervoor te zorgen dat de juiste gebruikers met de juiste kenmerken worden toegewezen.
- SalesforceDuplicateUserName: De gebruiker kan niet worden ingericht omdat deze een Salesforce.com-gebruikersnaam heeft die is gedupliceerd in een andere Salesforce.com-tenant. In Salesforce.com moeten waarden voor het kenmerk 'Gebruikersnaam' uniek zijn voor alle Salesforce.com-tenants. Standaard wordt de userPrincipalName van een gebruiker in Microsoft Entra ID de gebruikersnaam in Salesforce.com. U hebt twee opties. Een optie is om de gebruiker te zoeken en de naam ervan te wijzigen met de dubbele gebruikersnaam in de andere Salesforce.com-tenant, als u die andere tenant ook beheert. De andere optie is om de toegang van de Microsoft Entra-gebruiker te verwijderen naar de Salesforce.com-tenant waarmee uw directory is geïntegreerd. Deze bewerking wordt opnieuw uitgevoerd bij de volgende synchronisatiepoging.
- SalesforceRequiredFieldMissing: Salesforce vereist dat bepaalde kenmerken aanwezig zijn op de gebruiker om de gebruiker te maken of bij te werken. Deze gebruiker mist een van de vereiste kenmerken. Zorg ervoor dat kenmerken zoals e-mail en alias worden ingevuld voor alle gebruikers die u wilt inrichten in Salesforce. U kunt gebruikers bereiken die deze kenmerken niet hebben met behulp van op kenmerken gebaseerde bereikfilters.
- De standaardkenmerktoewijzing voor inrichting in Salesforce bevat de expressie SingleAppRoleAssignments om appRoleAssignments in Microsoft Entra ID toe te wijzen aan ProfileName in Salesforce. Zorg ervoor dat de gebruikers niet meerdere app-roltoewijzingen hebben in Microsoft Entra-id omdat de kenmerktoewijzing alleen ondersteuning biedt voor het inrichten van één rol.
- Salesforce vereist dat e-mailupdates handmatig worden goedgekeurd voordat ze worden gewijzigd. Als gevolg hiervan ziet u mogelijk meerdere vermeldingen in de inrichtingslogboeken om het e-mailadres van de gebruiker bij te werken (totdat de e-mailwijziging is goedgekeurd).