Samouczek: konfigurowanie usługi Salesforce na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

Celem tego samouczka jest pokazanie kroków wymaganych do wykonania w usługach Salesforce i Microsoft Entra ID w celu automatycznego aprowizowania i anulowania aprowizacji kont użytkowników z identyfikatora Entra firmy Microsoft do usługi Salesforce.

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące elementy:

  • Dzierżawa Microsoft Entra
  • Dzierżawa Salesforce.com

Uwaga

Podczas importowania ról nie należy edytować ręcznie w identyfikatorze Entra firmy Microsoft.

Ważne

Jeśli używasz konta wersji próbnej Salesforce.com, nie będzie można skonfigurować automatycznej aprowizacji użytkowników. Konta wersji próbnej nie mają włączonego niezbędnego dostępu do interfejsu API, dopóki nie zostaną zakupione. Możesz obejść to ograniczenie, korzystając z bezpłatnego konta dewelopera, aby ukończyć ten samouczek.

Jeśli używasz środowiska piaskownicy usługi Salesforce, zapoznaj się z samouczkiem dotyczącym integracji piaskownicy usługi Salesforce.

Przypisywanie użytkowników do usługi Salesforce

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji kont użytkowników synchronizowane są tylko użytkownicy i grupy, które są "przypisane" do aplikacji w usłudze Microsoft Entra ID.

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do aplikacji Salesforce. Możesz przypisać tych użytkowników do aplikacji Salesforce, postępując zgodnie z instrukcjami w temacie Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw

Ważne porady dotyczące przypisywania użytkowników do usługi Salesforce

  • Zaleca się przypisanie pojedynczego użytkownika firmy Microsoft Entra do usługi Salesforce w celu przetestowania konfiguracji aprowizacji. Więcej użytkowników i/lub grup może być przypisanych później.

  • Podczas przypisywania użytkownika do usługi Salesforce należy wybrać prawidłową rolę użytkownika. Rola "Dostęp domyślny" nie działa na potrzeby aprowizacji

    Uwaga

    Ta aplikacja importuje profile z usługi Salesforce w ramach procesu aprowizacji, który klient może chcieć wybrać podczas przypisywania użytkowników w usłudze Microsoft Entra ID. Należy pamiętać, że profile importowane z usługi Salesforce są wyświetlane jako role w identyfikatorze Entra firmy Microsoft.

Włączanie automatycznej aprowizacji użytkowników

Ta sekcja przeprowadzi Cię przez proces łączenia identyfikatora Entra firmy Microsoft z interfejsem API aprowizacji kont użytkowników usługi Salesforce — wersja 40

Napiwek

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla usługi Salesforce, postępując zgodnie z instrukcjami podanymi w witrynie Azure Portal. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji, chociaż te dwie funkcje się uzupełniają.

Konfigurowanie automatycznej aprowizacji kont użytkowników

Celem tej sekcji jest przedstawienie sposobu włączania aprowizacji użytkowników kont użytkowników usługi Active Directory w usłudze Salesforce.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

  3. Jeśli skonfigurowano usługę Salesforce na potrzeby logowania jednokrotnego, wyszukaj wystąpienie usługi Salesforce przy użyciu pola wyszukiwania. W przeciwnym razie wybierz pozycję Dodaj i wyszukaj pozycję Salesforce w galerii aplikacji. Wybierz pozycję Salesforce z wyników wyszukiwania i dodaj ją do listy aplikacji.

  4. Wybierz swoje wystąpienie usługi Salesforce, a następnie wybierz kartę Aprowizacja .

  5. Ustaw Tryb aprowizacji na Automatyczny.

    Screenshot shows the Salesforce Provisioning page, with Provisioning Mode set to Automatic and other values you can set.

  6. W sekcji Administracja Credentials (Poświadczenia Administracja) podaj następujące ustawienia konfiguracji:

    1. W polu tekstowym nazwa użytkownika Administracja wpisz nazwę konta usługi Salesforce z przypisanym profilem System Administracja istrator w Salesforce.com.

    2. W polu tekstowym Administracja Password (Hasło) wpisz hasło dla tego konta.

  7. Aby uzyskać token zabezpieczający usługi Salesforce, otwórz nową kartę i zaloguj się do tego samego konta administratora usługi Salesforce. W prawym górnym rogu strony kliknij swoją nazwę, a następnie kliknij Ustawienia.

    Screenshot shows the Settings link selected.

  8. W okienku nawigacji po lewej stronie kliknij pozycję Moje dane osobowe, aby rozwinąć powiązaną sekcję, a następnie kliknij pozycję Resetuj mój token zabezpieczający.

    Screenshot shows Reset My Security Token selected from My Personal Information.

  9. Na stronie Resetowanie tokenu zabezpieczającego kliknij przycisk Resetuj token zabezpieczający.

    Screenshot shows the Rest Security Token page, with explanatory text and the option to Reset Security Token

  10. Sprawdź skrzynkę odbiorczą poczty e-mail skojarzoną z tym kontem administratora. Wyszukaj wiadomość e-mail z Salesforce.com zawierającą nowy token zabezpieczający.

  11. Skopiuj token, przejdź do okna Microsoft Entra i wklej go w polu Token tajny.

  12. Adres URL dzierżawy należy wprowadzić, jeśli wystąpienie usługi Salesforce znajduje się w chmurze Salesforce Government. W przeciwnym razie jest to opcjonalne. Wprowadź adres URL dzierżawy przy użyciu formatu "https://< your-instance.my.salesforce.com>", zastępując <wystąpienie> nazwą wystąpienia usługi Salesforce.

  13. Wybierz pozycję Test Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z aplikacją Salesforce.

  14. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, a następnie zaznacz poniższe pole wyboru.

  15. Kliknij przycisk Zapisz.

  16. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą Salesforce.

  17. W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi Salesforce. Należy pamiętać, że atrybuty wybrane jako pasujące właściwości są używane do dopasowania kont użytkowników w usłudze Salesforce na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić zmiany.

  18. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Salesforce, zmień stan aprowizacji na . w sekcji Ustawienia

  19. Kliknij przycisk Zapisz.

Uwaga

Po aprowizacji użytkowników w aplikacji Usługi Salesforce administrator musi skonfigurować ustawienia specyficzne dla języka. Aby uzyskać więcej informacji na temat konfiguracji języka, zobacz ten artykuł.

Spowoduje to rozpoczęcie początkowej synchronizacji wszystkich użytkowników i/lub grup przypisanych do usługi Salesforce w sekcji Użytkownicy i grupy. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do dzienników aktywności aprowizacji, które opisują wszystkie akcje wykonywane przez usługę aprowizacji w aplikacji Salesforce.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

Typowe problemy

  • Jeśli masz problemy z autoryzacją dostępu do usługi Salesforce, upewnij się, że:
    • Użyte poświadczenia mają dostęp administratora do usługi Salesforce.
    • Wersja usługi Salesforce, której używasz, obsługuje program Web Access (np. Developer, Enterprise, Sandbox i Unlimited wersji usługi Salesforce).
    • Dostęp do internetowego interfejsu API jest włączony dla użytkownika.
  • Usługa aprowizacji firmy Microsoft obsługuje język aprowizacji, ustawienia regionalne i strefę czasową dla użytkownika. Te atrybuty znajdują się w domyślnych mapowaniach atrybutów, ale nie mają domyślnego atrybutu źródłowego. Upewnij się, że wybrano domyślny atrybut źródłowy i że atrybut źródłowy jest w formacie oczekiwanym przez usługę SalesForce. Na przykład właściwość localeSidKey dla języka angielskiego (Stany Zjednoczone) jest en_US. Zapoznaj się ze wskazówkami podanymi tutaj , aby określić odpowiedni format localeSidKey. Formaty languageLocaleKey można znaleźć tutaj. Oprócz upewnienia się, że format jest poprawny, może być konieczne upewnienie się, że język jest włączony dla użytkowników zgodnie z opisem w tym miejscu.
  • SalesforceLicenseLimitExceeded: nie można utworzyć użytkownika w aplikacji docelowej, ponieważ nie ma dostępnych licencji dla tego użytkownika. Możesz uzyskać dodatkowe licencje dla aplikacji docelowej lub przejrzeć przypisania użytkowników i konfigurację mapowania atrybutów, aby upewnić się, że poprawne użytkownicy są przypisani z odpowiednimi atrybutami.
  • SalesforceDuplicateUserName: nie można aprowizować użytkownika, ponieważ ma on Salesforce.com "Nazwa użytkownika", który jest zduplikowany w innej dzierżawie Salesforce.com.  W Salesforce.com wartości atrybutu "Nazwa użytkownika" muszą być unikatowe we wszystkich dzierżawach Salesforce.com.  Domyślnie nazwa userPrincipalName użytkownika w identyfikatorze Entra firmy Microsoft staje się nazwą użytkownika w Salesforce.com.  Dostępne są dwie opcje.  Jedną z opcji jest znalezienie i zmiana nazwy użytkownika na zduplikowaną nazwę użytkownika w innej dzierżawie Salesforce.com, jeśli administrowasz również inną dzierżawą.  Drugą opcją jest usunięcie dostępu z użytkownika Microsoft Entra do dzierżawy Salesforce.com, z którą jest zintegrowany katalog. Spróbujemy ponowić próbę wykonania tej operacji podczas następnej próby synchronizacji.
  • SalesforceRequiredFieldMissing: usługa Salesforce wymaga obecności niektórych atrybutów użytkownika w celu pomyślnego utworzenia lub zaktualizowania użytkownika. Ten użytkownik nie ma jednego z wymaganych atrybutów. Upewnij się, że atrybuty, takie jak poczta e-mail i alias, są wypełniane dla wszystkich użytkowników, których chcesz aprowizować w usłudze Salesforce. Możesz ograniczyć zakres użytkowników, którzy nie mają tych atrybutów, używając filtrów określania zakresu opartych na atrybutach.
  • Domyślne mapowanie atrybutów na potrzeby aprowizacji w usłudze Salesforce obejmuje wyrażenie SingleAppRoleAssignments w celu mapowania atrybutów appRoleAssignments w usłudze Microsoft Entra ID na profileName w usłudze Salesforce. Upewnij się, że użytkownicy nie mają wielu przypisań ról aplikacji w identyfikatorze Entra firmy Microsoft, ponieważ mapowanie atrybutów obsługuje tylko aprowizację jednej roli.
  • Usługa Salesforce wymaga ręcznego zatwierdzenia aktualizacji poczty e-mail przed zmianą. W związku z tym w dziennikach aprowizacji może zostać wyświetlonych wiele wpisów w celu zaktualizowania wiadomości e-mail użytkownika (do momentu zatwierdzenia zmiany wiadomości e-mail).

Dodatkowe zasoby