Configurar o Salesforce para provisionamento automático de usuário com a ID do Microsoft Entra

O objetivo deste artigo é mostrar as etapas a serem seguidas no Salesforce e no Microsoft Entra ID para o provisionamento e desprovisionamento automáticos de contas de usuários do Microsoft Entra ID para o Salesforce.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes itens:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
• Uma das seguintes funções:
  • Administrador de Aplicativos
  • Administrador de Aplicativos de Nuvem
  • Proprietário do aplicativo.

• Um locatário do Salesforce.com.

• Um nome de usuário e senha da conta do Salesforce e o token. Consulte configurar o provisionamento automático de conta de usuário para saber como obter o token. No futuro, se você redefinir a senha da conta, o Salesforce fornecerá um novo token e você precisará editar as configurações de provisionamento do Salesforce.

• Um perfil de usuário personalizado no Salesforce para o usuário de integração. Após criar um perfil personalizado no portal do Salesforce, edite as Permissões Administrativas do perfil para habilitar o seguinte:

  • API Habilitada.

  • Gerenciar Usuários: ao habilitar essa opção, habilitará automaticamente o seguinte: Atribuir Conjuntos de Permissões, Gerenciar Endereços IP de UsersManage Internos, Gerenciar Políticas de Acesso de Logon, Gerenciar Políticas de Senha, Gerenciar Perfis e Conjuntos de Permissões, Gerenciar Funções, Gerenciar Compartilhamento, Redefinir Senhas de Usuário e Desbloquear Usuários, Exibir Todos os Usuários, Exibir Funções e Hierarquia, Exibir configuração.

  Consulte também a documentação Criar ou clonar perfis do Salesforce.

  Observação

  Atribua as permissões diretamente a esse perfil. Não adicione as permissões por meio dos conjuntos de permissões.

Importante

Se você estiver usando uma conta de avaliação Salesforce.com, não poderá configurar o provisionamento automatizado de usuários. As contas de avaliação não têm o acesso necessário à API habilitado até que sejam compradas. Você pode contornar essa limitação usando uma conta de desenvolvedor gratuita para concluir este artigo.

Se você estiver usando um ambiente de Área Restrita do Salesforce, consulte o artigo de integração da Área Restrita do Salesforce.

Planejar a atribuição de usuários ao Salesforce

A ID do Microsoft Entra usa um conceito chamado “atribuições” para determinar os usuários que devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático da conta de usuário, somente os usuários e grupos "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários ou grupos no Microsoft Entra ID precisam de acesso ao aplicativo Salesforce.

Dicas importantes para atribuir usuários ao Salesforce

• É recomendável que um único usuário do Microsoft Entra seja atribuído ao Salesforce para testar a configuração de provisionamento. Mais usuários e/ou grupos podem ser atribuídos posteriormente, por meio dos mecanismos descritos em Atribuir usuários.

• Ao atribuir um usuário ao Salesforce, você deve selecionar uma função de usuário válida. A função de "Acesso Padrão" não funciona para provisionamento. Observe que algumas funções podem exigir licenciamento no Salesforce.

  Observação

  Como parte do processo de provisionamento, o Microsoft Entra importa perfis do Salesforce. Os perfis importados do Salesforce aparecem como funções de aplicativo na ID do Microsoft Entra, para que você possa selecionar ao atribuir usuários na ID do Microsoft Entra. Se você quiser atribuir usuários a um perfil personalizado, aguarde até que os perfis sejam importados do Salesforce antes de atribuir usuários a um aplicativo. Observe que as funções de aplicativo não devem ser editadas manualmente na ID do Microsoft Entra ao fazer importações de função.

Identificando usuários existentes no Salesforce

Antes da integração com o Microsoft Entra, sua conta do Salesforce já pode ter um ou mais usuários, criados por um administrador do Salesforce ou outros processos. Você pode determinar quais usuários já estão presentes usando o recurso de dados de exportação do Salesforce. Para obter mais informações, consulte Exportar dados de backup do Salesforce. Ao exportar do Salesforce, verifique se os dados User estão incluídos no conjunto de dados exportado e selecione uma codificação de arquivo de exportação que permita todos os nomes dos usuários na organização, como Unicode (UTF-8).

Depois de ter os dados exportados do Salesforce, você poderá extrair o User.csv arquivo e abrir no Excel, ou no PowerShell, para exibir a lista de usuários ativos que já estão no Salesforce.

import-csv .\User.csv | where {$_.IsActive -eq '1'}  | sort UserName | ft UserName

Habilitar o provisionamento automatizado de usuários

Esta seção orienta você pela conexão da ID do Microsoft Entra à API de provisionamento de conta de usuário do Salesforce – v40.

Dica

Você também pode optar por habilitar o Logon Único baseado em SAML para o Salesforce, seguindo as instruções fornecidas no portal do Azure. O logon único pode ser configurado independentemente do provisionamento automático, embora esses dois recursos sejam complementares.

Configurar o provisionamento automático de conta de usuário

O objetivo desta seção é descrever como habilitar o provisionamento de contas de usuário do Active Directory no Salesforce.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.

2. Navegue para Entra ID>Aplicativos corporativos.

3. Se você tiver configurado o Salesforce para logon único, pesquise sua instância do Salesforce usando o campo de pesquisa. Caso contrário, selecione Adicionar e pesquise Salesforce na galeria de aplicativos. Selecione o Salesforce nos resultados da pesquisa e adicione-o à lista de aplicativos.

4. Selecione sua instância do Salesforce e selecione a guia Provisionamento.

5. Defina o Modo de Provisionamento como Automático.

   

6. Na seção Credenciais de Administrador, forneça as seguintes definições de configuração:

   1. Na caixa de texto Nome de Usuário Administrador, digite o nome da conta do Salesforce com o perfil Administrador do Sistema no Salesforce.com atribuído.

   2. Na caixa de texto Senha do Administrador, digite a senha dessa conta.

7. Para obter o token de segurança do Salesforce, abra uma nova guia e entre na mesma conta de administrador do Salesforce. No canto superior direito da página, selecione seu nome e selecione Configurações.

   

8. No painel de navegação esquerdo, selecione Minhas Informações Pessoais para expandir a seção relacionada e selecione Redefinir Meu Token de Segurança.

   

9. Na página Redefinir Token de Segurança , selecione o botão Redefinir Token de Segurança .

   

10. Marque a caixa de entrada de email associada a essa conta de administrador. Procure um email do Salesforce.com que contenha o novo token de segurança.

11. Copie o token, vá até a janela do Microsoft Entra e cole-o no campo Token Secreto.

12. A URL do locatário deve ser inserida se a instância do Salesforce está na Salesforce Government Cloud. Caso contrário, é opcional. Insira a URL do locatário usando o formato https://<your-instance>.my.salesforce.com, substituindo <your-instance> pelo nome da sua instância do Salesforce.

13. Selecione Testar Conexão para garantir que o Microsoft Entra ID possa se conectar ao aplicativo Salesforce.

14. Insira o endereço de email de uma pessoa ou grupo que deve receber notificações de erro de provisionamento no campo Email de Notificação e marque a caixa de seleção abaixo.

15. Selecione Salvar.

16. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Salesforce.

17. Na seção Mapeamento de Atributos, examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Salesforce. Observe que os atributos selecionados como propriedades Correspondentes serão usados para corresponder as contas de usuário no Salesforce para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

18. Para habilitar o serviço de provisionamento do Microsoft Entra para o Salesforce, altere o Status de Provisionamento para Ativado na seção Configurações

19. Selecione Salvar.

Observação

Após os usuários serem provisionados no aplicativo Salesforce, o administrador precisará definir as configurações específicas de idioma para eles. Confira este artigo para obter mais detalhes sobre a configuração de idioma.

Isso iniciará a sincronização inicial de todos os usuários e/ou grupos atribuídos ao Salesforce na seção Usuários e Grupos. Observe que a sincronização inicial levará mais tempo do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço esteja em execução.

Monitorização

Use a seção Detalhes de Sincronização para monitorar o progresso e siga os links para os logs de atividade de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento em seu aplicativo Salesforce.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Atribuir usuários

Depois que o teste for concluído e um usuário for provisionado com êxito no Salesforce, você desejará garantir que todos os outros usuários que precisam do Salesforce sejam atribuídos às funções do aplicativo. Isso inclui todos os usuários que atualmente têm contas ativas no Salesforce, conforme descrito na seção Identificando usuários existentes no Salesforce. Você pode atribuir estes e quaisquer usuários autorizados adicionais ao aplicativo Salesforce no Microsoft Entra seguindo uma das instruções aqui:

• Você pode atribuir cada usuário individual ao aplicativo no Centro de administração do Microsoft Entra,
• Você pode atribuir usuários individuais ao aplicativo por meio do Microsoft Graph ou do cmdlet New-MgServicePrincipalAppRoleAssignedTodo PowerShell ou
• se sua organização tiver uma licença para a Governança de ID do Microsoft Entra, você também poderá implantar políticas de gerenciamento de direitos para automatizar a atribuição de acesso, adicionar ou remover atribuições à medida que as pessoas ingressarem na organização ou deixar ou alterar funções. Você pode criar um pacote de acesso de gerenciamento de direitos para este aplicativo. Você pode ter políticas onde o acesso é atribuído aos usuários quando eles solicitam, por um administrador, automaticamente com base em regras ou através de fluxos de ciclo de vida.

À medida que os usuários atribuídos ao aplicativo são atualizados na ID do Microsoft Entra, essas alterações são provisionadas automaticamente para o Salesforce.

Problemas comuns

• Se você estiver tendo problemas para habilitar o provisionamento para o Salesforce, verifique o seguinte:
  • As credenciais usadas têm acesso de administrador ao Salesforce.
  • A versão do Salesforce que você está usando dá suporte ao Acesso à Web (como as edições Developer, Enterprise, Sandbox e Unlimited do Salesforce).)
  • O acesso à API Web está habilitado para o usuário.
• O serviço de provisionamento do Microsoft Entra dá suporte ao provisionamento de linguagem, localidade e fuso horário para um usuário. Esses atributos estão nos mapeamentos de atributo padrão, mas não têm um atributo de origem padrão. Verifique se você selecionou o atributo de origem padrão e se o atributo de origem está no formato esperado pelo SalesForce. Por exemplo, a localeSidKey para english(UnitedStates) é en_US. Examine as diretrizes fornecidas aqui para determinar o formato de localeSidKey apropriado. Os formatos de languageLocaleKey podem ser encontrados aqui. Além de garantir que o formato esteja correto, talvez seja necessário garantir que o idioma esteja habilitado para seus usuários, conforme descrito aqui.
• SalesforceLicenseLimitExceeded: O usuário não pôde ser criado no Salesforce porque não há licenças disponíveis para esse usuário. Obtenha licenças adicionais para o aplicativo de destino ou examine suas atribuições de usuário para garantir que os usuários corretos sejam atribuídos.
• SalesforceDuplicateUserName: O usuário não pode ser provisionado porque tem um 'Nome de usuário' do Salesforce.com duplicado em outra instância do Salesforce.com.  No Salesforce.com, os valores para o atributo 'Nome de usuário' devem ser exclusivos em todos os locatários do Salesforce.com.  Por padrão, o userPrincipalName de um usuário no Microsoft Entra ID se torna seu "Nome de usuário" no Salesforce.com.  Você tem duas opções.  Uma opção é localizar e renomear o usuário com o 'Nome de usuário' duplicado no outro locatário do Salesforce.com se você também administra esse outro locatário.  A outra opção é remover o acesso do usuário do Microsoft Entra ao locatário do Salesforce.com com o qual seu diretório está integrado. Tentaremos novamente essa operação na próxima tentativa de sincronização.
• SalesforceRequiredFieldMissing: o Salesforce requer que determinados atributos estejam presentes no usuário para criar ou atualizar o usuário com êxito. Esse usuário não tem um dos atributos necessários. Certifique-se de que atributos como email e alias estejam preenchidos em todos os usuários que você deseja que sejam provisionados no Salesforce. Você pode definir o escopo dos usuários que não têm esses atributos usando filtros de escopo baseados em atributo.
• O mapeamento de atributos padrão para provisionamento no Salesforce inclui a expressão SingleAppRoleAssignments para mapear appRoleAssignments no Microsoft Entra ID para ProfileName no Salesforce. Verifique se os usuários não têm várias atribuições de função de aplicativo na ID do Microsoft Entra, pois o mapeamento de atributo dá suporte apenas ao provisionamento de uma função. Se você tiver um grupo de usuários em que o grupo é atribuído a uma função, um membro desse grupo não poderá ter uma atribuição direta ao aplicativo Salesforce com uma função diferente.
• O Salesforce exige que as atualizações de email sejam aprovadas manualmente antes de serem alteradas. Como resultado, você poderá ver várias entradas nos logs de provisionamento para atualizar o email do usuário (até que a alteração de email tenha sido aprovada).

Recursos adicionais

• Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
• O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?
• Configurar Logon Único