Compartilhar via

Tutorial: Configurar a Área Restrita Salesforce para o provisionamento automático de usuário

  • Artigo

O objetivo deste tutorial é mostrar as etapas que precisam ser executadas no Salesforce Sandbox e no Microsoft Entra ID para provisionar e desprovisionar automaticamente as contas de usuário do Microsoft Entra ID no Salesforce Sandbox.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já tem os seguintes itens:

  • Um locatário do Microsoft Entra.
  • Um locatário válido para a Área Restrita Salesforce for Work ou Área Restrita Salesforce for Education. Você pode usar uma conta de avaliação gratuita para qualquer serviço.
  • Uma conta de usuário na Área Restrita Salesforce com permissões de Administrador de Equipe.

Atribuir usuários à Área Restrita Salesforce

A ID do Microsoft Entra usa um conceito chamado “atribuições” para determinar os usuários que devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de contas de usuário, somente os usuários e os grupos que foram “atribuídos” a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários ou grupos no Microsoft Entra ID precisam de acesso ao aplicativo Salesforce Sandbox. Depois de decidir, você pode atribuir esses usuários ao aplicativo de Área Restrita Salesforce seguindo as instruções em Atribuir um usuário ou grupo a um aplicativo empresarial

Dicas importantes para atribuir usuários à Área Restrita Salesforce

  • Recomendamos a atribuição de um único usuário do Microsoft Entra ao Salesforce Sandbox para testar a configuração de provisionamento. Outros usuários e/ou grupos podem ser atribuídos mais tarde.

  • Ao atribuir um usuário à Área Restrita Salesforce, você deve selecionar uma função de usuário válida. A função de "Acesso Padrão" não funciona para provisionamento.

Observação

O aplicativo de área restrita Salesforce, por padrão, acrescentará uma cadeia de caracteres ao nome de usuário e email dos usuários provisionados. Os nomes de usuário e emails precisam ser exclusivos em todo o Salesforce, portanto, isso é para evitar a criação de dados de usuários reais na área restrita, o que impediria que esses usuários fossem provisionados para o ambiente do Salesforce de produção

Observação

Este aplicativo importa funções personalizadas da Área Restrita Salesforce como parte do processo de provisionamento, que o cliente deve desejar selecionar durante a atribuição de usuários.

Habilitar o provisionamento automatizado de usuários

Esta seção orienta você pela conexão do Microsoft Entra ID com a API de provisionamento de conta de usuário do Salesforce Sandbox e pela configuração do serviço de provisionamento, a fim de criar, atualizar e desabilitar contas de usuário atribuídas no Salesforce Sandbox com base na atribuição de usuário e de grupo do Microsoft Entra ID.

Dica

Você também pode optar por habilitar o Logon Único baseado em SAML para Salesforce Sandbox, seguindo as instruções fornecidas no portal do Azure. O logon único pode ser configurado independentemente do provisionamento automático, embora esses dois recursos sejam complementares.

Configurar o provisionamento automático de conta de usuário

O objetivo desta seção é descrever como habilitar o provisionamento de contas de usuário do Active Directory na Área Restrita Salesforce.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.

  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais.

  3. Se você já tiver configurado a Área Restrita Salesforce para logon único, pesquise sua instância da Área Restrita Salesforce usando o campo de pesquisa. Caso contrário, selecione Adicionar e pesquise Área Restrita Salesforce na galeria de aplicativos. Selecione a Área Restrita Salesforce nos resultados da pesquisa e adicione-o à lista de aplicativos.

  4. Selecione sua instância da Área Restrita Salesforce e selecione a guia Provisionamento.

  5. Defina o Modo de Provisionamento como Automático.

    A captura de tela mostra a página Provisionamento da Área Restrita do Salesforce, com o Modo de Provisionamento definido como Automático e outros valores que você pode definir.

  6. Na seção Credenciais de Administrador, forneça as seguintes definições de configuração:

    1. Na caixa de texto Nome de Usuário Administrador, digite o nome da conta da Área Restrita Salesforce com o perfil Administrador de Sistema do Salesforce.com atribuído.

    2. Na caixa de texto Senha do Administrador, digite a senha dessa conta.

  7. Para obter o token de segurança da Área Restrita Salesforce, abra uma nova guia e entre na mesma conta do administrador da Área Restrita Salesforce. No canto superior direito da página, clique em seu nome e em Configurações.

    A captura de tela mostra o link de Configurações selecionado.

  8. No painel de navegação esquerdo, clique em Minhas Informações Pessoais para expandir a seção correspondente e clique em Redefinir Meu Token de Segurança.

    A captura de tela mostra a opção Redefinir meu token de segurança selecionada em Minhas informações pessoais.

  9. Na página Redefinir Token de Segurança, clique no botão Redefinir Token de Segurança.

    A captura de tela mostra a página Redefinir token de segurança, com um texto explicativo e a opção Redefinir token de segurança

  10. Marque a caixa de entrada de email associada a essa conta de administrador. Procure um email do Salesforce Sandbox.com que contenha o novo token de segurança.

  11. Copie o token, vá até a janela do Microsoft Entra e cole-o no campo Token Secreto.

  12. Selecione Testar Conexão para garantir que o Microsoft Entra ID possa se conectar ao aplicativo Salesforce Sandbox.

  13. No campo Email de Notificação, insira o endereço de email de uma pessoa ou um grupo que deve receber notificações de erro de provisionamento e marque a caixa de seleção.

  14. Clique em Save (Salvar).

  15. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Salesforce Sandbox.

  16. Na seção Mapeamento de Atributos, examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Salesforce Sandbox. Observe que os atributos selecionados como propriedades Correspondentes serão usados para corresponder as contas de usuário na Área Restrita Salesforce para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

  17. Para habilitar o serviço de provisionamento do Microsoft Entra para o Salesforce Sandbox, altere o Status de Provisionamento para Ativado na seção Configurações

  18. Clique em Save (Salvar).

Isso iniciará a sincronização inicial de todos os usuários e/ou grupos atribuídos à Área Restrita Salesforce na seção Usuários e Grupos. Observe que a sincronização inicial levará mais tempo do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço esteja em execução. Use a seção Detalhes de Sincronização para monitorar o progresso e siga os links para os logs de atividade de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento em seu aplicativo Área Restrita Salesforce.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Recursos adicionais