Поделиться через

Руководство по настройке Salesforce для автоматической подготовки пользователей

  • Статья

Цель этого руководства — показать шаги, необходимые для выполнения в Salesforce и Идентификаторе Microsoft Entra для автоматической подготовки и отмены подготовки учетных записей пользователей из Идентификатора Microsoft Entra в Salesforce.

Необходимые компоненты

Сценарий, описанный в этом учебнике, предполагает, что у вас уже имеется:

  • Клиент Microsoft Entra.

  • Клиент Salesforce.com.

  • Имя пользователя и пароль учетной записи Salesforce и маркер. В будущем при сбросе пароля учетной записи Salesforce предоставляет новый маркер, и вам потребуется изменить параметры подготовки Salesforce.

  • Пользовательский профиль пользователя в Salesforce. После создания настраиваемого профиля на портале Salesforce измените административные разрешения профиля, чтобы включить следующее:

    • Включено API.

    • Управление пользователями. Включение этого параметра автоматически включает следующее: назначение наборов разрешений, управление внутренними IP-адресами UsersManage, управление политиками доступа для входа, управление политиками доступа к паролям, управление профилями и разрешениями, управление ролями, управление общим доступом, сброс паролей пользователей и разблокировка пользователей, просмотр всех пользователей, просмотр ролей и иерархии, настройка и настройка.

См. также документацию по Salesforce Create или Clone Profiles .

Примечание.

Назначьте разрешения непосредственно профилю. Не добавляйте разрешения с помощью наборов разрешений.

Примечание.

Роли не должны изменяться вручную в идентификаторе Microsoft Entra при импорте ролей.

Внимание

Если вы используете пробную учетную запись Salesforce.com, то не сможете настроить автоматическую подготовку пользователей. У пробных учетных записей нет необходимых прав доступа к API. Вы можете обойти это ограничение, используя для выполнения заданий данного руководства бесплатную учетную запись разработчика.

Если вы используете среду Песочницы Salesforce, ознакомьтесь с руководством по интеграции с Песочницей Salesforce.

Назначение пользователей в Salesforce

Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматической подготовки учетных записей пользователей синхронизируются только пользователи и группы, назначенные приложению в идентификаторе Microsoft Entra.

Перед настройкой и включением службы подготовки необходимо решить, какие пользователи или группы в идентификаторе Microsoft Entra id должны получить доступ к приложению Salesforce. Вы можете назначить этих пользователей приложению Salesforce, следуя инструкциям в разделе "Назначение пользователя или группы корпоративному приложению"

Важные рекомендации по назначению пользователей в Salesforce

  • Рекомендуется, чтобы один пользователь Microsoft Entra был назначен Salesforce для тестирования конфигурации подготовки. Дополнительных пользователей и (или) группы можно назначить позднее.

  • При назначении пользователя в Salesforce необходимо выбрать допустимую роль пользователя. Роль "Доступ по умолчанию" не работает для подготовки.

    Примечание.

    Это приложение импортирует профили из Salesforce в рамках процесса подготовки, который клиент может выбрать при назначении пользователей в идентификаторе Microsoft Entra. Обратите внимание, что профили, импортированные из Salesforce, отображаются как роли в идентификаторе Microsoft Entra.

Включение автоматической подготовки пользователей

В этом разделе описано, как подключить идентификатор Microsoft Entra к API подготовки учетных записей пользователей Salesforce — версия 40

Совет

Вы также можете включить единый вход на основе SAML для Salesforce, следуя инструкциям, приведенным в портал Azure. Единый вход можно настроить независимо от автоматической подготовки, хотя две эти функции дополняют друг друга.

Managing user account provisioning for enterprise apps in the Azure portal (Управление подготовкой учетных записей пользователей для корпоративных приложений на портале Azure)

В этом разделе показано, как включить подготовку учетных записей пользователей Active Directory для Salesforce.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям Identity>Applications>Enterprise.

  3. Если вы настроили Salesforce для единого входа, найдите экземпляр Salesforce с помощью поля поиска. В противном случае щелкните Добавить и выполните поиск Salesforce в коллекции приложений. Выберите Salesforce в результатах поиска и добавьте его в список приложений.

  4. Выберите экземпляр Salesforce, а затем перейдите на вкладку Подготовка.

  5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

    Снимок экрана: страница

  6. В разделе Учетные данные администратора укажите следующие параметры конфигурации.

    1. В текстовом поле Имя администратора введите имя учетной записи Salesforce с профилем системного администратора в Salesforce.com.

    2. В текстовом поле Пароль администратора введите пароль для этой учетной записи.

  7. Для получения маркера безопасности Salesforce откройте новую вкладку и выполните вход с этой учетной записью администратора Salesforce. В правом верхнем углу страницы щелкните свое имя и выберите Параметры.

    Снимок экрана: ссылка Settings (Параметры).

  8. В области навигации слева щелкните My Personal Information (Моя личная информация), чтобы развернуть соответствующий раздел, и щелкните Reset My Security Token (Сбросить мой маркер безопасности).

    Снимок экрана: пункт Reset My Security Token (Сбросить мой маркер безопасности) в разделе My Personal Information (Моя личная информация).

  9. На странице Reset Security Token (Сброс маркера безопасности) нажмите кнопку Reset Security Token (Сбросить маркер безопасности).

    Снимок экрана: страница Reset Security Token (Сброс маркера безопасности) с объяснительным сообщением и кнопкой Reset Security Token (Сбросить маркер безопасности).

  10. Проверьте входящие сообщения в почтовом ящике, связанном с этой учетной записью администратора. Найдите сообщение от Salesforce.com с новым маркером безопасности.

  11. Скопируйте маркер, перейдите в окно Microsoft Entra и вставьте его в поле секретного токена .

  12. URL-адрес клиента нужно вводить, если экземпляр Salesforce находится в облаке для государственных организаций Salesforce. В других случаях это необязательный параметр. Введите URL-адрес клиента, заменив https://<your-instance>.my.salesforce.com<your-instance> его именем экземпляра Salesforce.

  13. Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к приложению Salesforce.

  14. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок ниже.

  15. Нажмите кнопку Сохранить.

  16. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Salesforce.

  17. В разделе "Сопоставления атрибутов" просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Salesforce. Обратите внимание, что атрибуты, которые выбраны в качестве свойств Matching (Сопоставление), будут использоваться для сопоставления учетных записей пользователей в Salesforce для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

  18. Чтобы включить службу подготовки Microsoft Entra для Salesforce, измените состояние подготовки на "Включено " в разделе "Параметры"

  19. Нажмите кнопку Сохранить.

Примечание.

Подготовив пользователей в приложении Salesforce, администратору понадобится настроить для них параметры языка. Дополнительные сведения о настройке языка см. в этой статье.

После этого начнется начальная синхронизация всех пользователей и групп, назначенная в Salesforce в разделе "Пользователи и группы". Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Если служба запущена, они выполняются примерно каждые 40 минут. В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра журналов действий, в которых зафиксированы все действия, выполняемые в приложении Salesforce службой подготовки.

Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".

Распространенные проблемы

  • Если у вас возникли проблемы с авторизацией доступа к Salesforce, убедитесь в следующем:
    • Используемым учетным данным предоставлен доступ администратора к Salesforce.
    • Версия Salesforce, которую вы используете, поддерживает веб-доступ (например, разработчик, enterprise, песочница и неограниченные выпуски Salesforce.)
    • Для пользователя включен доступ к веб-API.
  • Служба подготовки Microsoft Entra поддерживает язык подготовки, языковой стандарт и часовой пояс для пользователя. Эти атрибуты находятся в стандартных сопоставлениях атрибутов, но для них не указан стандартный исходный атрибут. Убедитесь, что выбран стандартный исходный атрибут, а также в том, что формат исходного атрибута соответствует формату, ожидаемому SalesForce. Например, localeSidKey для english(UnitedStates) является en_US. Ознакомьтесь с приведенными здесь рекомендациями, чтобы определить правильный формат localeSidKey. Форматы languageLocaleKey можно найти здесь. Проверив правильность формата, возможно, вы также должны будете убедиться в том, что этот язык включен для пользователей, как описано здесь.
  • SalesforceLicenseLimitExceeded. Пользователя не удалось создать в целевом приложении, поскольку для него нет доступных лицензий. Получите дополнительные лицензии для целевого приложения либо проверьте назначения пользователей и конфигурацию сопоставления атрибутов, чтобы убедиться, что им назначены правильные атрибуты.
  • SalesforceDuplicateUserName. Пользователя не удалось подготовить, поскольку значение атрибута Username, указанное на Salesforce.com, дублируется в другом клиенте Salesforce.com.  Значения атрибута Username должны быть уникальными в пределах всех клиентов Salesforce.com.  По умолчанию имя пользователя UserPrincipalName в идентификаторе Microsoft Entra становится именем пользователя в Salesforce.com.  В этом случае у вас есть два варианта.  Первая — найти и переименовать пользователя с совпадающим значением для атрибута Username в другом клиенте Salesforce.com, если вы также являетесь администратором для этого клиента.  Другим вариантом является удаление доступа от пользователя Microsoft Entra к клиенту Salesforce.com, с которым интегрирован каталог. Мы повторим эту операцию при следующей попытке синхронизации.
  • SalesforceRequiredFieldMissing. Для успешного создания или обновления пользователя Salesforce требуются определенные атрибуты. А для этого пользователя не указан один из обязательных атрибутов. Убедитесь, что для всех пользователей, которых вы хотите подготовить в Salesforce, указаны значения для атрибутов, таких как email и alias. Вы также можете определить диапазон пользователей, не использующих эти атрибуты, с помощью фильтров области на основе атрибутов.
  • Сопоставление атрибутов по умолчанию для подготовки к Salesforce включает выражение SingleAppRoleAssignments для сопоставления appRoleAssignments в Идентификаторе Microsoft Entra с ProfileName в Salesforce. Убедитесь, что у пользователей нет нескольких назначений ролей приложения в идентификаторе Microsoft Entra, так как сопоставление атрибутов поддерживает только подготовку одной роли.
  • В Salesforce необходимо, чтобы, прежде чем применять изменения, обновление электронной почты подтвердили вручную. Поэтому в журналах подготовки могут быть указаны несколько записей для обновления электронной почты пользователя (до подтверждения такого изменения).

Дополнительные ресурсы