Konfigurera Salesforce för automatisk användaretablering med Microsoft Entra-ID

Målet med den här artikeln är att visa de steg som krävs för att utföra i Salesforce- och Microsoft Entra-ID för att automatiskt etablera och avetablera användarkonton från Microsoft Entra ID till Salesforce.

Förutsättningar

Scenariot som beskrivs i den här artikeln förutsätter att du redan har följande objekt:

• Ett Microsoft Entra-användarkonto med en aktiv prenumeration. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
• En av följande roller:
  • Programadministratör
  • Applikationsadministratör för molnet
  • Ansvarig för applikationen.

• En Salesforce.com klientorganisation.

• Ett Användarnamn och lösenord för Salesforce-kontot och token. Se Konfigurera automatisk etablering av användarkonton för hur du hämtar token. Om du återställer kontolösenordet i framtiden ger Salesforce dig en ny token och du måste redigera inställningarna för Salesforce-etablering.

• En anpassad användarprofil i Salesforce för integrationsanvändaren. När du har skapat en anpassad profil i Salesforce-portalen redigerar du profilens administrativa behörigheter för att aktivera följande:

  • API aktiverat.

  • Hantera användare: Om du aktiverar det här alternativet aktiveras automatiskt följande: Tilldela behörighetsuppsättningar, hantera interna användareHantera IP-adresser, hantera principer för inloggningsåtkomst, hantera lösenordsprinciper, hantera profiler och behörighetsuppsättningar, hantera roller, hantera delning, återställa användarlösenord och låsa upp användare, visa alla användare, visa roller och hierarki, visa installation och konfiguration.

  Se även dokumentationen för Salesforce Create or Clone Profiles .

  Kommentar

  Tilldela behörigheterna direkt till den här profilen. Lägg inte till behörigheterna via behörighetsuppsättningar.

Viktigt!

Om du använder ett Salesforce.com utvärderingskonto kan du inte konfigurera automatisk användaretablering. Utvärderingskonton har inte nödvändig API-åtkomst aktiverad innan de köps. Du kan kringgå den här begränsningen genom att använda ett kostnadsfritt utvecklarkonto för att slutföra den här artikeln.

Om du använder en Salesforce Sandbox-miljö kan du läsa artikeln Salesforce Sandbox-integrering.

Planera för att tilldela användare till Salesforce

Microsoft Entra-ID använder ett begrepp som kallas "tilldelningar" för att avgöra vilka användare som ska få åtkomst till valda appar. I samband med automatisk etablering av användarkonton synkroniseras endast de användare och grupper som är "tilldelade" till ett program i Microsoft Entra-ID.

Innan du konfigurerar och aktiverar etableringstjänsten måste du bestämma vilka användare eller grupper i Microsoft Entra-ID som behöver åtkomst till din Salesforce-app.

Viktiga tips för att tilldela användare till Salesforce

• Vi rekommenderar att en enskild Microsoft Entra-användare tilldelas Salesforce för att testa etableringskonfigurationen. Fler användare och/eller grupper kan tilldelas senare, via de mekanismer som beskrivs i Tilldela användare.

• När du tilldelar en användare till Salesforce måste du välja en giltig användarroll. Rollen "Standardåtkomst" fungerar inte för tilldelning. Observera att vissa roller kan kräva licensiering i Salesforce.

  Kommentar

  Som en del av etableringsprocessen importerar Microsoft Entra profiler från Salesforce. De profiler som importeras från Salesforce visas som programroller i Microsoft Entra-ID, så du kan välja när du tilldelar användare i Microsoft Entra-ID. Om du vill tilldela användare till en anpassad profil väntar du på att profiler ska importeras från Salesforce innan du tilldelar användare till ett program. Observera att programrollerna inte ska redigeras manuellt i Microsoft Entra-ID när du importerar roller.

Identifiera befintliga användare i Salesforce

Innan du integrerar med Microsoft Entra kan ditt Salesforce-konto redan ha en eller flera användare som skapats av en Salesforce-administratör eller andra processer. Du kan avgöra vilka användare som redan finns med hjälp av exportdatafunktionen Salesforce. Mer information finns i Exportera säkerhetskopieringsdata från Salesforce. När du exporterar från Salesforce kontrollerar du att User data ingår i den exporterade datauppsättningen och väljer en exportfilkodning som tillåter alla namn för användare i organisationen, till exempel Unicode (UTF-8).

När du har exporterat data från Salesforce kan du extrahera filen och öppna den User.csv i Excel, eller i PowerShell, för att visa listan över aktiva användare som redan finns i Salesforce.

import-csv .\User.csv | where {$_.IsActive -eq '1'}  | sort UserName | ft UserName

Aktivera automatisk användaretablering

Det här avsnittet vägleder dig genom att ansluta ditt Microsoft Entra-ID till Salesforces API för etablering av användarkonton – v40.

Dricks

Du kan också välja att aktivera SAML-baserad enkel inloggning för Salesforce, enligt anvisningarna i Azure Portal. Enkel inloggning kan konfigureras oberoende av automatisk etablering, men dessa två funktioner kompletterar varandra.

Konfigurera automatisk etablering av användarkonton

Målet med det här avsnittet är att beskriva hur du aktiverar användaretablering av Active Directory-användarkonton till Salesforce.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Entra ID>Företagsapplikationer.

3. Om du har konfigurerat Salesforce för enkel inloggning söker du efter din instans av Salesforce med hjälp av sökfältet. Annars väljer du Lägg till och söker efter Salesforce i programgalleriet. Välj Salesforce i sökresultaten och lägg till det i listan över program.

4. Välj din instans av Salesforce och välj sedan fliken Etablering .

5. Ange Etableringsläge som Automatiskt.

   

6. Under avsnittet Administratörsautentiseringsuppgifter anger du följande konfigurationsinställningar:

   1. I textrutan Administratörsanvändarnamn skriver du ett Salesforce-kontonamn som har systemadministratörsprofilen i Salesforce.com tilldelad.

   2. I textrutan Administratörslösenord skriver du lösenordet för det här kontot.

7. Om du vill hämta din Salesforce-säkerhetstoken öppnar du en ny flik och loggar in på samma Salesforce-administratörskonto. I det övre högra hörnet på sidan väljer du ditt namn och väljer sedan Inställningar.

   

8. I det vänstra navigeringsfönstret väljer du Min personliga information för att expandera det relaterade avsnittet och väljer sedan Återställ min säkerhetstoken.

   

9. På sidan Återställ säkerhetstoken väljer du knappen Återställ säkerhetstoken .

   

10. Kontrollera inkorgen för e-post som är associerad med det här administratörskontot. Leta efter ett e-postmeddelande från Salesforce.com som innehåller den nya säkerhetstoken.

11. Kopiera token, gå till Microsoft Entra-fönstret och klistra in den i fältet Hemlig token .

12. Klient-URL :en ska anges om instansen av Salesforce finns i Salesforce Government Cloud. Annars är det valfritt. Ange klient-URL:en med formatet https://<your-instance>.my.salesforce.comoch ersätt <your-instance> med namnet på din Salesforce-instans.

13. Välj Testanslutning för att se till att Microsoft Entra-ID kan ansluta till din Salesforce-app.

14. I fältet E-postavisering anger du e-postadressen till en person eller grupp som ska få meddelanden om etableringsfel och markerar kryssrutan nedan.

15. Välj Spara.

16. Under avsnittet Mappningar väljer du Synkronisera Microsoft Entra-användare till Salesforce.

17. I avsnittet Attributmappningar granskar du de användarattribut som synkroniseras från Microsoft Entra-ID till Salesforce. Observera att de attribut som valts som Matchande egenskaper används för att matcha användarkontona i Salesforce för uppdateringsåtgärder. Välj knappen Spara för att spara ändringarna.

18. Om du vill aktivera Microsoft Entra-etableringstjänsten för Salesforce ändrar du etableringsstatusen till På i avsnittet Inställningar

19. Välj Spara.

Kommentar

När användarna har etablerats i Salesforce-programmet måste administratören konfigurera språkspecifika inställningar för dem. Mer information om språkkonfiguration finns i den här artikeln.

Detta startar den inledande synkroniseringen av alla användare och/eller grupper som tilldelats Salesforce i avsnittet Användare och grupper. Den inledande synkroniseringen tar längre tid att utföra än efterföljande synkroniseringar, som sker ungefär var 40:e minut så länge tjänsten körs.

Övervakning

Du kan använda avsnittet Synkroniseringsinformation för att övervaka förloppet och följa länkar till etableringsaktivitetsloggar, som beskriver alla åtgärder som utförs av etableringstjänsten i din Salesforce-app.

Mer information om hur du läser Microsoft Entra-etableringsloggarna finns i Rapportering om automatisk etablering av användarkonton.

Tilldela användare

När testningen är klar och en användare framgångsrikt provisionerats till Salesforce, ska du se till att alla andra användare som behöver Salesforce tilldelas programrollerna. Detta inkluderar alla användare som för närvarande har aktiva konton i Salesforce, enligt beskrivningen i avsnittet Identifiera befintliga användare i Salesforce. Du kan tilldela dessa och eventuella ytterligare behöriga användare till Salesforce-programmet i Microsoft Entra genom att följa någon av anvisningarna här:

• Du kan tilldela varje enskild användare till programmet i administrationscentret för Microsoft Entra.
• Du kan tilldela enskilda användare till programmet via Microsoft Graph eller PowerShell-cmdleten New-MgServicePrincipalAppRoleAssignedTo, eller
• Om din organisation har en licens för Microsoft Entra ID-styrning kan du även distribuera principer för berättigandehantering för att automatisera åtkomsttilldelning, lägga till eller ta bort tilldelningar när personer ansluter till organisationen eller lämna eller ändra roller. Du kan skapa ett åtkomstpaket för berättigandehantering för det här programmet. Du kan ha principer för användare som ska tilldelas åtkomst, antingen när de begär det, av en administratör, automatiskt baserat på regler eller via livscykelarbetsflöden.

Eftersom användare som är tilldelade till applikationen uppdateras i Microsoft Entra-ID, etableras dessa ändringar automatiskt till Salesforce.

Vanliga problem

• Om du har problem med att aktivera provisionering i Salesforce, se till följande:
  • De autentiseringsuppgifter som används har administratörsåtkomst till Salesforce.
  • Den version av Salesforce som du använder stöder webbåtkomst (till exempel Developer, Enterprise, Sandbox och Unlimited editions of Salesforce.)
  • Webb-API-åtkomst är aktiverat för användaren.
• Microsoft Entra-etableringstjänsten stöder etableringsspråk, nationella inställningar och tidszon för en användare. De här attributen finns i standardattributmappningarna men har inget standardkällattribut. Kontrollera att du väljer standardkällattributet och att källattributet är i det format som förväntas av SalesForce. Till exempel är localeSidKey för engelska (USA) en_US. Granska vägledningen här för att fastställa rätt språkvariantSidKey-format. LanguageLocaleKey-formaten finns här. Förutom att se till att formatet är korrekt kan du behöva se till att språket är aktiverat för dina användare enligt beskrivningen här.
• SalesforceLicenseLimitExceeded: Det gick inte att skapa användaren i Salesforce eftersom det inte finns några tillgängliga licenser för den här användaren. Skaffa antingen ytterligare licenser för målprogrammet eller granska dina användartilldelningar för att säkerställa att rätt användare tilldelas.
• SalesforceDuplicateUserName: Det går inte att etablera användaren eftersom den har ett Salesforce.com-användarnamn som dupliceras i en annan Salesforce.com-organisation.  I Salesforce.com måste värdena för attributet Användarnamn vara unika för alla Salesforce.com klienter.  Som standard blir användarens userPrincipalName i Microsoft Entra-ID deras användarnamn i Salesforce.com.  Du har två alternativ.  Ett alternativ är att hitta och byta namn på användaren med dubbletten Användarnamn i den andra Salesforce.com klientorganisationen, om du administrerar den andra klientorganisationen också.  Det andra alternativet är att ta bort åtkomsten från Microsoft Entra-användaren till den Salesforce.com klientorganisation som katalogen är integrerad med. Vi kommer att försöka utföra den här åtgärden igen vid nästa synkroniseringsförsök.
• SalesforceRequiredFieldMissing: Salesforce kräver att vissa attribut finns på användaren för att kunna skapa eller uppdatera användaren. Den här användaren saknar något av de obligatoriska attributen. Se till att attribut som e-post och alias fylls i för alla användare som du vill etableras i Salesforce. Du kan omfångsbegränsa användare som inte har dessa attribut ut med hjälp av attributbaserade omfångsfilter.
• Standardattributmappningen för etablering till Salesforce innehåller uttrycket SingleAppRoleAssignments för att mappa appRoleAssignments i Microsoft Entra ID till ProfileName i Salesforce. Se till att användarna inte har flera approlltilldelningar i Microsoft Entra-ID eftersom attributmappningen endast stöder etablering av en roll. Om du har en grupp med användare där gruppen har tilldelats en roll kan en medlem i den gruppen inte ha en direkt tilldelning till Salesforce-programmet med en annan roll.
• Salesforce kräver att e-postuppdateringar godkänns manuellt innan de ändras. Därför kan du se flera poster i etableringsloggarna för att uppdatera användarens e-post (tills e-poständringen har godkänts).

Ytterligare resurser

• Hantera användarkontoetablering för Enterprise-appar
• Vad är programåtkomst och enkel inloggning med Microsoft Entra-ID?
• Konfigurera enkel inloggning