Dela via


Självstudie: Konfigurera Salesforce för automatisk användaretablering

Målet med den här självstudien är att visa de steg som krävs för att utföra i Salesforce- och Microsoft Entra-ID för att automatiskt etablera och avetablera användarkonton från Microsoft Entra-ID till Salesforce.

Förutsättningar

Det scenario som beskrivs i självstudien förutsätter att du redan har följande objekt:

  • En Microsoft Entra-klientorganisation.

  • En Salesforce.com klientorganisation.

  • Ett Användarnamn och lösenord för Salesforce-kontot och token. Om du återställer kontolösenordet i framtiden ger Salesforce dig en ny token och du måste redigera inställningarna för Salesforce-etablering.

  • En anpassad användarprofil i Salesforce. När du har skapat en anpassad profil i Salesforce-portalen redigerar du profilens administrativa behörigheter för att aktivera följande:

    • API aktiverat.

    • Hantera användare: Om du aktiverar det här alternativet aktiveras automatiskt följande: Tilldela behörighetsuppsättningar, hantera interna användareHantera IP-adresser, hantera principer för inloggningsåtkomst, hantera lösenordsprinciper, hantera profiler och behörighetsuppsättningar, hantera roller, hantera delning, återställa användarlösenord och låsa upp användare, visa alla användare, visa roller och hierarki, visa installation och konfiguration.

Se även dokumentationen för Salesforce Create or Clone Profiles .

Kommentar

Tilldela behörigheterna direkt till profilen. Lägg inte till behörigheterna via behörighetsuppsättningar.

Kommentar

Roller bör inte redigeras manuellt i Microsoft Entra-ID när du importerar roller.

Viktigt!

Om du använder ett Salesforce.com utvärderingskonto kan du inte konfigurera automatisk användaretablering. Utvärderingskonton har inte nödvändig API-åtkomst aktiverad förrän de har köpts. Du kan kringgå den här begränsningen genom att använda ett kostnadsfritt utvecklarkonto för att slutföra den här självstudien.

Om du använder en Salesforce Sandbox-miljö kan du läsa självstudien för Integrering av Salesforce Sandbox.

Tilldela användare till Salesforce

Microsoft Entra-ID använder ett begrepp som kallas "tilldelningar" för att avgöra vilka användare som ska få åtkomst till valda appar. I samband med automatisk etablering av användarkonton synkroniseras endast de användare och grupper som är "tilldelade" till ett program i Microsoft Entra-ID.

Innan du konfigurerar och aktiverar etableringstjänsten måste du bestämma vilka användare eller grupper i Microsoft Entra-ID som behöver åtkomst till din Salesforce-app. Du kan tilldela dessa användare till din Salesforce-app genom att följa anvisningarna i Tilldela en användare eller grupp till en företagsapp

Viktiga tips för att tilldela användare till Salesforce

  • Vi rekommenderar att en enskild Microsoft Entra-användare tilldelas Salesforce för att testa etableringskonfigurationen. Fler användare och/eller grupper kan tilldelas senare.

  • När du tilldelar en användare till Salesforce måste du välja en giltig användarroll. Rollen "Standardåtkomst" fungerar inte för etablering

    Kommentar

    Den här appen importerar profiler från Salesforce som en del av etableringsprocessen, som kunden kanske vill välja när de tilldelar användare i Microsoft Entra-ID. Observera att de profiler som importeras från Salesforce visas som roller i Microsoft Entra-ID.

Aktivera automatisk användaretablering

Det här avsnittet vägleder dig genom att ansluta ditt Microsoft Entra-ID till Salesforces API för användarkontoetablering – v40

Dricks

Du kan också välja att aktivera SAML-baserad enkel inloggning för Salesforce, enligt anvisningarna i Azure Portal. Enkel inloggning kan konfigureras oberoende av automatisk etablering, men dessa två funktioner kompletterar varandra.

Konfigurera automatisk etablering av användarkonton

Målet med det här avsnittet är att beskriva hur du aktiverar användaretablering av Active Directory-användarkonton till Salesforce.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program.>

  3. Om du har konfigurerat Salesforce för enkel inloggning söker du efter din instans av Salesforce med hjälp av sökfältet. Annars väljer du Lägg till och söker efter Salesforce i programgalleriet. Välj Salesforce i sökresultaten och lägg till det i listan över program.

  4. Välj din instans av Salesforce och välj sedan fliken Etablering .

  5. Ange Etableringsläge som Automatiskt.

    Skärmbild som visar sidan Salesforce-etablering med Etableringsläge inställt på Automatiska och andra värden som du kan ange.

  6. Under avsnittet Administratörsautentiseringsuppgifter anger du följande konfigurationsinställningar:

    1. I textrutan Administratörsanvändarnamn skriver du ett Salesforce-kontonamn som har systemadministratörsprofilen i Salesforce.com tilldelad.

    2. I textrutan Administratörslösenord skriver du lösenordet för det här kontot.

  7. Om du vill hämta din Salesforce-säkerhetstoken öppnar du en ny flik och loggar in på samma Salesforce-administratörskonto. I det övre högra hörnet på sidan klickar du på ditt namn och sedan på Inställningar.

    Skärmbild som visar länken Inställningar markerad.

  8. I det vänstra navigeringsfönstret klickar du på Min personliga information för att expandera det relaterade avsnittet och klickar sedan på Återställ min säkerhetstoken.

    Skärmbild som visar Återställ min säkerhetstoken som valts från Min personliga information.

  9. På sidan Återställ säkerhetstoken klickar du på knappen Återställ säkerhetstoken .

    Skärmbild som visar sidan restsäkerhetstoken med förklarande text och alternativet för att återställa säkerhetstoken

  10. Kontrollera inkorgen för e-post som är associerad med det här administratörskontot. Leta efter ett e-postmeddelande från Salesforce.com som innehåller den nya säkerhetstoken.

  11. Kopiera token, gå till Microsoft Entra-fönstret och klistra in den i fältet Hemlig token .

  12. Klient-URL :en ska anges om instansen av Salesforce finns i Salesforce Government Cloud. Annars är det valfritt. Ange klient-URL:en med formatet https://<your-instance>.my.salesforce.comoch ersätt <your-instance> med namnet på din Salesforce-instans.

  13. Välj Testanslutning för att se till att Microsoft Entra-ID kan ansluta till din Salesforce-app.

  14. I fältet E-postavisering anger du e-postadressen till en person eller grupp som ska få meddelanden om etableringsfel och markerar kryssrutan nedan.

  15. Klicka på Spara.

  16. Under avsnittet Mappningar väljer du Synkronisera Microsoft Entra-användare till Salesforce.

  17. I avsnittet Attributmappningar granskar du de användarattribut som synkroniseras från Microsoft Entra-ID till Salesforce. Observera att de attribut som valts som Matchande egenskaper används för att matcha användarkontona i Salesforce för uppdateringsåtgärder. Välj knappen Spara för att spara ändringarna.

  18. Om du vill aktivera Microsoft Entra-etableringstjänsten för Salesforce ändrar du etableringsstatusen till i avsnittet Inställningar

  19. Klicka på Spara.

Kommentar

När användarna har etablerats i Salesforce-programmet måste administratören konfigurera språkspecifika inställningar för dem. Mer information om språkkonfiguration finns i den här artikeln.

Detta startar den inledande synkroniseringen av alla användare och/eller grupper som tilldelats Salesforce i avsnittet Användare och grupper. Den inledande synkroniseringen tar längre tid att utföra än efterföljande synkroniseringar, som sker ungefär var 40:e minut så länge tjänsten körs. Du kan använda avsnittet Synkroniseringsinformation för att övervaka förloppet och följa länkar till etableringsaktivitetsloggar, som beskriver alla åtgärder som utförs av etableringstjänsten i din Salesforce-app.

Mer information om hur du läser Microsoft Entra-etableringsloggarna finns i Rapportering om automatisk etablering av användarkonton.

Vanliga problem

  • Om du har problem med att auktorisera åtkomst till Salesforce kontrollerar du följande:
    • De autentiseringsuppgifter som används har administratörsåtkomst till Salesforce.
    • Den version av Salesforce som du använder stöder webbåtkomst (till exempel Developer, Enterprise, Sandbox och Unlimited editions of Salesforce.)
    • Webb-API-åtkomst är aktiverat för användaren.
  • Microsoft Entra-etableringstjänsten stöder etableringsspråk, nationella inställningar och tidszon för en användare. De här attributen finns i standardattributmappningarna men har inget standardkällattribut. Kontrollera att du väljer standardkällattributet och att källattributet är i det format som förväntas av SalesForce. Till exempel är localeSidKey för engelska (USA) en_US. Granska vägledningen här för att fastställa rätt språkvariantSidKey-format. LanguageLocaleKey-formaten finns här. Förutom att se till att formatet är korrekt kan du behöva se till att språket är aktiverat för dina användare enligt beskrivningen här.
  • SalesforceLicenseLimitExceeded: Användaren kunde inte skapas i målprogrammet eftersom det inte finns några tillgängliga licenser för den här användaren. Skaffa antingen ytterligare licenser för målprogrammet eller granska konfigurationen för användartilldelningar och attributmappning för att säkerställa att rätt användare tilldelas rätt attribut.
  • SalesforceDuplicateUserName: Användaren kan inte etableras eftersom den har en Salesforce.com användarnamn som dupliceras i en annan Salesforce.com klientorganisation.  I Salesforce.com måste värdena för attributet Användarnamn vara unika för alla Salesforce.com klienter.  Som standard blir användarens userPrincipalName i Microsoft Entra-ID deras användarnamn i Salesforce.com.  Du har två alternativ.  Ett alternativ är att hitta och byta namn på användaren med dubbletten Användarnamn i den andra Salesforce.com klientorganisationen, om du administrerar den andra klientorganisationen också.  Det andra alternativet är att ta bort åtkomsten från Microsoft Entra-användaren till den Salesforce.com klientorganisation som katalogen är integrerad med. Vi kommer att försöka utföra den här åtgärden igen vid nästa synkroniseringsförsök.
  • SalesforceRequiredFieldMissing: Salesforce kräver att vissa attribut finns på användaren för att kunna skapa eller uppdatera användaren. Den här användaren saknar något av de obligatoriska attributen. Se till att attribut som e-post och alias fylls i för alla användare som du vill etableras i Salesforce. Du kan omfångsbegränsa användare som inte har dessa attribut ut med hjälp av attributbaserade omfångsfilter.
  • Standardattributmappningen för etablering till Salesforce innehåller uttrycket SingleAppRoleAssignments för att mappa appRoleAssignments i Microsoft Entra ID till ProfileName i Salesforce. Se till att användarna inte har flera approlltilldelningar i Microsoft Entra-ID eftersom attributmappningen endast stöder etablering av en roll.
  • Salesforce kräver att e-postuppdateringar godkänns manuellt innan de ändras. Därför kan du se flera poster i etableringsloggarna för att uppdatera användarens e-post (tills e-poständringen har godkänts).

Ytterligare resurser