Microsoft Entra Id ile otomatik kullanıcı sağlama için Salesforce'u yapılandırma

Bu makalenin amacı, Microsoft Entra ID'den Salesforce'a kullanıcı hesaplarını otomatik olarak provizyon ve devre dışı bırakma işlemleri için Salesforce ve Microsoft Entra ID'de yapılması gereken adımları göstermektir.

Önkoşullar

Bu makalede özetlenen senaryo, aşağıdaki öğelere zaten sahip olduğunuzu varsayar:

• Etkin aboneliği olan bir Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa, ücretsizhesap oluşturun.
• Aşağıdaki rollerden biri:
  • Uygulama Yöneticisi
  • Bulut Uygulaması Yöneticisi
  • Uygulama Sahibi.

• Salesforce.com kiracısı.

• Salesforce hesabı kullanıcı adı, parolası ve belirteci. Otomatik kullanıcı hesabı sağlama yapılandırması ile ilgili jetonu nasıl alabileceğinizi görmek için bkz. Gelecekte hesap parolasını sıfırlarsanız Salesforce size yeni bir belirteç sağlar ve Salesforce sağlama ayarlarını düzenlemeniz gerekir.

• Salesforce'ta tümleştirme kullanıcısı için özel bir kullanıcı profili. Salesforce portalında özel bir profil oluşturduktan sonra, aşağıdakileri etkinleştirmek için profilin Yönetim İzinlerini düzenleyin:

  • API Etkin.

  • Kullanıcıları Yönet: Bu seçeneğin etkinleştirilmesi aşağıdakileri otomatik olarak etkinleştirir: İzin Kümeleri Ata, İç Kullanıcıları Yönet IP Adreslerini Yönet, Oturum Açma Erişim İlkelerini Yönet, Parola İlkelerini Yönet, Profilleri ve İzin Kümelerini Yönet, Rolleri Yönet, Paylaşımı Yönet, Kullanıcı Parolalarını Sıfırla ve Kullanıcıların Kilidini Aç, Tüm Kullanıcıları Görüntüle, Rolleri ve Hiyerarşiyi Görüntüle, Kurulumu ve Yapılandırmayı Görüntüle.

  Ayrıca Bkz. Salesforce Profil Oluşturma veya Kopyalama belgeleri.

  Not

  İzinleri doğrudan bu profile atayın. İzin kümeleri aracılığıyla izinleri eklemeyin.

Önemli

Salesforce.com deneme hesabı kullanıyorsanız otomatik kullanıcı sağlamayı yapılandıramazsınız. Deneme hesaplarının satın alınana kadar gerekli API erişimi etkinleştirilmez. Bu makaleyi tamamlamak için ücretsiz bir geliştirici hesabı kullanarak bu sınırlamayı aşabilirsiniz.

Salesforce Korumalı Alan ortamı kullanıyorsanız Salesforce Korumalı Alan tümleştirme makalesine bakın.

Salesforce'a kullanıcı atamayı planlama

Microsoft Entra Id, seçilen uygulamalara hangi kullanıcıların erişim alması gerektiğini belirlemek için "atamalar" adlı bir kavram kullanır. Otomatik kullanıcı hesabı sağlama bağlamında, yalnızca Microsoft Entra Id'deki bir uygulamaya "atanan" kullanıcılar ve gruplar eşitlenir.

Sağlama hizmetini yapılandırmadan ve etkinleştirmeden önce, Microsoft Entra ID'deki hangi kullanıcıların veya grupların Salesforce uygulamanıza erişmesi gerektiğine karar vermeniz gerekir.

Salesforce'a kullanıcı atamaya yönelik önemli ipuçları

• Sağlama yapılandırmasını test etmek için Salesforce'a tek bir Microsoft Entra kullanıcısının atandığı önerilir. Daha sonra, Kullanıcı atama bölümünde açıklanan mekanizmalar aracılığıyla daha fazla kullanıcı ve/veya grup atanabilir.

• Salesforce'a bir kullanıcı atarken geçerli bir kullanıcı rolü seçmeniz gerekir. "Varsayılan Erişim" rolü sağlama işlemi için uygun değildir. Bazı rollerin Salesforce'ta lisanslama gerektirebileceğini unutmayın.

  Not

  Microsoft Entra, sağlama işleminin bir parçası olarak Salesforce'tan profilleri içeri aktarır. Salesforce'tan içeri aktarılan profiller, Microsoft Entra Id'de uygulama rolleri olarak görünür, böylece Microsoft Entra Id'de kullanıcı atarken seçebilirsiniz. Kullanıcıları özel bir profile atamak istiyorsanız, bir uygulamaya kullanıcı atamadan önce profillerin Salesforce'tan içeri aktarılmasını bekleyin. Rol içeri aktarma işlemleri sırasında uygulama rollerinin Microsoft Entra Kimliği'nde el ile düzenlenmemesi gerektiğini lütfen unutmayın.

Salesforce'ta mevcut kullanıcıları tanımlama

Microsoft Entra ile tümleştirmeden önce Salesforce hesabınızın zaten bir Salesforce yöneticisi veya başka işlemler tarafından oluşturulmuş bir veya daha fazla kullanıcısı olabilir. Salesforce dışarı aktarma verileri özelliğini kullanarak hangi kullanıcıların zaten mevcut olduğunu belirleyebilirsiniz. Daha fazla bilgi için bkz . Salesforce'tan Yedekleme Verilerini Dışarı Aktarma. Salesforce'tan dışarı aktarırken, verilerin dışarı aktarılan veri kümesine dahil edildiğinden User emin olun ve kuruluştaki kullanıcılar için tüm adlara izin veren bir dışarı aktarma dosyası kodlaması seçin( gibi Unicode (UTF-8)).

Salesforce'tan dışarı aktarılan verileri aldıktan sonra dosyayı ayıklayıp User.csv Excel'de veya PowerShell'de açarak Salesforce'ta bulunan etkin kullanıcıların listesini görüntüleyebilirsiniz.

import-csv .\User.csv | where {$_.IsActive -eq '1'}  | sort UserName | ft UserName

Otomatik kullanıcı sağlamayı etkinleştirme

Bu bölüm, Microsoft Entra Kimliğinizi Salesforce'un kullanıcı hesabı sağlama API'sine (v40) bağlama konusunda size yol gösterir.

İpucu

Azure portalında sağlanan yönergeleri izleyerek Salesforce için SAML tabanlı Çoklu Oturum Açma özelliğini etkinleştirmeyi de seçebilirsiniz. Çoklu oturum açma, otomatik sağlamadan bağımsız olarak yapılandırılabilir, ancak bu iki özellik birbirini tamamlar.

Otomatik kullanıcı hesabı sağlamayı yapılandırma

Bu bölümün amacı, Active Directory kullanıcı hesaplarının Salesforce'a kullanıcı sağlamasını etkinleştirmeyi özetlemektedir.

1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

2. Entra ID>Enterprise uygulamalarına göz atın.

3. Salesforce'ı çoklu oturum açma için yapılandırdıysanız, arama alanını kullanarak Salesforce örneğinizi arayın. Aksi takdirde Ekle'yi seçin ve uygulama galerisinde Salesforce araması yapın. Arama sonuçlarından Salesforce'ı seçin ve uygulama listenize ekleyin.

4. Salesforce örneğinizi ve ardından Sağlama sekmesini seçin.

5. Hazırlama Modu'nu Otomatik olarak ayarlayın.

   

6. Yönetici Kimlik Bilgileri bölümünde aşağıdaki yapılandırma ayarlarını sağlayın:

   1. Yönetici Kullanıcı Adı metin kutusuna, Salesforce.com sistem yöneticisi profilinin atandığı bir Salesforce hesabı adı yazın.

   2. Yönetici Parolası metin kutusuna bu hesabın parolasını yazın.

7. Salesforce güvenlik belirtecinizi almak için yeni bir sekme açın ve aynı Salesforce yönetici hesabında oturum açın. Sayfanın sağ üst köşesinde adınızı ve ardından Ayarlar'ı seçin.

   

8. Sol gezinti bölmesinde Kişisel Bilgilerim'i seçerek ilgili bölümü genişletin ve ardından Güvenlik Belirtecimi Sıfırla'yı seçin.

   

9. Güvenlik Belirtecini Sıfırla sayfasında Güvenlik Belirtecini Sıfırla düğmesini seçin.

   

10. Bu yönetici hesabıyla ilişkili e-posta gelen kutusunu işaretleyin. yeni güvenlik belirtecini içeren Salesforce.com bir e-posta arayın.

11. Belirteci kopyalayın, Microsoft Entra pencerenize gidin ve Gizli Dizi Belirteci alanına yapıştırın.

12. Salesforce örneği Salesforce Kamu Bulutu'ndaysa Kiracı URL'si girilmelidir. Aksi takdirde isteğe bağlıdır. kiracı URL'sini https://<your-instance>.my.salesforce.combiçimini kullanarak girin ve yerine <your-instance> Salesforce örneğinizin adını yazın.

13. Microsoft Entra Id'nin Salesforce uygulamanıza bağlanadığından emin olmak için Bağlantıyı Test Et'i seçin.

14. Bildirim E-postası alanına, sağlama hatası bildirimleri alması gereken bir kişinin veya grubun e-posta adresini girin ve aşağıdaki onay kutusunu işaretleyin.

15. Kaydet seçeneğini seçin.

16. Eşlemeler bölümünde Microsoft Entra kullanıcılarını Salesforce ile eşitle'yi seçin .

17. Öznitelik Eşlemeleri bölümünde, Microsoft Entra Id'den Salesforce'a eşitlenen kullanıcı özniteliklerini gözden geçirin. Eşleştirme özellikleri olarak seçilen özniteliklerin güncelleştirme işlemleri için Salesforce'taki kullanıcı hesaplarıyla eşleşecek şekilde kullanıldığını unutmayın. Değişiklikleri uygulamak için Kaydet düğmesini seçin.

18. Salesforce için Microsoft Entra sağlama hizmetini etkinleştirmek için Ayarlar bölümünde Sağlama Durumu'nuAçık olarak değiştirin

19. Kaydet seçeneğini seçin.

Not

Kullanıcılar Salesforce uygulamasında sağlandıktan sonra yöneticinin dile özgü ayarları yapılandırması gerekir. Dil yapılandırması hakkında daha fazla bilgi için lütfen bu makaleye bakın.

Bu, Kullanıcılar ve Gruplar bölümünde Salesforce'a atanan tüm kullanıcıların ve/veya grupların ilk eşitlemesini başlatır. İlk eşitlemenin gerçekleştirilmesi, hizmet çalıştığı sürece yaklaşık 40 dakikada bir gerçekleşen sonraki eşitlemelerden daha uzun sürer.

İzleme

İlerleme durumunu izlemek için Eşitleme Ayrıntıları bölümünü kullanabilir ve Salesforce uygulamanızda sağlama hizmeti tarafından gerçekleştirilen tüm eylemleri açıklayan sağlama etkinliği günlüklerinin bağlantılarını izleyebilirsiniz.

Microsoft Entra sağlama günlüklerini okuma hakkında daha fazla bilgi için bkz . Otomatik kullanıcı hesabı sağlamada raporlama.

Kullanıcıları atama

Test tamamlandıktan ve bir kullanıcı Salesforce'a başarıyla sağlandıktan sonra, Salesforce'a ihtiyacı olan diğer kullanıcıların uygulama rollerine atandığından emin olmak istersiniz. Bu, Salesforce'ta mevcut kullanıcıları tanımlama bölümünde açıklandığı gibi Salesforce'ta etkin hesapları olan tüm kullanıcıları içerir. Buradaki yönergelerden birini izleyerek bunları ve diğer yetkili kullanıcıları Microsoft Entra'daki Salesforce uygulamasına atayabilirsiniz:

• Her kullanıcıyı Uygulamaya Microsoft Entra yönetim merkezinden atayabilirsiniz.
• Microsoft Graph veya PowerShell cmdlet'i New-MgServicePrincipalAppRoleAssignedToaracılığıyla uygulamaya tek tek kullanıcılar atayabilirsiniz veya
• Kuruluşunuzun Microsoft Entra ID İdaresi lisansı varsa, erişim atamasını otomatikleştirmek, kişiler kuruluşa katıldığında atama eklemek veya kaldırmak ya da rolleri bırakmak veya değiştirmek için yetkilendirme yönetimi ilkeleri dağıtabilirsiniz. Bu uygulama için yetkilendirme yönetimi erişim paketi oluşturabilirsiniz. Kullanıcılara erişim, talep ettiklerinde, bir yönetici tarafından, kurallara dayalı otomatik olarak veya yaşam döngüsü iş akışları aracılığıyla atanacak politikalarınız olabilir.

Uygulamaya atanan kullanıcılar Microsoft Entra Id'de güncelleştirildikçe, bu değişiklikler Salesforce'a otomatik olarak sağlanır.

Genel sorunlar

• Salesforce'a sağlamayı etkinleştirirken sorun yaşıyorsanız aşağıdakilerden emin olun:
  • Kullanılan kimlik bilgilerinin Salesforce'a yönetici erişimi vardır.
  • Kullandığınız Salesforce sürümü Web Access'i (Geliştirici, Kurumsal, Korumalı Alan ve Salesforce'un Sınırsız sürümleri gibi) destekler.
  • Web API'sine erişim kullanıcı için etkinleştirilir.
• Microsoft Entra sağlama hizmeti, bir kullanıcı için sağlama dilini, yerel ayarını ve timeZone'u destekler. Bu öznitelikler varsayılan öznitelik eşlemelerindedir ancak varsayılan kaynak özniteliği yoktur. Varsayılan kaynak özniteliği seçtiğinizden ve kaynak özniteliğin SalesForce tarafından beklenen biçimde olduğundan emin olun. Örneğin, İngilizce (ABD) için localeSidKey en_US. Uygun localeSidKey biçimini belirlemek için burada sağlanan kılavuzu gözden geçirin. languageLocaleKey biçimleri burada bulunabilir. Biçimin doğru olduğundan emin olmanıza ek olarak, burada açıklandığı gibi dilin kullanıcılarınız için etkinleştirildiğinden emin olmanız gerekebilir.
• SalesforceLicenseLimitExceeded: Bu kullanıcı için kullanılabilir lisans olmadığından kullanıcı Salesforce'ta oluşturulamadı. Hedef uygulama için ek lisanslar sağlayın veya doğru kullanıcıların atandığından emin olmak için kullanıcı atamalarınızı gözden geçirin .
• SalesforceDuplicateUserName: Başka bir Salesforce.com kiracısında çoğaltılan bir Salesforce.com 'Kullanıcı Adı' olduğu için kullanıcı oluşturulamaz.  Salesforce.com'da, 'Username' özniteliğinin değerleri tüm Salesforce.com kiracılar arasında benzersiz olmalıdır.  Varsayılan olarak, kullanıcının Microsoft Entra Kimliği'ndeki userPrincipalName değeri Salesforce.com 'Kullanıcı Adı' olur.  İki seçeneğiniz vardır.  Bir seçenek, diğer kiracıyı da yönetiyorsanız diğer Salesforce.com kiracısında yinelenen 'Kullanıcı Adı' olan kullanıcıyı bulup yeniden adlandırmaktır.  Diğer seçenek, Microsoft Entra kullanıcısından dizininizin tümleştirildiği Salesforce.com kiracısına erişimi kaldırmaktır. Sonraki eşitleme girişiminde bu işlemi yeniden deneyeceğiz.
• SalesforceRequiredFieldMissing: Salesforce, kullanıcıyı başarıyla oluşturmak veya güncelleştirmek için kullanıcıda belirli özniteliklerin bulunmasını gerektirir. Bu kullanıcıda gerekli özniteliklerden biri eksik. E-posta ve diğer ad gibi özniteliklerin Salesforce'a sağlanmasını istediğiniz tüm kullanıcılarda dolduruldığından emin olun. Öznitelik tabanlı kapsam filtreleri kullanarak bu özniteliklere sahip olmayan kullanıcıların kapsamını daraltabilirsiniz.
• Salesforce'a sağlama için varsayılan öznitelik eşlemesi, Microsoft Entra Id'deki appRoleAssignments öğesini Salesforce'taki ProfileName ile eşlemek için SingleAppRoleAssignments ifadesini içerir. Öznitelik eşlemesi yalnızca bir rol sağlamayı desteklediğinden, kullanıcıların Microsoft Entra Id'de birden çok uygulama rolü ataması olmadığından emin olun. Grubun tek bir role atandığı bir kullanıcı grubunuz varsa, bu grubun bir üyesi salesforce uygulamasına farklı bir role sahip doğrudan atamaya sahip olamaz.
• Salesforce, e-posta güncelleştirmelerinin değiştirilmeden önce el ile onaylanmasını gerektirir. Sonuç olarak, kullanıcının e-postasını güncelleştirmek için sağlama günlüklerinde birden çok giriş görebilirsiniz (e-posta değişikliği onaylanana kadar).

Ek kaynaklar

• Kurumsal Uygulamalar için kullanıcı hesabı hazırlamayı yönetme
• Microsoft Entra Id ile uygulama erişimi ve çoklu oturum açma nedir?
• Çoklu Oturum Açmayı Yapılandırma