分享方式:

教學課程︰設定 Salesforce 來進行自動佈建使用者

  • 文章

本教學課程旨在說明您需要在 Salesforce 和 Microsoft Entra ID 中執行的步驟,以從 Microsoft Entra ID 自動佈建和取消佈建使用者帳戶至 Salesforce。

必要條件

本教學課程中說明的案例假設您已經具有下列項目:

  • Microsoft Entra 租用戶。

  • Salesforce.com 租使用者。

  • Salesforce 帳戶使用者名稱和密碼和令牌。 未來,如果您重設帳戶密碼,Salesforce 會提供新的令牌,而且您必須編輯 Salesforce 布建設定。

  • Salesforce 中的自定義使用者配置檔。 在 Salesforce 入口網站中建立自訂設定檔之後,請編輯配置檔的系統管理許可權以啟用下列專案:

    • 已啟用 API。

    • 管理使用者:啟用此選項會自動啟用下列專案:指派許可權集合、管理內部使用者管理IP位址、管理登入存取原則、管理密碼原則、管理配置檔和許可權集合、管理角色、管理共用、重設用戶密碼和解除鎖定使用者、檢視所有使用者、檢視角色和階層、檢視設定和設定。

另請參閱 Salesforce 建立或複製配置檔 檔。

注意

直接將許可權指派給配置檔。 請勿透過許可權集合新增許可權。

注意

執行角色匯入時,不應該在 Microsoft Entra ID 中手動編輯角色。

重要

如果您使用的是 Salesforce.com 試用帳戶,則將無法設定自動化的使用者佈建。 試用帳戶沒有必要的 API 存取權,必須購買之後才會擁有。 您可以使用免費的開發人員帳戶 \(英文\),克服這項限制以完成本教學課程。

如果您使用 Salesforce 沙箱環境,請參閱 Salesforce 沙箱整合教學課程

將使用者指派給 Salesforce

Microsoft Entra ID 會使用稱為「指派」的概念,來判斷哪些使用者應獲得指定應用程式的存取權。 在自動使用者帳戶佈建的情況中,只有「獲指派」至 Microsoft Entra ID 內應用程式的使用者和群組,才會進行同步處理。

在設定並啟用佈建服務之前,您必須決定 Microsoft Entra ID 中的哪些使用者或群組需要存取 Salesforce 應用程式。 您可依照將使用者或群組指派給企業應用程式中的指示,將這些使用者指派給 Salesforce 應用程式

將使用者指派給 Salesforce 的重要秘訣

  • 建議將單一 Microsoft Entra 使用者指派給 Salesforce,以測試佈建設定。 稍後可能會再指派更多的使用者及/或群組。

  • 將使用者指派給 Salesforce 時,必須選取有效的使用者角色。 「預設存取」角色不適用於佈建

    注意

    此應用程式在佈建流程中,會從 Salesforce 匯入設定檔,客戶在 Microsoft Entra ID 中指派使用者時也可以選取該角色。 請注意,從 Salesforce 匯入的設定檔會顯示為 Microsoft Entra ID 中的角色。

啟用自動使用者佈建

本節將引導您將 Microsoft Entra ID 連線至 Salesforce 使用者帳戶佈建 API - v40

提示

您也可以選擇啟用 Salesforce 的 SAML 型單一登入,請遵循 Azure 入口網站中提供的指示。 可以獨立設定自動佈建的單一登入,雖然這兩個功能彼此補充。

設定使用者帳戶自動佈建

本節的目的是要說明如何對 Salesforce 啟用 Active Directory 使用者帳戶的使用者佈建。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]

  3. 如果您已經設定單一登入的 Salesforce,請使用 [搜尋] 欄位搜尋您的 Salesforce 執行個體。 否則,請選取 [新增],並在應用程式庫中搜尋 [Salesforce]。 從搜尋結果中選取 Salesforce,並將它新增至您的應用程式清單。

  4. 選取您的 Salesforce 執行個體,然後選取 [佈建] 索引標籤。

  5. 將 [佈建模式] 設定為 [自動]

    螢幕擷取畫面:顯示 [Salesforce 佈建] 頁面,並已將 [佈建模式] 設定為 [自動] 以及其他您可以設定的值。

  6. 在 [管理員認證] 區段下,提供下列組態設定:

    1. 在 [管理員使用者名稱] 文字方塊中,輸入已獲指派 Salesforce.com 中 [系統管理員] 設定檔的 Salesforce 帳戶名稱。

    2. 在 [管理員密碼] 文字方塊中,輸入這個帳戶的密碼。

  7. 若要取得您的 Salesforce 安全性權杖,請開啟新索引標籤並登入相同的 Salesforce 系統管理員帳戶。 在頁面右上角,按一下您的名稱,然後按一下 [設定]

    螢幕擷取畫面:顯示已選取 [設定] 連結。

  8. 在左方導覽窗格上,按一下 [我的個人資訊] 以展開相關的區段,然後按一下 [重設我的安全性權杖]

    螢幕擷取畫面:顯示已從 [我的個人資訊] 中選取 [重設我的安全性權杖]。

  9. 在 [重設安全性權杖] 頁面上,按一下 [重設安全性權杖] 按鈕。

    螢幕擷取畫面:顯示 [重設安全性權杖] 頁面,其中有解說文字和 [重設安全性權杖] 的選項

  10. 檢查與此系統管理員帳戶相關聯的電子郵件收件匣。 尋找來自 Salesforce.com,包含新安全性權杖的電子郵件。

  11. 複製該權杖,移至您的 Microsoft Entra 視窗,然後將它貼到 [祕密權杖] 欄位。

  12. 如果 Salesforce 執行個體是位於 Salesforce 政府雲端上,則應輸入租用戶 URL。 否則為選擇性。 使用 "https://<your-instance>.my.salesforce.com" 格式輸入租用戶 URL,將 <your-instance> 取代為您的 Salesforce 執行個體名稱。

  13. 選取 [測試連線],以確定 Microsoft Entra ID 可以連線至您的 Salesforce 應用程式。

  14. 在 [通知電子郵件] 欄位中輸入應收到佈建錯誤通知的個人或群組之電子郵件地址,然後勾選下列核取方塊。

  15. 按一下 [檔案] 。

  16. 在 [對應] 區段底下,選取 [將 Microsoft Entra 使用者同步至 Salesforce]

  17. 在 [屬性對應] 區段中,檢視從 Microsoft Entra ID 同步處理至 Salesforce 的使用者屬性。 請注意,選取為 [比對] 屬性的屬性會用來比對 Salesforce 中的使用者帳戶以進行更新作業。 選取 [儲存] 按鈕以認可任何變更。

  18. 如要啟用 Salesforce 的 Microsoft Entra 佈建服務,請在 [設定] 區段中,將 [佈建狀態] 變更為 [開啟]

  19. 按一下 [儲存]。

注意

一旦在 Salesforce 應用程式中佈建了使用者,管理員就必須為這些使用者設定語言特定設定。 如需語言設定的其他詳細資料,請參閱這篇文章。

這會啟動在 [使用者和群組] 區段中指派給 Salesforce 的任何使用者和/或群組之首次同步處理。 初始同步處理會比後續同步處理花費更多時間執行,只要服務正在執行,這大約每 40 分鐘便會發生一次。 您可以使用 [同步處理詳細資料] 區段來監視進度,並依循連結前往佈建活動記錄,此記錄會描述您 Salesforce 應用程式上佈建服務所執行的所有動作。

如需如何讀取 Microsoft Entra 佈建記錄的詳細資訊,請參閱關於使用者帳戶自動佈建的報告

常見問題

  • 如果在授與 Salesforce 存取權時您遇到問題,請確定下列事項:
    • 使用的認證具有 Salesforce 的管理員存取權。
    • 您所使用的 Salesforce 版本支援 Web 存取 (例如 Developer、Enterprise、Sandbox 和 Unlimited 版本的 Salesforce。)
    • 已為使用者啟用 Web API 存取。
  • Microsoft Entra 佈建服務支援為使用者佈建語言、地區設定和時區。 這些屬性位在預設屬性對應中,但沒有預設來源屬性。 確定您選取的是預設來源屬性,且來源屬性的格式為 SalesForce 所預期的格式。 例如,english(UnitedStates) 的 localeSidKey 是 en_US。 請檢閱這裡提供的指引,以判斷適當的 localeSidKey 格式。 languageLocaleKey 格式可以在這裡找到。 除了確定格式正確之外,您可能還需要確定已為您的使用者啟用語言,如這裡所述。
  • SalesforceLicenseLimitExceeded:因為使用者沒有可用的授權,所以無法在目標應用程式中建立此使用者。 針對目標應用程式購買額外的授權,或檢閱您的使用者指派和屬性對應設定,以確保已使用正確的屬性來指派正確的使用者。
  • SalesforceDuplicateUserName:無法佈建使用者,因為其具有的 Salesforce.com 'Username' 已在另一個 Salesforce.com 租用戶中重複。  在 Salesforce.com 中,'Username' 屬性的值在所有 Salesforce.com 租用戶之間必須是唯一的。  依預設,Microsoft Entra ID 中使用者的 userPrincipalName 會在 Salesforce.com 中變成其 'Username'。  您有兩個選項。  其中一個選項是在其他 Salesforce.com 租用戶中尋找並重新命名具有重複 'Username' 的使用者 (如果您也管理該租用戶)。  另一個選項是將 Microsoft Entra 使用者的存取權移除至與您目錄整合的 Salesforce.com 租用戶。 我們會在下一次同步嘗試時重試此作業。
  • SalesforceRequiredFieldMissing:Salesforce 要求使用者必須具有某些屬性,才能成功建立或更新該使用者。 此使用者遺漏其中一個必要屬性。 確定在您想要佈建至 Salesforce 的所有使用者上,都已填入電子郵件和別名之類的屬性。 您可以使用屬性型範圍篩選條件,將沒有這些屬性的使用者排除在範圍之外。
  • 用於佈建至 Salesforce 的預設屬性對應包含 SingleAppRoleAssignments 運算式,可將 Microsoft Entra ID 中的 appRoleAssignments 對應至 Salesforce 中的 ProfileName。 確定使用者在 Microsoft Entra ID 中沒有多個應用程式角色指派,因為屬性對應只支援佈建一個角色。
  • Salesforce 要求手動核准電子郵件更新後,才能進行變更。 如此一來,您可能會在佈建記錄中看到多個項目,更新使用者的電子郵件 (直到電子郵件變更已核准為止)。

其他資源