教學課程:設定 Salesforce 來自動布建使用者

  • 發行項

本教學課程的目的是要說明在 Salesforce 和 Microsoft Entra ID 中執行的步驟,以將使用者帳戶從 Microsoft Entra ID 自動布建和取消布建至 Salesforce。

必要條件

本教學課程中所述的案例假設您已經有下列專案:

  • Microsoft Entra 租用戶
  • Salesforce.com 租使用者

注意

執行角色匯入時,不應該在 Microsoft Entra ID 中手動編輯角色。

重要

如果您使用 Salesforce.com 試用版帳戶,您將無法設定自動化的使用者布建。 試用帳戶在購買之前未啟用必要的 API 存取權。 您可以使用免費的 開發人員帳戶來完成本教學課程 ,以解決此問題。

如果您使用 Salesforce 沙箱環境,請參閱 Salesforce Sandbox 整合教學課程

將使用者指派給 Salesforce

Microsoft Entra ID 使用稱為「指派」的概念來判斷哪些使用者應該接收所選應用程式的存取權。 在自動使用者帳戶布建的內容中,只會同步處理「指派」給 Microsoft Entra ID 中的應用程式的使用者和群組。

設定並啟用布建服務之前,您必須決定 Microsoft Entra 識別碼中的哪些使用者或群組需要存取您的 Salesforce 應用程式。 您可以遵循將使用者或群組指派給企業應用程式的指示 ,將這些使用者指派給 Salesforce 應用程式

將使用者指派給 Salesforce 的重要秘訣

  • 建議將單一 Microsoft Entra 使用者指派給 Salesforce,以測試布建設定。 稍後可指派更多使用者和/或群組。

  • 將使用者指派給 Salesforce 時,您必須選取有效的使用者角色。 「預設存取」角色不適用於布建

    注意

    此應用程式會從 Salesforce 匯入設定檔,作為布建程式的一部分,客戶可能會在 Microsoft Entra ID 中指派使用者時選取該設定檔。 請注意,從 Salesforce 匯入的設定檔會顯示為 Microsoft Entra ID 中的角色。

啟用自動化使用者布建

本節會引導您將 Microsoft Entra ID 連線到 Salesforce 的使用者帳戶布建 API - v40

提示

您也可以選擇為 Salesforce 啟用 SAML 型單一登入,並遵循Azure 入口網站 提供的指示。 單一登入可以獨立設定自動布建,不過這兩項功能彼此相稱。

設定自動使用者帳戶布建

本節的目的是要說明如何啟用將 Active Directory 使用者帳戶的使用者布建至 Salesforce。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分 > 識別應用程式企業應用程式]。 >

  3. 如果您已設定 Salesforce 進行單一登入,請使用搜尋欄位搜尋 Salesforce 實例。 否則,請選取 [ 新增 ],然後在應用程式庫中搜尋 Salesforce 。 從搜尋結果中選取 [Salesforce],然後將它新增至您的應用程式清單。

  4. 選取 Salesforce 的實例,然後選取 [ 布建] 索引 標籤。

  5. 將 [布 建模式 ] 設定為 [ 自動 ]。

    Screenshot shows the Salesforce Provisioning page, with Provisioning Mode set to Automatic and other values you can set.

  6. 在 [ 管理員認證 ] 區段下,提供下列組態設定:

    1. 在 [ 管理員使用者 名稱] 文字方塊中,輸入 Salesforce 帳戶名稱,此名稱具有 Salesforce.com 指派的 System 管理員istrator 設定檔。

    2. 在 [ 管理員密碼 ] 文字方塊中,輸入此帳戶的密碼。

  7. 若要取得 Salesforce 安全性權杖,請開啟新的索引標籤並登入相同的 Salesforce 系統管理員帳戶。 在頁面右上角,按一下您的名稱,然後按一下 [設定 ]。

    Screenshot shows the Settings link selected.

  8. 在左側流覽窗格中,按一下 [我的個人資訊 ] 展開相關區段,然後按一下 [ 重設我的安全性權杖 ]。

    Screenshot shows Reset My Security Token selected from My Personal Information.

  9. 在 [重 設安全性權杖 ] 頁面上,按一下 [ 重設安全性權杖 ] 按鈕。

    Screenshot shows the Rest Security Token page, with explanatory text and the option to Reset Security Token

  10. 檢查與此系統管理員帳戶相關聯的電子郵件收件匣。 尋找包含新安全性權杖之 Salesforce.com 的電子郵件。

  11. 複製權杖,移至您的 Microsoft Entra 視窗,並將它貼到 [秘密權杖 ] 欄位中。

  12. 如果 Salesforce 實例位於 Salesforce Government Cloud 上,則應該輸入租使用者 URL 。 否則,這是選擇性的。 使用 「HTTPs:// < your-instance.my.salesforce.com > 」 格式輸入租使用者 URL,以 < Salesforce 實例的名稱取代您的實例 > 。

  13. 選取 [ 測試連線, 以確保 Microsoft Entra ID 可以連線到您的 Salesforce 應用程式。

  14. 在 [ 通知電子郵件 ] 欄位中,輸入應接收布建錯誤通知的人員或群組的電子郵件地址,然後核取下列核取方塊。

  15. 按一下 [檔案] 。

  16. 在 [對應] 區段底下,選取 [ 將 Microsoft Entra 使用者同步處理至 Salesforce]。

  17. 在 [ 屬性對應 ] 區段中,檢閱從 Microsoft Entra ID 同步至 Salesforce 的使用者屬性。 請注意,選取為 [比 對] 屬性的屬性會用來比對 Salesforce 中的使用者帳戶以進行更新作業。 選取 [儲存] 按鈕以認可任何變更。

  18. 若要啟用 Salesforce 的 Microsoft Entra 布建服務,請將 [設定] 區段中的 [布建狀態 ] 變更為 [開啟 ]

  19. 按一下 [儲存]。

注意

在 Salesforce 應用程式中布建使用者之後,系統管理員必須為其設定語言特定設定。 如需語言設定的詳細資訊,請參閱 這篇文章

這會在 [使用者和群組] 區段中,啟動指派給 Salesforce 的任何使用者和/或群組的初始同步處理。 初始同步處理的執行時間比後續的同步處理時間要長,只要服務正在執行,大約每 40 分鐘就會發生一次。 您可以使用 [ 同步處理詳細 資料] 區段來監視進度,並遵循布建活動記錄的連結,以描述您 Salesforce 應用程式上布建服務執行的所有動作。

如需如何讀取 Microsoft Entra 布建記錄的詳細資訊,請參閱 關於自動使用者帳戶布 建的報告。

常見問題

  • 如果您在授權存取 Salesforce 時遇到問題,請確定下列事項:
    • 使用的認證具有 Salesforce 的系統管理員存取權。
    • 您使用的 Salesforce 版本支援 Web 存取(例如 Developer、Enterprise、Sandbox 和 Unlimited 版本的 Salesforce。
    • 使用者已啟用 Web API 存取。
  • Microsoft Entra 布建服務支援為使用者布建語言、地區設定和 timeZone。 這些屬性位於預設屬性對應中,但沒有預設來源屬性。 請確定您選取預設來源屬性,而且來源屬性的格式為 SalesForce 所預期的格式。 例如,localeSidKey for english(United States) 是en_US。 請檢閱此處 提供的 指引,以判斷適當的 localeSidKey 格式。 您可以在這裡 找到 languageLocaleKey 格式。 除了確保格式正確之外,您可能需要確保使用者已啟用語言,如這裡 所述
  • SalesforceLicenseLimitExceeded: 無法在目標應用程式中建立使用者,因為此使用者沒有可用的授權。 為目標應用程式採購其他授權,或檢閱您的使用者指派和屬性對應組態,以確保正確的使用者已獲指派正確的屬性。
  • SalesforceDuplicateUserName: 無法布建使用者,因為它有另一個 Salesforce.com 租使用者中重複的 Salesforce.com 'Username'。  在 Salesforce.com 中,'Username' 屬性的值在所有 Salesforce.com 租使用者中都必須是唯一的。  根據預設,Microsoft Entra ID 中的使用者 userPrincipalName 會在 Salesforce.com 變成其 「使用者名稱」。  您有兩個選項。  其中一個選項是,如果您也管理該租使用者,請在另一個 Salesforce.com 租使用者中尋找並重新命名另一個租使用者中重複的 「使用者名稱」。  另一個選項是從 Microsoft Entra 使用者移除您目錄整合所在的 Salesforce.com 租使用者存取權。 我們將在下一次同步處理嘗試時重試此作業。
  • SalesforceRequiredFieldMissing: Salesforce 需要有特定屬性,才能在使用者上成功建立或更新使用者。 此使用者遺漏其中一個必要屬性。 請確定您想要布建至 Salesforce 的所有使用者上填入電子郵件和別名等屬性。 您可以使用屬性型範圍篩選 來限定沒有這些屬性 的使用者範圍。
  • 布建至 Salesforce 的預設屬性對應包含 SingleAppRoleAssignments 運算式,以將 Microsoft Entra ID 中的 appRoleAssignments 對應至 Salesforce 中的 ProfileName。 確定使用者在 Microsoft Entra ID 中沒有多個應用程式角色指派,因為屬性對應僅支援布建一個角色。
  • Salesforce 要求先手動核准電子郵件更新,再進行變更。 因此,您可能會在布建記錄中看到多個專案來更新使用者的電子郵件(直到核准電子郵件變更為止)。

其他資源