Udostępnij za pośrednictwem

Samouczek: konfigurowanie piaskownicy usługi Salesforce na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

Celem tego samouczka jest pokazanie kroków, które należy wykonać w piaskownicy usługi Salesforce i identyfikatorze Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji kont użytkowników z witryny Microsoft Entra ID do piaskownicy usługi Salesforce.

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące elementy:

  • Dzierżawa firmy Microsoft Entra.
  • Prawidłowa dzierżawa piaskownicy usługi Salesforce for Work lub Salesforce Sandbox for Education. Możesz użyć bezpłatnego konta wersji próbnej dla dowolnej usługi.
  • Konto użytkownika w piaskownicy usługi Salesforce z uprawnieniami administratora zespołu.

Przypisywanie użytkowników do piaskownicy usługi Salesforce

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji kont użytkowników synchronizowane są tylko użytkownicy i grupy, które zostały "przypisane" do aplikacji w identyfikatorze Entra firmy Microsoft.

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do aplikacji piaskownicy usługi Salesforce. Po podjęciu tej decyzji możesz przypisać tych użytkowników do aplikacji piaskownicy usługi Salesforce, postępując zgodnie z instrukcjami w temacie Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw

Ważne porady dotyczące przypisywania użytkowników do piaskownicy usługi Salesforce

  • Zaleca się przypisanie pojedynczego użytkownika microsoft Entra do piaskownicy usługi Salesforce w celu przetestowania konfiguracji aprowizacji. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

  • Podczas przypisywania użytkownika do piaskownicy usługi Salesforce należy wybrać prawidłową rolę użytkownika. Rola "Dostęp domyślny" nie działa na potrzeby aprowizacji.

Uwaga

Aplikacja Piaskownica usługi Salesforce domyślnie dołącza ciąg do nazwy użytkownika i adresu e-mail aprowizowania użytkowników. Nazwy użytkowników i wiadomości e-mail muszą być unikatowe we wszystkich usługach Salesforce, aby zapobiec tworzeniu rzeczywistych danych użytkownika w piaskownicy, co uniemożliwiłoby tym użytkownikom aprowizację w środowisku produkcyjnym usługi Salesforce

Uwaga

Ta aplikacja importuje role niestandardowe z piaskownicy usługi Salesforce w ramach procesu aprowizacji, który klient może wybrać podczas przypisywania użytkowników.

Włączanie automatycznej aprowizacji użytkowników

Ta sekcja przeprowadzi Cię przez proces łączenia identyfikatora entra firmy Microsoft z interfejsem API aprowizacji konta użytkownika piaskownicy usługi Salesforce oraz konfigurowania usługi aprowizacji w celu tworzenia, aktualizowania i wyłączania przypisanych kont użytkowników w piaskownicy usługi Salesforce na podstawie przypisania użytkowników i grup w identyfikatorze Entra firmy Microsoft.

Napiwek

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla piaskownicy usługi Salesforce, postępując zgodnie z instrukcjami podanymi w witrynie Azure Portal. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji, chociaż te dwie funkcje uzupełniają się wzajemnie.

Konfigurowanie automatycznej aprowizacji kont użytkowników

Celem tej sekcji jest przedstawienie sposobu włączania aprowizacji użytkowników kont użytkowników usługi Active Directory w piaskownicy usługi Salesforce.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

  3. Jeśli skonfigurowano już piaskownicę usługi Salesforce na potrzeby logowania jednokrotnego, wyszukaj wystąpienie piaskownicy usługi Salesforce przy użyciu pola wyszukiwania. W przeciwnym razie wybierz pozycję Dodaj i wyszukaj pozycję Piaskownica usługi Salesforce w galerii aplikacji. Wybierz pozycję Piaskownica usługi Salesforce z wyników wyszukiwania i dodaj ją do swojej listy aplikacji.

  4. Wybierz swoje wystąpienie piaskownicy usługi Salesforce, a następnie wybierz kartę Aprowizacja .

  5. Ustaw Tryb aprowizacji na Automatyczny.

    Zrzut ekranu przedstawiający stronę Aprowizacja piaskownicy usługi Salesforce z ustawionym trybem aprowizacji na wartość Automatyczna i inne wartości, które można ustawić.

  6. W sekcji Poświadczenia administratora podaj następujące ustawienia konfiguracji:

    1. W polu tekstowym Admin Username (Nazwa użytkownika administratora) wpisz nazwę konta piaskownicy usługi Salesforce z przypisanym profilem administratora systemu w Salesforce.com.

    2. W polu tekstowym Admin Password (Hasło administratora) wpisz hasło dla tego konta.

  7. Aby uzyskać token zabezpieczający piaskownicy usługi Salesforce, otwórz nową kartę i zaloguj się do tego samego konta administratora piaskownicy usługi Salesforce. W prawym górnym rogu strony kliknij swoją nazwę, a następnie kliknij pozycję Ustawienia.

    Zrzut ekranu przedstawia wybrane łącze Ustawienia.

  8. W okienku nawigacji po lewej stronie kliknij pozycję Moje dane osobowe, aby rozwinąć powiązaną sekcję, a następnie kliknij pozycję Resetuj mój token zabezpieczający.

    Zrzut ekranu przedstawiający pozycję Resetuj mój token zabezpieczający wybrany z obszaru Moje dane osobowe.

  9. Na stronie Resetowanie tokenu zabezpieczającego kliknij przycisk Resetuj token zabezpieczający.

    Zrzut ekranu przedstawiający stronę Token zabezpieczający REST z tekstem objaśniającym i opcją resetowania tokenu zabezpieczającego

  10. Sprawdź skrzynkę odbiorczą poczty e-mail skojarzoną z tym kontem administratora. Wyszukaj wiadomość e-mail z usługi Salesforce Sandbox.com zawierającą nowy token zabezpieczający.

  11. Skopiuj token, przejdź do okna Microsoft Entra i wklej go w polu Token tajny.

  12. Wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z aplikacją piaskownicy usługi Salesforce.

  13. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, i zaznacz pole wyboru.

  14. Kliknij przycisk Zapisz.

  15. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z piaskownicą usługi Salesforce.

  16. W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora Entra firmy Microsoft do piaskownicy usługi Salesforce. Atrybuty wybrane jako Właściwości dopasowania są używane do dopasowania kont użytkowników w piaskownicy usługi Salesforce na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić zmiany.

  17. Aby włączyć usługę aprowizacji firmy Microsoft dla piaskownicy usługi Salesforce, zmień stan aprowizacji na . w sekcji Ustawienia

  18. Kliknij przycisk Zapisz.

Rozpoczyna początkową synchronizację wszystkich użytkowników i/lub grup przypisanych do piaskownicy usługi Salesforce w sekcji Użytkownicy i grupy. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do dzienników aktywności aprowizacji, które opisują wszystkie akcje wykonywane przez usługę aprowizacji w aplikacji piaskownicy usługi Salesforce.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

Dodatkowe zasoby