Partilhar via


Tutorial: Configurar o Salesforce para provisionamento automático de usuários

O objetivo deste tutorial é mostrar as etapas necessárias para executar no Salesforce e no Microsoft Entra ID para provisionar e desprovisionar automaticamente contas de usuário do Microsoft Entra ID para o Salesforce.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que já tem os seguintes itens:

  • Um locatário do Microsoft Entra.

  • Um inquilino Salesforce.com.

  • Um nome de usuário e senha da conta do Salesforce e o token. No futuro, se você redefinir a senha da conta, o Salesforce fornecerá um novo token e você precisará editar as configurações de provisionamento do Salesforce.

  • Um perfil de usuário personalizado no Salesforce. Depois de criar um perfil personalizado no portal do Salesforce, edite as Permissões administrativas do perfil para habilitar o seguinte:

    • API habilitada.

    • Gerir Utilizadores: Ativar esta opção permite automaticamente o seguinte: Atribuir Conjuntos de Permissões, Gerir Utilizadores InternosGerir Endereços IP, Gerir Políticas de Acesso de Início de Sessão, Gerir Políticas de Palavras-passe, Gerir Perfis e Conjuntos de Permissões, Gerir Funções, Gerir Partilha, Repor Palavras-passe de Utilizador e Desbloquear Utilizadores, Ver Todos os Utilizadores, Ver Funções e Hierarquia, Ver Configuração e Configuração.

Consulte também a documentação Criar ou clonar perfis do Salesforce.

Nota

Atribua as permissões diretamente ao perfil. Não adicione as permissões através de conjuntos de permissões.

Nota

As funções não devem ser editadas manualmente no Microsoft Entra ID ao fazer importações de funções.

Importante

Se você estiver usando uma conta de avaliação Salesforce.com, não poderá configurar o provisionamento automatizado de usuários. As contas de avaliação não têm o acesso à API necessário ativado até que sejam compradas. Você pode contornar essa limitação usando uma conta de desenvolvedor gratuita para concluir este tutorial.

Se você estiver usando um ambiente Salesforce Sandbox, consulte o tutorial de integração do Salesforce Sandbox.

Atribuir usuários ao Salesforce

O Microsoft Entra ID usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso a aplicativos selecionados. No contexto do provisionamento automático de conta de usuário, somente os usuários e grupos que são "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários ou grupos no Microsoft Entra ID precisam acessar seu aplicativo Salesforce. Você pode atribuir esses usuários ao seu aplicativo Salesforce seguindo as instruções em Atribuir um usuário ou grupo a um aplicativo corporativo

Dicas importantes para atribuir usuários ao Salesforce

  • É recomendável que um único usuário do Microsoft Entra seja atribuído ao Salesforce para testar a configuração de provisionamento. Mais usuários e/ou grupos podem ser atribuídos posteriormente.

  • Ao atribuir um usuário ao Salesforce, você deve selecionar uma função de usuário válida. A função "Acesso padrão" não funciona para provisionamento

    Nota

    Este aplicativo importa perfis do Salesforce como parte do processo de provisionamento, que o cliente pode querer selecionar ao atribuir usuários no Microsoft Entra ID. Observe que os perfis importados do Salesforce aparecem como Funções no Microsoft Entra ID.

Habilite o provisionamento automatizado de usuários

Esta seção orienta você na conexão de sua ID do Microsoft Entra à API de provisionamento de conta de usuário do Salesforce - v40

Gorjeta

Você também pode optar por habilitar o Logon Único baseado em SAML para Salesforce, seguindo as instruções fornecidas no portal do Azure. O logon único pode ser configurado independentemente do provisionamento automático, embora esses dois recursos se complementem.

Configurar o provisionamento automático de conta de usuário

O objetivo desta seção é descrever como habilitar o provisionamento de contas de usuário do Ative Directory para o Salesforce.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

  3. Se você configurou o Salesforce para logon único, pesquise sua instância do Salesforce usando o campo de pesquisa. Caso contrário, selecione Adicionar e pesquisar Salesforce na galeria de aplicativos. Selecione Salesforce nos resultados da pesquisa e adicione-o à sua lista de aplicativos.

  4. Selecione sua instância do Salesforce e, em seguida, selecione a guia Provisionamento .

  5. Defina o Modo de Aprovisionamento como Automático.

    A captura de tela mostra a página Provisionamento do Salesforce, com o Modo de provisionamento definido como Automático e outros valores que você pode definir.

  6. Na seção Credenciais de administrador, forneça as seguintes definições de configuração:

    1. Na caixa de texto Nome de usuário do administrador, digite um nome de conta do Salesforce que tenha o perfil de administrador do sistema em Salesforce.com atribuído.

    2. Na caixa de texto Senha do administrador , digite a senha dessa conta.

  7. Para obter seu token de segurança do Salesforce, abra uma nova guia e faça login na mesma conta de administrador do Salesforce. No canto superior direito da página, clique no seu nome e, em seguida, clique em Definições.

    A captura de tela mostra o link Configurações selecionado.

  8. No painel de navegação esquerdo, clique em Minhas Informações Pessoais para expandir a seção relacionada e clique em Redefinir Meu Token de Segurança.

    A captura de tela mostra Redefinir Meu Token de Segurança selecionado em Minhas Informações Pessoais.

  9. Na página Redefinir Token de Segurança, clique no botão Redefinir Token de Segurança.

    A captura de tela mostra a página Token de Segurança Rest, com texto explicativo e a opção para Redefinir Token de Segurança

  10. Verifique a caixa de entrada de e-mail associada a esta conta de administrador. Procure um e-mail de Salesforce.com que contenha o novo token de segurança.

  11. Copie o token, vá para a janela do Microsoft Entra e cole-o no campo Token secreto.

  12. A URL do locatário deve ser inserida se a instância do Salesforce estiver na Salesforce Government Cloud. Caso contrário, é opcional. Insira a URL do locatário usando o formato , https://<your-instance>.my.salesforce.comsubstituindo <your-instance> pelo nome da sua instância do Salesforce.

  13. Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao seu aplicativo Salesforce.

  14. No campo Email de notificação, digite o endereço de e-mail de uma pessoa ou grupo que deve receber notificações de erro de provisionamento e marque a caixa de seleção abaixo.

  15. Clique em Guardar.

  16. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Salesforce.

  17. Na seção Mapeamentos de Atributos, examine os atributos de usuário sincronizados do ID do Microsoft Entra para o Salesforce. Observe que os atributos selecionados como Propriedades correspondentes são usados para corresponder às contas de usuário no Salesforce para operações de atualização. Selecione o botão Guardar para confirmar as alterações.

  18. Para habilitar o serviço de provisionamento do Microsoft Entra para Salesforce, altere o Status de provisionamento para Ativado na seção Configurações

  19. Clique em Guardar.

Nota

Depois que os usuários são provisionados no aplicativo Salesforce, o administrador precisa definir as configurações específicas de idioma para eles. Consulte este artigo para obter mais detalhes sobre a configuração do idioma.

Isso inicia a sincronização inicial de todos os usuários e/ou grupos atribuídos ao Salesforce na seção Usuários e grupos. A sincronização inicial leva mais tempo para ser executada do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço estiver em execução. Você pode usar a seção Detalhes da sincronização para monitorar o progresso e seguir os links para logs de atividades de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento em seu aplicativo Salesforce.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, consulte Relatórios sobre provisionamento automático de conta de usuário.

Problemas comuns

  • Se você estiver tendo problemas para autorizar o acesso ao Salesforce, certifique-se do seguinte:
    • As credenciais usadas têm acesso de administrador ao Salesforce.
    • A versão do Salesforce que você está usando oferece suporte ao Web Access (como as edições Developer, Enterprise, Sandbox e Unlimited do Salesforce).
    • O acesso à API da Web está habilitado para o usuário.
  • O serviço de provisionamento do Microsoft Entra oferece suporte ao idioma de provisionamento, localidade e fuso horário para um usuário. Esses atributos estão nos mapeamentos de atributos padrão, mas não têm um atributo de origem padrão. Certifique-se de selecionar o atributo source padrão e se o atributo source esteja no formato esperado pelo SalesForce. Por exemplo, localeSidKey para inglês (Estados Unidos) é en_US. Analise as orientações fornecidas aqui para determinar o formato localeSidKey adequado. Os formatos languageLocaleKey podem ser encontrados aqui. Além de garantir que o formato esteja correto, talvez seja necessário garantir que o idioma esteja habilitado para seus usuários, conforme descrito aqui.
  • SalesforceLicenseLimitExceeded: Não foi possível criar o usuário no aplicativo de destino porque não há licenças disponíveis para esse usuário. Adquira licenças adicionais para o aplicativo de destino ou revise suas atribuições de usuário e configuração de mapeamento de atributos para garantir que os usuários corretos sejam atribuídos com os atributos corretos.
  • SalesforceDuplicateUserName: O usuário não pode ser provisionado porque tem um Salesforce.com 'Username' que é duplicado em outro locatário Salesforce.com.  No Salesforce.com, os valores para o atributo 'Username' devem ser exclusivos em todos os locatários Salesforce.com.  Por padrão, userPrincipalName de um usuário no ID do Microsoft Entra se torna seu 'Nome de usuário' no Salesforce.com.  Você tem duas opções.  Uma opção é localizar e renomear o usuário com o 'Nome de usuário' duplicado no outro Salesforce.com locatário, se você administrar esse outro locatário também.  A outra opção é remover o acesso do usuário do Microsoft Entra ao locatário Salesforce.com com o qual seu diretório está integrado. Tentaremos novamente esta operação na próxima tentativa de sincronização.
  • SalesforceRequiredFieldMissing: o Salesforce exige que determinados atributos estejam presentes no usuário para criar ou atualizar o usuário com êxito. Este usuário está faltando um dos atributos necessários. Certifique-se de que atributos como e-mail e alias sejam preenchidos em todos os usuários que você gostaria de ser provisionado no Salesforce. Você pode definir o escopo de usuários que não têm esses atributos usando filtros de escopo baseados em atributos.
  • O mapeamento de atributos padrão para provisionamento para Salesforce inclui a expressão SingleAppRoleAssignments para mapear appRoleAssignments no ID do Microsoft Entra para ProfileName no Salesforce. Certifique-se de que os usuários não tenham várias atribuições de função de aplicativo no Microsoft Entra ID, pois o mapeamento de atributos oferece suporte apenas ao provisionamento de uma função.
  • O Salesforce exige que as atualizações de e-mail sejam aprovadas manualmente antes de serem alteradas. Como resultado, você pode ver várias entradas nos logs de provisionamento para atualizar o e-mail do usuário (até que a alteração de e-mail tenha sido aprovada).

Recursos adicionais