Настройка Salesforce для автоматической подготовки пользователей
Цель этой статьи — показать этапы, которые необходимо выполнить в Salesforce и Microsoft Entra ID для автоматического создания и удаления учетных записей пользователей из Microsoft Entra ID в Salesforce.
Предварительные условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие элементы:
— учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно. — Одна из следующих ролей: администратор приложений - администратор облачных приложений - владельца приложения..
Клиент Salesforce.com.
Имя пользователя и пароль учетной записи Salesforce и маркер. В будущем, если вы сбросите пароль учетной записи, Salesforce предоставит вам новый токен, и вам нужно будет изменить параметры провизирования Salesforce.
Настраиваемый профиль пользователя в Salesforce. После создания настраиваемого профиля на портале Salesforce измените административные разрешения профиля, чтобы включить следующее:
Включено API.
Управление пользователями: Включение этого параметра автоматически включает следующее: назначение наборов разрешений, управление внутренними пользователями, управление IP-адресами, управление политиками доступа для входа, управление политиками доступа к паролям, управление профилями и разрешениями, управление ролями, управление общим доступом, сброс паролей пользователей и разблокировка пользователей, просмотр всех пользователей, просмотр ролей и иерархии, просмотр настройки и конфигурации.
См. также документацию по Salesforce Создание или Клонирование Профилей.
Примечание.
Предоставьте разрешения непосредственно профилю. Не добавляйте разрешения с помощью наборов разрешений.
Примечание.
Роли не должны изменяться вручную в идентификаторе Microsoft Entra при импорте ролей.
Внимание
Если вы используете Salesforce.com пробную учетную запись, вы не сможете настроить автоматическую подготовку пользователей. У пробных учетных записей нет необходимого доступа к API до тех пор, пока они не будут приобретены. Это ограничение можно обойти с помощью бесплатной учетной записи разработчика для работы с этой статьей.
Если вы используете среду песочницы Salesforce, ознакомьтесь с статьей об интеграции с песочницей Salesforce.
Назначение пользователей в Salesforce
Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматического управления учетными записями пользователей автоматически синхронизируются только пользователи и группы, назначенные приложению в Microsoft Entra ID.
Перед настройкой и включением службы подготовки необходимо определить, какие пользователи или группы в Microsoft Entra ID должны иметь доступ к вашему приложению Salesforce. Вы можете назначить этих пользователей приложению Salesforce, следуя инструкциям в разделе "Назначение пользователя или группы корпоративному приложению"
Важные рекомендации по назначению пользователей в Salesforce
Рекомендуется, чтобы один пользователь Microsoft Entra был назначен в Salesforce для проверки конфигурации подготовки. Дополнительных пользователей и (или) группы можно назначить позднее.
При назначении пользователя в Salesforce необходимо выбрать допустимую роль пользователя. Роль "Доступ по умолчанию" не работает для управления доступом
Примечание.
Это приложение импортирует профили из Salesforce в рамках процесса предоставления доступа, который клиент может выбрать по желанию при назначении пользователей в Microsoft Entra ID. Обратите внимание, что профили, импортированные из Salesforce, отображаются как роли в идентификаторе Microsoft Entra.
Включение автоматической подготовки пользователей
В этом разделе описано, как подключить идентификатор Microsoft Entra к API подготовки учетных записей пользователей Salesforce — версия 40
Совет
Вы также можете включить единый вход на основе SAML для Salesforce, следуя инструкциям, приведенным в портал Azure. Единый вход можно настроить независимо от автоматического обеспечения, хотя две эти функции дополняют друг друга.
Настройка автоматической подготовки учетных записей пользователей
Цель этого раздела — описать, как включить создание учетных записей пользователей Active Directory для Salesforce.
Войдите в центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.
Перейдите к Identity>приложениям>корпоративным приложениям.
Если вы настроили Salesforce для единого входа, найдите экземпляр Salesforce с помощью поля поиска. В противном случае щелкните Добавить и выполните поиск Salesforce в коллекции приложений. Выберите Salesforce в результатах поиска и добавьте его в список приложений.
Выберите экземпляр Salesforce, а затем перейдите на вкладку Управление.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе Учетные данные администратора укажите следующие параметры конфигурации.
В текстовом поле Имя администратора введите имя учетной записи Salesforce с профилем системного администратора в Salesforce.com.
В текстовом поле Пароль администратора введите пароль для этой учетной записи.
Для получения маркера безопасности Salesforce откройте новую вкладку и выполните вход с этой учетной записью администратора Salesforce. В правом верхнем углу страницы выберите ваше имя и выберите настройки.
В области навигации слева выберите "Моя личная информация", чтобы открыть соответствующий раздел, а затем выберите Сброс моего токена безопасности.
На странице Сброс маркера безопасности выберите кнопку Сброс маркера безопасности.
Проверьте входящие сообщения в почтовом ящике, связанном с этой учетной записью администратора. Найдите сообщение от Salesforce.com с новым маркером безопасности.
Скопируйте токен, перейдите в окно Microsoft Entra и вставьте его в поле Secret Token.
URL-адрес клиента нужно вводить, если экземпляр Salesforce находится в правительственном облаке Salesforce. В противном случае это необязательно. Введите URL-адрес клиента в формате
https://<your-instance>.my.salesforce.com
, заменив<your-instance>
именем вашего экземпляра Salesforce.Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к приложению Salesforce.
В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках предоставления, и установите флажок внизу.
Выберите Сохранить.
В разделе "Сопоставления" выберите Синхронизировать пользователей Microsoft Entra с Salesforce.
В разделе "Сопоставления атрибутов" просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Salesforce. Обратите внимание, что атрибуты, которые выбраны в качестве свойств Matching (Сопоставление), будут использоваться для сопоставления учетных записей пользователей в Salesforce для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Чтобы включить службу подготовки Microsoft Entra для Salesforce, измените состояние подготовки на "Включено " в разделе "Параметры"
Выберите Сохранить.
Примечание.
Подготовив пользователей в приложении Salesforce, администратору понадобится настроить для них параметры языка. Дополнительные сведения о настройке языка см. в этой статье.
Это запускает начальную синхронизацию любых пользователей и/или групп, назначенных в Salesforce в разделе "Пользователи и группы". Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Если служба запущена, они выполняются примерно каждые 40 минут. В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра журналов действий, в которых зафиксированы все действия, выполняемые в приложении Salesforce службой подготовки.
Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".
Распространенные проблемы
- Если у вас возникли проблемы с авторизацией доступа к Salesforce, убедитесь в следующем:
- Используемым учетным данным предоставлен доступ администратора к Salesforce.
- Версия Salesforce, которую вы используете, поддерживает веб-доступ (например, разработчик, enterprise, песочница и неограниченное количество выпусков Salesforce.)
- Для пользователя включен доступ к веб-API.
- Служба настройки Microsoft Entra поддерживает язык настройки, локаль и часовой пояс для пользователя. Эти атрибуты находятся в сопоставлениях атрибутов по умолчанию, но не имеют исходного атрибута по умолчанию. Убедитесь, что выбран стандартный исходный атрибут, а также в том, что формат исходного атрибута соответствует формату, ожидаемому SalesForce. Например, localeSidKey для english(UnitedStates) является en_US. Ознакомьтесь с приведенными здесь рекомендациями, чтобы определить правильный формат localeSidKey. Форматы languageLocaleKey можно найти здесь. Проверив правильность формата, возможно, вы также должны будете убедиться в том, что этот язык включен для пользователей, как описано здесь.
- SalesforceLicenseLimitExceeded. Пользователя не удалось создать в целевом приложении, поскольку для него нет доступных лицензий. Получите дополнительные лицензии для целевого приложения либо проверьте назначения пользователей и конфигурацию сопоставления атрибутов, чтобы убедиться, что им назначены правильные атрибуты.
- SalesforceDuplicateUserName: пользователь не может быть предоставлен, так как у него есть имя пользователя Salesforce.com, которое дублируется в другом клиенте Salesforce.com. Значения атрибута Username должны быть уникальными в пределах всех клиентов Salesforce.com. По умолчанию имя пользователя UserPrincipalName в идентификаторе Microsoft Entra становится именем пользователя в Salesforce.com. В этом случае у вас есть два варианта. Первая — найти и переименовать пользователя с совпадающим значением для атрибута Username в другом клиенте Salesforce.com, если вы также являетесь администратором для этого клиента. Другим вариантом является удаление доступа от пользователя Microsoft Entra к клиенту Salesforce.com, с которым интегрирован каталог. Мы повторим эту операцию при следующей попытке синхронизации.
- SalesforceRequiredFieldMissing. Salesforce для успешного создания или обновления пользователя требует, чтобы у пользователя присутствовали определенные атрибуты. А для этого пользователя не указан один из обязательных атрибутов. Убедитесь, что для всех пользователей, которых вы хотите добавить в Salesforce, указаны значения для атрибутов, таких как email и alias. Вы можете исключить пользователей, у которых отсутствуют эти атрибуты, с помощью фильтров области на основе атрибутов.
- Сопоставление атрибутов по умолчанию для подготовки к Salesforce включает выражение SingleAppRoleAssignments для сопоставления appRoleAssignments в Microsoft Entra ID с ProfileName в Salesforce. Убедитесь, что у пользователей нет нескольких назначений ролей приложения в Microsoft Entra ID, так как сопоставление атрибутов поддерживает назначение только одной роли.
- В Salesforce необходимо, чтобы, прежде чем применять изменения, обновление электронной почты подтвердили вручную. В результате в журналах конфигурации могут быть указаны несколько повторяющихся записей для обновления адреса электронной почты пользователя (до подтверждения такого изменения).