Поделиться через


Настройка Salesforce для автоматической подготовки пользователей

Цель этой статьи — показать этапы, которые необходимо выполнить в Salesforce и Microsoft Entra ID для автоматического создания и удаления учетных записей пользователей из Microsoft Entra ID в Salesforce.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие элементы:

— учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно. — Одна из следующих ролей: администратор приложений - администратор облачных приложений - владельца приложения..

  • Клиент Salesforce.com.

  • Имя пользователя и пароль учетной записи Salesforce и маркер. В будущем, если вы сбросите пароль учетной записи, Salesforce предоставит вам новый токен, и вам нужно будет изменить параметры провизирования Salesforce.

  • Настраиваемый профиль пользователя в Salesforce. После создания настраиваемого профиля на портале Salesforce измените административные разрешения профиля, чтобы включить следующее:

    • Включено API.

    • Управление пользователями: Включение этого параметра автоматически включает следующее: назначение наборов разрешений, управление внутренними пользователями, управление IP-адресами, управление политиками доступа для входа, управление политиками доступа к паролям, управление профилями и разрешениями, управление ролями, управление общим доступом, сброс паролей пользователей и разблокировка пользователей, просмотр всех пользователей, просмотр ролей и иерархии, просмотр настройки и конфигурации.

См. также документацию по Salesforce Создание или Клонирование Профилей.

Примечание.

Предоставьте разрешения непосредственно профилю. Не добавляйте разрешения с помощью наборов разрешений.

Примечание.

Роли не должны изменяться вручную в идентификаторе Microsoft Entra при импорте ролей.

Внимание

Если вы используете Salesforce.com пробную учетную запись, вы не сможете настроить автоматическую подготовку пользователей. У пробных учетных записей нет необходимого доступа к API до тех пор, пока они не будут приобретены. Это ограничение можно обойти с помощью бесплатной учетной записи разработчика для работы с этой статьей.

Если вы используете среду песочницы Salesforce, ознакомьтесь с статьей об интеграции с песочницей Salesforce.

Назначение пользователей в Salesforce

Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматического управления учетными записями пользователей автоматически синхронизируются только пользователи и группы, назначенные приложению в Microsoft Entra ID.

Перед настройкой и включением службы подготовки необходимо определить, какие пользователи или группы в Microsoft Entra ID должны иметь доступ к вашему приложению Salesforce. Вы можете назначить этих пользователей приложению Salesforce, следуя инструкциям в разделе "Назначение пользователя или группы корпоративному приложению"

Важные рекомендации по назначению пользователей в Salesforce

  • Рекомендуется, чтобы один пользователь Microsoft Entra был назначен в Salesforce для проверки конфигурации подготовки. Дополнительных пользователей и (или) группы можно назначить позднее.

  • При назначении пользователя в Salesforce необходимо выбрать допустимую роль пользователя. Роль "Доступ по умолчанию" не работает для управления доступом

    Примечание.

    Это приложение импортирует профили из Salesforce в рамках процесса предоставления доступа, который клиент может выбрать по желанию при назначении пользователей в Microsoft Entra ID. Обратите внимание, что профили, импортированные из Salesforce, отображаются как роли в идентификаторе Microsoft Entra.

Включение автоматической подготовки пользователей

В этом разделе описано, как подключить идентификатор Microsoft Entra к API подготовки учетных записей пользователей Salesforce — версия 40

Совет

Вы также можете включить единый вход на основе SAML для Salesforce, следуя инструкциям, приведенным в портал Azure. Единый вход можно настроить независимо от автоматического обеспечения, хотя две эти функции дополняют друг друга.

Настройка автоматической подготовки учетных записей пользователей

Цель этого раздела — описать, как включить создание учетных записей пользователей Active Directory для Salesforce.

  1. Войдите в центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.

  2. Перейдите к Identity>приложениям>корпоративным приложениям.

  3. Если вы настроили Salesforce для единого входа, найдите экземпляр Salesforce с помощью поля поиска. В противном случае щелкните Добавить и выполните поиск Salesforce в коллекции приложений. Выберите Salesforce в результатах поиска и добавьте его в список приложений.

  4. Выберите экземпляр Salesforce, а затем перейдите на вкладку Управление.

  5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

    Снимок экрана: страница

  6. В разделе Учетные данные администратора укажите следующие параметры конфигурации.

    1. В текстовом поле Имя администратора введите имя учетной записи Salesforce с профилем системного администратора в Salesforce.com.

    2. В текстовом поле Пароль администратора введите пароль для этой учетной записи.

  7. Для получения маркера безопасности Salesforce откройте новую вкладку и выполните вход с этой учетной записью администратора Salesforce. В правом верхнем углу страницы выберите ваше имя и выберите настройки.

    Снимок экрана показывает выбранный элемент «Параметры».

  8. В области навигации слева выберите "Моя личная информация", чтобы открыть соответствующий раздел, а затем выберите Сброс моего токена безопасности.

    Снимок экрана: выбран пункт

  9. На странице Сброс маркера безопасности выберите кнопку Сброс маркера безопасности.

    Снимок экрана: страница Reset Security Token (Сброс маркера безопасности) с объяснительным сообщением и кнопкой Reset Security Token (Сбросить маркер безопасности).

  10. Проверьте входящие сообщения в почтовом ящике, связанном с этой учетной записью администратора. Найдите сообщение от Salesforce.com с новым маркером безопасности.

  11. Скопируйте токен, перейдите в окно Microsoft Entra и вставьте его в поле Secret Token.

  12. URL-адрес клиента нужно вводить, если экземпляр Salesforce находится в правительственном облаке Salesforce. В противном случае это необязательно. Введите URL-адрес клиента в формате https://<your-instance>.my.salesforce.com, заменив <your-instance> именем вашего экземпляра Salesforce.

  13. Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к приложению Salesforce.

  14. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках предоставления, и установите флажок внизу.

  15. Выберите Сохранить.

  16. В разделе "Сопоставления" выберите Синхронизировать пользователей Microsoft Entra с Salesforce.

  17. В разделе "Сопоставления атрибутов" просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Salesforce. Обратите внимание, что атрибуты, которые выбраны в качестве свойств Matching (Сопоставление), будут использоваться для сопоставления учетных записей пользователей в Salesforce для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

  18. Чтобы включить службу подготовки Microsoft Entra для Salesforce, измените состояние подготовки на "Включено " в разделе "Параметры"

  19. Выберите Сохранить.

Примечание.

Подготовив пользователей в приложении Salesforce, администратору понадобится настроить для них параметры языка. Дополнительные сведения о настройке языка см. в этой статье.

Это запускает начальную синхронизацию любых пользователей и/или групп, назначенных в Salesforce в разделе "Пользователи и группы". Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Если служба запущена, они выполняются примерно каждые 40 минут. В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра журналов действий, в которых зафиксированы все действия, выполняемые в приложении Salesforce службой подготовки.

Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".

Распространенные проблемы

  • Если у вас возникли проблемы с авторизацией доступа к Salesforce, убедитесь в следующем:
    • Используемым учетным данным предоставлен доступ администратора к Salesforce.
    • Версия Salesforce, которую вы используете, поддерживает веб-доступ (например, разработчик, enterprise, песочница и неограниченное количество выпусков Salesforce.)
    • Для пользователя включен доступ к веб-API.
  • Служба настройки Microsoft Entra поддерживает язык настройки, локаль и часовой пояс для пользователя. Эти атрибуты находятся в сопоставлениях атрибутов по умолчанию, но не имеют исходного атрибута по умолчанию. Убедитесь, что выбран стандартный исходный атрибут, а также в том, что формат исходного атрибута соответствует формату, ожидаемому SalesForce. Например, localeSidKey для english(UnitedStates) является en_US. Ознакомьтесь с приведенными здесь рекомендациями, чтобы определить правильный формат localeSidKey. Форматы languageLocaleKey можно найти здесь. Проверив правильность формата, возможно, вы также должны будете убедиться в том, что этот язык включен для пользователей, как описано здесь.
  • SalesforceLicenseLimitExceeded. Пользователя не удалось создать в целевом приложении, поскольку для него нет доступных лицензий. Получите дополнительные лицензии для целевого приложения либо проверьте назначения пользователей и конфигурацию сопоставления атрибутов, чтобы убедиться, что им назначены правильные атрибуты.
  • SalesforceDuplicateUserName: пользователь не может быть предоставлен, так как у него есть имя пользователя Salesforce.com, которое дублируется в другом клиенте Salesforce.com.  Значения атрибута Username должны быть уникальными в пределах всех клиентов Salesforce.com.  По умолчанию имя пользователя UserPrincipalName в идентификаторе Microsoft Entra становится именем пользователя в Salesforce.com.  В этом случае у вас есть два варианта.  Первая — найти и переименовать пользователя с совпадающим значением для атрибута Username в другом клиенте Salesforce.com, если вы также являетесь администратором для этого клиента.  Другим вариантом является удаление доступа от пользователя Microsoft Entra к клиенту Salesforce.com, с которым интегрирован каталог. Мы повторим эту операцию при следующей попытке синхронизации.
  • SalesforceRequiredFieldMissing. Salesforce для успешного создания или обновления пользователя требует, чтобы у пользователя присутствовали определенные атрибуты. А для этого пользователя не указан один из обязательных атрибутов. Убедитесь, что для всех пользователей, которых вы хотите добавить в Salesforce, указаны значения для атрибутов, таких как email и alias. Вы можете исключить пользователей, у которых отсутствуют эти атрибуты, с помощью фильтров области на основе атрибутов.
  • Сопоставление атрибутов по умолчанию для подготовки к Salesforce включает выражение SingleAppRoleAssignments для сопоставления appRoleAssignments в Microsoft Entra ID с ProfileName в Salesforce. Убедитесь, что у пользователей нет нескольких назначений ролей приложения в Microsoft Entra ID, так как сопоставление атрибутов поддерживает назначение только одной роли.
  • В Salesforce необходимо, чтобы, прежде чем применять изменения, обновление электронной почты подтвердили вручную. В результате в журналах конфигурации могут быть указаны несколько повторяющихся записей для обновления адреса электронной почты пользователя (до подтверждения такого изменения).

Дополнительные ресурсы