Настройка Salesforce для автоматической подготовки пользователей с помощью Microsoft Entra ID

Цель этой статьи — показать шаги, которые необходимо выполнить в Salesforce и Microsoft Entra ID для автоматического предоставления и аннулирования учетных записей пользователей из Microsoft Entra ID в Salesforce.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие элементы:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • владелец приложения.

• Клиент Salesforce.com.

• Имя пользователя и пароль учетной записи Salesforce и маркер. См. статью о настройке автоматической подготовки учетной записи пользователя, чтобы узнать, как получить маркер. В будущем, если вы сбросите пароль учетной записи, Salesforce предоставит вам новый токен, и вам нужно будет изменить параметры провизирования Salesforce.

• Настраиваемый профиль пользователя в Salesforce для пользователя интеграции. После создания настраиваемого профиля на портале Salesforce измените административные разрешения профиля, чтобы включить следующее:

  • Включено API.

  • Управление пользователями: Включение этого параметра автоматически включает следующее: назначение наборов разрешений, управление внутренними пользователями, управление IP-адресами, управление политиками доступа для входа, управление политиками доступа к паролям, управление профилями и разрешениями, управление ролями, управление общим доступом, сброс паролей пользователей и разблокировка пользователей, просмотр всех пользователей, просмотр ролей и иерархии, просмотр настройки и конфигурации.

  См. также документацию по Salesforce Создание или Клонирование Профилей.

  Примечание.

  Назначьте разрешения непосредственно этому профилю. Не добавляйте разрешения с помощью наборов разрешений.

Если вы используете среду песочницы Salesforce, ознакомьтесь с статьей об интеграции с песочницей Salesforce.

Планирование назначения пользователей Salesforce

Microsoft Entra ID использует концепцию с именем "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматической подготовки учетных записей пользователей в Microsoft Entra ID синхронизируются только пользователи и группы, привязанные к приложению.

Перед настройкой и включением сервиса автоматизации необходимо решить, какие пользователи или группы в Microsoft Entra ID должны иметь доступ к приложению Salesforce.

Важные рекомендации по назначению пользователей в Salesforce

• Рекомендуется назначить одного пользователя Microsoft Entra в Salesforce для проверки конфигурации развертывания. Другие пользователи и (или) группы можно назначить позже, используя механизмы, описанные в разделе "Назначение пользователей".

• При назначении пользователя в Salesforce необходимо выбрать допустимую роль пользователя. Роль "Доступ по умолчанию" не работает для предоставления. Обратите внимание, что для некоторых ролей может потребоваться лицензирование в Salesforce.

  Примечание.

  В рамках процесса подготовки Microsoft Entra импортирует профили из Salesforce. Профили, импортированные из Salesforce, отображаются как роли приложений в Microsoft Entra ID, поэтому вы можете выбрать их при назначении пользователей в Microsoft Entra ID. Если вы хотите назначить пользователей к специально созданному профилю, дождитесь импорта профилей из Salesforce перед тем как назначать пользователей для работы с приложением. Обратите внимание, что роли приложения не должны изменяться вручную в Microsoft Entra ID при импорте ролей.

Определение существующих пользователей в Salesforce

До интеграции с Microsoft Entra ваша учетная запись Salesforce может уже иметь одного или нескольких пользователей, созданных администратором Salesforce или другими процессами. У вас есть два способа определить, какие пользователи уже присутствуют в Salesforce.

Вариант 1 Используя функцию обнаружения учетных записей, вы можете создать отчет всех пользователей в Salesforce, определить, какие пользователи имеют соответствующие учетные записи в Entra и какие пользователи являются локальными для Salesforce одним щелчком мыши. Дополнительные сведения о функции обнаружения учетных записей см. здесь.

Вариант 2 Вы можете определить, какие пользователи уже присутствуют с помощью функции экспорта данных Salesforce. Дополнительные сведения см. в статье "Экспорт данных резервного копирования из Salesforce". При экспорте из Salesforce убедитесь, что данные User включены в экспортируемый набор данных, и выберите кодировку файла экспорта, которая позволяет использовать все имена пользователей в организации, например Unicode (UTF-8).

После экспорта данных из Salesforce вы можете извлечь файл User.csv и открыть его в Excel или в PowerShell, чтобы просмотреть список активных пользователей в Salesforce.

import-csv .\User.csv | where {$_.IsActive -eq '1'}  | sort UserName | ft UserName

Включение автоматической подготовки пользователей

В этом разделе описано, как подключить Microsoft Entra ID к API подготовки учетных записей пользователей Salesforce версии 40.

Настройка автоматической подготовки учетных записей пользователей

Цель этого раздела — указать, как включить предоставление учетных записей пользователей Active Directory в Salesforce.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.

2. Перейдите на Entra ID>Enterprise apps.

3. Если вы настроили Salesforce для единого входа, найдите экземпляр Salesforce с помощью поля поиска. В противном случае щелкните Добавить и выполните поиск Salesforce в коллекции приложений. Выберите Salesforce в результатах поиска и добавьте его в список приложений.

4. Выберите экземпляр Salesforce, а затем перейдите на вкладку Управление.

5. Выберите + Новая конфигурация.

   

6. В разделе Учетные данные администратора укажите следующие параметры конфигурации.

   1. В текстовом поле Имя администратора введите имя учетной записи Salesforce с профилем системного администратора в Salesforce.com.

   2. В текстовом поле Пароль администратора введите пароль для этой учетной записи.

7. Для получения маркера безопасности Salesforce откройте новую вкладку и выполните вход с этой учетной записью администратора Salesforce. В правом верхнем углу страницы выберите ваше имя и выберите настройки.

   

8. В области навигации слева выберите "Моя личная информация", чтобы открыть соответствующий раздел, а затем выберите Сброс моего токена безопасности.

   

9. На странице Сброс маркера безопасности выберите кнопку Сброс маркера безопасности.

   

10. Проверьте входящие сообщения в почтовом ящике, связанном с этой учетной записью администратора. Найдите сообщение от Salesforce.com с новым маркером безопасности.

11. Скопируйте маркер, перейдите в окно Microsoft Entra и вставьте его в поле Secret Token.

12. URL-адрес клиента нужно вводить, если экземпляр Salesforce находится в правительственном облаке Salesforce. В противном случае это необязательно. Введите URL-адрес клиента в формате https://<your-instance>.my.salesforce.com, заменив <your-instance> именем вашего экземпляра Salesforce.

13. Выберите Test Connection, чтобы убедиться, что Microsoft Entra ID может подключаться к приложению Salesforce.

14. Нажмите кнопку "Создать", чтобы создать конфигурацию.

15. Выберите "Свойства " на странице обзора .

16. Щелкните значок "Изменить ", чтобы изменить свойства. Включите уведомления и предоставьте сообщение электронной почты для получения сообщений карантина. Включение предотвращения случайных удалений. Выберите Применить, чтобы сохранить изменения.

    

17. Выберите сопоставление атрибутов на левой панели и выберите пользователей.

18. Выберите "Обнаружение удостоверений " в обзоре подготовки для обнаружения учетных записей в Salesforce. Этот параметр будет отображаться только для организаций с лицензиями Entra ID Governance.

19. Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID в Salesforce. Обратите внимание, что атрибуты, которые выбраны в качестве свойств Matching (Сопоставление), будут использоваться для сопоставления учетных записей пользователей в Salesforce для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

1. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтре области.

2. Используйте подготовку по запросу для проверки синхронизации с небольшим количеством пользователей перед развертыванием в организации.

3. Когда вы будете готовы к подготовке, выберите "Начать подготовку " на странице обзора .

Контроль

В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра журналов действий, в которых зафиксированы все действия, выполняемые в приложении Salesforce службой подготовки.

Дополнительные сведения о том, как читать журналы подготовки предоставления Microsoft Entra, см. статью Отчеты об автоматической подготовке учетных записей пользователей.

Назначение пользователей

После завершения тестирования и успешного предоставления доступа пользователю в Salesforce необходимо убедиться, что другие пользователи, которым требуется Salesforce, назначены на роли в приложении. Сюда входят все пользователи, имеющие активные учетные записи в Salesforce, как описано в разделе "Идентификация существующих пользователей в Salesforce". Вы можете назначить этих и любых дополнительных авторизованных пользователей для приложения Salesforce в Microsoft Entra, следуя одной из инструкций, приведенных ниже.

• Вы можете назначить каждого отдельного пользователя приложению в Центр администрирования Microsoft Entra,
• Вы можете назначить пользователей на приложение с помощью Microsoft Graph или командлета PowerShell New-MgServicePrincipalAppRoleAssignedTo.
• Если у вашей организации есть лицензия на Управление Microsoft Entra ID, вы также можете развернуть политики управления правами для автоматизации назначения доступа, добавлять или удалять назначения при присоединении к организации, или уходе, или изменении ролей. Можно создать пакет управления правами для этого приложения. Вы можете создавать политики для назначения доступа пользователям, либо при их запросе, администратором, автоматически на основе правил, либо через рабочие процессы жизненного цикла.

Так как пользователи, назначенные для приложения, обновляются в Microsoft Entra ID, эти изменения автоматически передаются в Salesforce.

Распространенные проблемы

• Если у вас возникли проблемы с включением развертывания в Salesforce, убедитесь в следующем:
  • Используемым учетным данным предоставлен доступ администратора к Salesforce.
  • Версия Salesforce, которую вы используете, поддерживает веб-доступ (например, разработчик, enterprise, песочница и неограниченное количество выпусков Salesforce.)
  • Для пользователя включен доступ к веб-API.
• Служба подготовки Microsoft Entra поддерживает язык для подготовки, региональные настройки и часовой пояс пользователя. Эти атрибуты находятся в сопоставлениях атрибутов по умолчанию, но не имеют исходного атрибута по умолчанию. Убедитесь, что выбран стандартный исходный атрибут, а также в том, что формат исходного атрибута соответствует формату, ожидаемому SalesForce. Например, localeSidKey для english(UnitedStates) является en_US. Ознакомьтесь с приведенными здесь рекомендациями, чтобы определить правильный формат localeSidKey. Форматы languageLocaleKey можно найти здесь. Проверив правильность формата, возможно, вы также должны будете убедиться в том, что этот язык включен для пользователей, как описано здесь.
• SalesforceLicenseLimitExceeded: Не удалось создать пользователя в Salesforce, так как для этого пользователя нет доступных лицензий. Приобретите дополнительные лицензии для целевого приложения или проверьте назначения пользователей , чтобы убедиться, что назначены правильные пользователи.
• SalesforceDuplicateUserName: пользователь не может быть предоставлен, так как у него есть имя пользователя Salesforce.com, которое дублируется в другом клиенте Salesforce.com.  Значения атрибута Username должны быть уникальными в пределах всех клиентов Salesforce.com.  По умолчанию userPrincipalName пользователя в Microsoft Entra ID становится именем пользователя в Salesforce.com.  В этом случае у вас есть два варианта.  Первая — найти и переименовать пользователя с совпадающим значением для атрибута Username в другом клиенте Salesforce.com, если вы также являетесь администратором для этого клиента.  Другим вариантом является удаление доступа от пользователя Microsoft Entra к клиенту Salesforce.com, с которым интегрирован каталог. Мы повторим эту операцию при следующей попытке синхронизации.
• SalesforceRequiredFieldMissing. Salesforce для успешного создания или обновления пользователя требует, чтобы у пользователя присутствовали определенные атрибуты. А для этого пользователя не указан один из обязательных атрибутов. Убедитесь, что для всех пользователей, которых вы хотите добавить в Salesforce, указаны значения для атрибутов, таких как email и alias. Вы можете исключить пользователей, у которых отсутствуют эти атрибуты, с помощью фильтров области на основе атрибутов.
• Сопоставление атрибутов по умолчанию для развертывания в Salesforce включает выражение SingleAppRoleAssignments для сопоставления appRoleAssignments в Microsoft Entra ID с ProfileName в Salesforce. Убедитесь, что у пользователей нет нескольких назначений ролей в приложении в Microsoft Entra ID, так как сопоставление атрибутов поддерживает предоставление только одной роли. Если у вас есть группа пользователей, которой назначена одна роль, то член этой группы не может иметь прямого назначения к приложению Salesforce с другой ролью.
• В Salesforce необходимо, чтобы, прежде чем применять изменения, обновление электронной почты подтвердили вручную. В результате в журналах конфигурации могут быть указаны несколько повторяющихся записей для обновления адреса электронной почты пользователя (до подтверждения такого изменения).

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единая аутентификация с использованием Microsoft Entra ID?
• Настройка единого входа