Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Цель этой статьи — показать этапы, которые необходимо выполнить в Salesforce и Microsoft Entra ID для автоматического создания и удаления учетных записей пользователей из Microsoft Entra ID в Salesforce.
Предварительные условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие элементы:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей:
Клиент Salesforce.com.
Имя пользователя и пароль учетной записи Salesforce и маркер. См. статью о настройке автоматической подготовки учетной записи пользователя, чтобы узнать, как получить маркер. В будущем, если вы сбросите пароль учетной записи, Salesforce предоставит вам новый токен, и вам нужно будет изменить параметры провизирования Salesforce.
Настраиваемый профиль пользователя в Salesforce для пользователя интеграции. После создания настраиваемого профиля на портале Salesforce измените административные разрешения профиля, чтобы включить следующее:
Включено API.
Управление пользователями: Включение этого параметра автоматически включает следующее: назначение наборов разрешений, управление внутренними пользователями, управление IP-адресами, управление политиками доступа для входа, управление политиками доступа к паролям, управление профилями и разрешениями, управление ролями, управление общим доступом, сброс паролей пользователей и разблокировка пользователей, просмотр всех пользователей, просмотр ролей и иерархии, просмотр настройки и конфигурации.
См. также документацию по Salesforce Создание или Клонирование Профилей.
Примечание.
Назначьте разрешения непосредственно этому профилю. Не добавляйте разрешения с помощью наборов разрешений.
Внимание
Если вы используете Salesforce.com пробную учетную запись, вы не сможете настроить автоматическую подготовку пользователей. У пробных учетных записей нет необходимого доступа к API до тех пор, пока они не будут приобретены. Это ограничение можно обойти с помощью бесплатной учетной записи разработчика для работы с этой статьей.
Если вы используете среду песочницы Salesforce, ознакомьтесь с статьей об интеграции с песочницей Salesforce.
Планирование назначения пользователей Salesforce
Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматического управления учетными записями пользователей автоматически синхронизируются только пользователи и группы, назначенные приложению в Microsoft Entra ID.
Перед настройкой и включением службы подготовки необходимо определить, какие пользователи или группы в Microsoft Entra ID должны иметь доступ к вашему приложению Salesforce.
Важные рекомендации по назначению пользователей в Salesforce
Рекомендуется, чтобы один пользователь Microsoft Entra был назначен в Salesforce для проверки конфигурации подготовки. Другие пользователи и (или) группы могут назначаться позже, используя механизмы, описанные в разделе "Назначение пользователей".
При назначении пользователя в Salesforce необходимо выбрать допустимую роль пользователя. Роль "Доступ по умолчанию" не работает для предоставления. Обратите внимание, что для некоторых ролей может потребоваться лицензирование в Salesforce.
Примечание.
В рамках процесса подготовки Microsoft Entra импортирует профили из Salesforce. Профили, импортированные из Salesforce, отображаются как роли приложений в Microsoft Entra ID, что позволяет вам выбирать их при назначении пользователей. Если вы хотите назначить пользователей к специально созданному профилю, дождитесь импорта профилей из Salesforce перед тем как назначать пользователей для работы с приложением. Обратите внимание, что роли приложения не должны изменяться вручную в идентификаторе Microsoft Entra при импорте ролей.
Определение существующих пользователей в Salesforce
До интеграции с Microsoft Entra ваша учетная запись Salesforce может уже иметь одного или нескольких пользователей, созданных администратором Salesforce или другими процессами. Вы можете определить, какие пользователи уже присутствуют с помощью функции экспорта данных Salesforce. Дополнительные сведения см. в статье "Экспорт данных резервного копирования из Salesforce". При экспорте из Salesforce убедитесь, что данные User включены в экспортируемый набор данных, и выберите кодировку файла экспорта, которая поддерживает все имена пользователей в организации, например Unicode (UTF-8).
После экспорта данных из Salesforce вы можете извлечь User.csv файл и открыть его в Excel или PowerShell, чтобы просмотреть список активных пользователей в Salesforce.
import-csv .\User.csv | where {$_.IsActive -eq '1'} | sort UserName | ft UserName
Включение автоматической подготовки пользователей
В этом разделе описано, как подключить идентификатор Microsoft Entra к API подготовки учетных записей пользователей Salesforce — версии 40.
Совет
Вы также можете включить единый вход на основе SAML для Salesforce, следуя инструкциям, приведенным в портал Azure. Единый вход можно настроить независимо от автоматического обеспечения, хотя две эти функции дополняют друг друга.
Настройка автоматической подготовки учетных записей пользователей
Цель этого раздела — описать, как включить создание учетных записей пользователей Active Directory для Salesforce.
Войдите в центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.
Перейдите к Entra ID>приложениям для предприятий.
Если вы настроили Salesforce для единого входа, найдите экземпляр Salesforce с помощью поля поиска. В противном случае щелкните Добавить и выполните поиск Salesforce в коллекции приложений. Выберите Salesforce в результатах поиска и добавьте его в список приложений.
Выберите экземпляр Salesforce, а затем перейдите на вкладку Управление.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе Учетные данные администратора укажите следующие параметры конфигурации.
В текстовом поле Имя администратора введите имя учетной записи Salesforce с профилем системного администратора в Salesforce.com.
В текстовом поле Пароль администратора введите пароль для этой учетной записи.
Для получения маркера безопасности Salesforce откройте новую вкладку и выполните вход с этой учетной записью администратора Salesforce. В правом верхнем углу страницы выберите ваше имя и выберите настройки.
В области навигации слева выберите "Моя личная информация", чтобы открыть соответствующий раздел, а затем выберите Сброс моего токена безопасности.
На странице Сброс маркера безопасности выберите кнопку Сброс маркера безопасности.
Проверьте входящие сообщения в почтовом ящике, связанном с этой учетной записью администратора. Найдите сообщение от Salesforce.com с новым маркером безопасности.
Скопируйте токен, перейдите в окно Microsoft Entra и вставьте его в поле Secret Token.
URL-адрес клиента нужно вводить, если экземпляр Salesforce находится в правительственном облаке Salesforce. В противном случае это необязательно. Введите URL-адрес клиента в формате
https://<your-instance>.my.salesforce.com, заменив<your-instance>именем вашего экземпляра Salesforce.Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к приложению Salesforce.
В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках предоставления, и установите флажок внизу.
Нажмите кнопку "Сохранить".
В разделе "Сопоставления" выберите Синхронизировать пользователей Microsoft Entra с Salesforce.
В разделе "Сопоставления атрибутов" просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Salesforce. Обратите внимание, что атрибуты, которые выбраны в качестве свойств Matching (Сопоставление), будут использоваться для сопоставления учетных записей пользователей в Salesforce для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Чтобы включить службу подготовки Microsoft Entra для Salesforce, измените состояние подготовки на "Включено " в разделе "Параметры"
Нажмите кнопку "Сохранить".
Примечание.
Подготовив пользователей в приложении Salesforce, администратору понадобится настроить для них параметры языка. Дополнительные сведения о настройке языка см. в этой статье.
Это запускает начальную синхронизацию любых пользователей и/или групп, назначенных в Salesforce в разделе "Пользователи и группы". Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Если служба запущена, они выполняются примерно каждые 40 минут.
Контроль
В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра журналов действий, в которых зафиксированы все действия, выполняемые в приложении Salesforce службой подготовки.
Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".
Назначение пользователей
После завершения тестирования и успешного предоставления доступа пользователю в Salesforce необходимо убедиться, что другие пользователи, которым требуется Salesforce, назначены на роли в приложении. Сюда входят все пользователи, имеющие активные учетные записи в Salesforce, как описано в разделе "Идентификация существующих пользователей в Salesforce". Вы можете назначить этих и любых дополнительных авторизованных пользователей в приложение Salesforce в Microsoft Entra, следуя одной из приведенных здесь инструкций.
- Вы можете назначить каждого отдельного пользователя приложению в Центре администрирования Microsoft Entra.
- Вы можете назначить отдельных пользователей приложению с помощью Microsoft Graph или командлета PowerShell.
- Если у вашей организации есть лицензия на Microsoft Entra ID Governance, можно также развернуть политики управления правами доступа для автоматизации назначения доступа, чтобы добавлять или удалять назначения, когда сотрудники присоединяются к организации, покидают её или изменяют роли. Можно создать пакет управления правами для этого приложения. Вы можете создавать политики для назначения доступа пользователям, либо при их запросе, администратором, автоматически на основе правил, либо через рабочие процессы жизненного цикла.
Поскольку пользователи, привязанные к приложению, обновляются в Microsoft Entra ID, эти изменения автоматически предоставляются в Salesforce.
Распространенные проблемы
- Если у вас возникли проблемы с включением развертывания в Salesforce, убедитесь в следующем:
- Используемым учетным данным предоставлен доступ администратора к Salesforce.
- Версия Salesforce, которую вы используете, поддерживает веб-доступ (например, разработчик, enterprise, песочница и неограниченное количество выпусков Salesforce.)
- Для пользователя включен доступ к веб-API.
- Служба настройки Microsoft Entra поддерживает язык настройки, локаль и часовой пояс для пользователя. Эти атрибуты находятся в сопоставлениях атрибутов по умолчанию, но не имеют исходного атрибута по умолчанию. Убедитесь, что выбран стандартный исходный атрибут, а также в том, что формат исходного атрибута соответствует формату, ожидаемому SalesForce. Например, localeSidKey для english(UnitedStates) является en_US. Ознакомьтесь с приведенными здесь рекомендациями, чтобы определить правильный формат localeSidKey. Форматы languageLocaleKey можно найти здесь. Проверив правильность формата, возможно, вы также должны будете убедиться в том, что этот язык включен для пользователей, как описано здесь.
- SalesforceLicenseLimitExceeded: Не удалось создать пользователя в Salesforce, так как для этого пользователя нет доступных лицензий. Приобретите дополнительные лицензии для целевого приложения или проверьте назначения пользователей , чтобы убедиться, что назначены правильные пользователи.
- SalesforceDuplicateUserName: пользователь не может быть предоставлен, так как у него есть имя пользователя Salesforce.com, которое дублируется в другом клиенте Salesforce.com. Значения атрибута Username должны быть уникальными в пределах всех клиентов Salesforce.com. По умолчанию имя пользователя UserPrincipalName в идентификаторе Microsoft Entra становится именем пользователя в Salesforce.com. В этом случае у вас есть два варианта. Первая — найти и переименовать пользователя с совпадающим значением для атрибута Username в другом клиенте Salesforce.com, если вы также являетесь администратором для этого клиента. Другим вариантом является удаление доступа от пользователя Microsoft Entra к клиенту Salesforce.com, с которым интегрирован каталог. Мы повторим эту операцию при следующей попытке синхронизации.
- SalesforceRequiredFieldMissing. Salesforce для успешного создания или обновления пользователя требует, чтобы у пользователя присутствовали определенные атрибуты. А для этого пользователя не указан один из обязательных атрибутов. Убедитесь, что для всех пользователей, которых вы хотите добавить в Salesforce, указаны значения для атрибутов, таких как email и alias. Вы можете исключить пользователей, у которых отсутствуют эти атрибуты, с помощью фильтров области на основе атрибутов.
- Сопоставление атрибутов по умолчанию для подготовки к Salesforce включает выражение SingleAppRoleAssignments для сопоставления appRoleAssignments в Microsoft Entra ID с ProfileName в Salesforce. Убедитесь, что у пользователей нет нескольких назначений ролей приложения в Microsoft Entra ID, так как сопоставление атрибутов поддерживает назначение только одной роли. Если у вас есть группа пользователей, которой назначена одна роль, то член этой группы не может иметь прямого назначения к приложению Salesforce с другой ролью.
- В Salesforce необходимо, чтобы, прежде чем применять изменения, обновление электронной почты подтвердили вручную. В результате в журналах конфигурации могут быть указаны несколько повторяющихся записей для обновления адреса электронной почты пользователя (до подтверждения такого изменения).