Esercitazione: Configurare Salesforce per il provisioning utenti automaticoTutorial: Configure Salesforce for automatic user provisioning

Questa esercitazione descrive le procedure da eseguire in Salesforce e Azure AD per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Azure AD a Salesforce.The objective of this tutorial is to show the steps required to perform in Salesforce and Azure AD to automatically provision and de-provision user accounts from Azure AD to Salesforce.

PrerequisitiPrerequisites

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:The scenario outlined in this tutorial assumes that you already have the following items:

  • Un tenant di Azure Active DirectoryAn Azure Active directory tenant
  • Tenant di Salesforce.comA Salesforce.com tenant

Importante

Se si usa un account di valutazione di Salesforce.com, non sarà possibile configurare il provisioning automatizzato degli utenti.If you are using a Salesforce.com trial account, then you will be unable to configure automated user provisioning. Gli account di valutazione non hanno l'accesso API necessario, che viene abilitato solo dopo l'acquisto.Trial accounts do not have the necessary API access enabled until they are purchased. Per aggirare questa limitazione, è possibile usare un account gratuito per sviluppatori per completare l'esercitazione.You can get around this limitation by using a free developer account to complete this tutorial.

Se si usa un ambiente Salesforce Sandbox, vedere l' Esercitazione: Integrazione di Azure Active Directory con Salesforce Sandbox.If you are using a Salesforce Sandbox environment, please see the Salesforce Sandbox integration tutorial.

Assegnazione di utenti a SalesforceAssigning users to Salesforce

Per determinare gli utenti che dovranno ricevere l'accesso alle app selezionate, Azure Active Directory usa il concetto delle "assegnazioni".Azure Active Directory uses a concept called "assignments" to determine which users should receive access to selected apps. Nel contesto del provisioning automatico degli account utente vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Azure AD.In the context of automatic user account provisioning, only the users and groups that have been "assigned" to an application in Azure AD is synchronized.

Prima di configurare e abilitare il servizio di provisioning, è necessario stabilire quali utenti o gruppi in Azure AD devono accedere all'app Salesforce.Before configuring and enabling the provisioning service, you need to decide which users or groups in Azure AD need access to your Salesforce app. Dopo aver deciso, è possibile assegnare questi utenti all'app Salesforce seguendo le istruzioni riportate in Assegnare un utente o un gruppo a un'app aziendale.After you've made this decision, you can assign these users to your Salesforce app by following the instructions in Assign a user or group to an enterprise app

Suggerimenti importanti per l'assegnazione di utenti a SalesforceImportant tips for assigning users to Salesforce

  • È consigliabile assegnare un singolo utente di Azure AD a Salesforce per testare la configurazione del provisioning.It is recommended that a single Azure AD user is assigned to Salesforce to test the provisioning configuration. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.Additional users and/or groups may be assigned later.

  • Quando si assegna un utente a Salesforce, è necessario selezionare un ruolo utente valido.When assigning a user to Salesforce, you must select a valid user role. Il ruolo "Default Access" (Accesso predefinito) non è applicabile per il provisioningThe "Default Access" role does not work for provisioning

    Nota

    Come parte del processo di provisioning, quest'app importa da Salesforce profili che il cliente può decidere di selezionare durante l'assegnazione di utenti in Azure AD.This app imports profiles from Salesforce as part of the provisioning process, which the customer may want to select when assigning users in Azure AD. Si noti che i profili importati da Salesforce vengono visualizzati come ruoli in Azure AD.Please note that the profiles that get imported from Salesforce appear as Roles in Azure AD.

Abilitare il provisioning automatizzato degli utentiEnable automated user provisioning

Questa sezione illustra la connessione tra il Azure AD e l' API di provisioning dell'account utente di Salesforcee la configurazione del servizio di provisioning per la creazione, l'aggiornamento e la disabilitazione degli account utente assegnati in Salesforce in base all'assegnazione di utenti e gruppi in Azure ad.This section guides you through connecting your Azure AD to Salesforce's user account provisioning API - v40, and configuring the provisioning service to create, update, and disable assigned user accounts in Salesforce based on user and group assignment in Azure AD.

Suggerimento

Si può anche scegliere di abilitare l'accesso Single Sign-On basato su SAML per Salesforce, seguendo le istruzioni disponibili nel portale di Azure.You may also choose to enabled SAML-based Single Sign-On for Salesforce, following the instructions provided in Azure portal. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.Single sign-on can be configured independently of automatic provisioning, though these two features compliment each other.

Configurare il provisioning automatico degli account utenteConfigure automatic user account provisioning

In questa sezione viene descritto come abilitare il provisioning utenti degli account utente di Active Directory in Salesforce.The objective of this section is to outline how to enable user provisioning of Active Directory user accounts to Salesforce.

  1. Nel portale di Azure passare alla sezione Azure Active Directory > App aziendali > Tutte le applicazioni.In the Azure portal, browse to the Azure Active Directory > Enterprise Apps > All applications section.

  2. Se è già stato configurato Salesforce per l'accesso Single Sign-On, cercare l'istanza di Salesforce usando il campo di ricerca.If you have already configured Salesforce for single sign-on, search for your instance of Salesforce using the search field. In caso contrario, selezionare Aggiungi e cercare Salesforce nella raccolta di applicazioni.Otherwise, select Add and search for Salesforce in the application gallery. Selezionare Salesforce nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.Select Salesforce from the search results, and add it to your list of applications.

  3. Selezionare l'istanza di Salesforce e quindi la scheda Provisioning.Select your instance of Salesforce, then select the Provisioning tab.

  4. Impostare Modalità di provisioning su Automatico.Set the Provisioning Mode to Automatic.

    provisioning

  5. Nella sezione Credenziali di amministratore specificare le impostazioni di configurazione seguenti:Under the Admin Credentials section, provide the following configuration settings:

    a.a. Nella casella di testo Nome utente amministratore digitare un nome account di Salesforce con il profilo Amministratore di sistema assegnato in Salesforce.com.In the Admin Username textbox, type a Salesforce account name that has the System Administrator profile in Salesforce.com assigned.

    b.b. Nella casella di testo Password amministratore digitare la password per questo account.In the Admin Password textbox, type the password for this account.

  6. Per ottenere il token di sicurezza di Salesforce, aprire una nuova scheda e accedere allo stesso account di amministratore di Salesforce.To get your Salesforce security token, open a new tab and sign into the same Salesforce admin account. Nell'angolo superiore destro della pagina fare clic sul proprio nome e quindi su Impostazioni.On the top right corner of the page, click your name, and then click Settings.

    Abilita provisioning utenti automaticoEnable automatic user provisioning

  7. Nel pannello di navigazione sinistro fare clic su My Personal Information (Informazioni personali) per espandere la sezione corrispondente e quindi fare clic su Reset My Security Token (Reimposta token di sicurezza personale).On the left navigation pane, click My Personal Information to expand the related section, and then click Reset My Security Token.

    Abilita provisioning utenti automaticoEnable automatic user provisioning

  8. Nella pagina Reset Security Token (Reimposta token di sicurezza) fare clic sul pulsante Reset Security Token (Reimposta token di sicurezza).On the Reset Security Token page, click Reset Security Token button.

    Abilita provisioning utenti automaticoEnable automatic user provisioning

  9. Controllare la casella di posta elettronica associata a questo account di amministratore.Check the email inbox associated with this admin account. Cercare un messaggio di posta elettronica da Salesforce.com contenente il nuovo token di sicurezza.Look for an email from Salesforce.com that contains the new security token.

  10. Copiare il token, passare alla finestra di Azure AD e incollarlo nel campo Token segreto.Copy the token, go to your Azure AD window, and paste it into the Secret Token field.

  11. L'URL del tenant deve essere immesso se l'istanza di Salesforce si trova in Salesforce Government Cloud.The Tenant URL should be entered if the instance of Salesforce is on the Salesforce Government Cloud. In caso contrario, è facoltativo.Otherwise, it is optional. Immettere l'URL del tenant usando il formato "https://<your-instance>.my.salesforce.com" sostituendo <your-instance> con il nome dell'istanza di Salesforce.Enter the tenant URL using the format of "https://<your-instance>.my.salesforce.com," replacing <your-instance> with the name of your Salesforce instance.

  12. Nel portale di Azure fare clic su Test connessione per verificare che Azure AD possa connettersi all'app Salesforce.In the Azure portal, click Test Connection to ensure Azure AD can connect to your Salesforce app.

  13. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo qui di seguito.In the Notification Email field, enter the email address of a person or group who should receive provisioning error notifications, and check the checkbox below.

  14. Fare clic su Salva.Click Save.

  15. Nella sezione Mapping selezionare Synchronize Azure Active Directory Users to Salesforce (Sincronizza utenti di Azure Active Directory in Salesforce).Under the Mappings section, select Synchronize Azure Active Directory Users to Salesforce.

  16. Nella sezione Mapping degli attributi esaminare gli attributi utente che vengono sincronizzati da Azure AD a Salesforce.In the Attribute Mappings section, review the user attributes that are synchronized from Azure AD to Salesforce. Notar e che gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Salesforce per le operazioni di aggiornamento.Note that the attributes selected as Matching properties are used to match the user accounts in Salesforce for update operations. Selezionare il pulsante Salva per eseguire il commit delle modifiche.Select the Save button to commit any changes.

  17. Per abilitare il servizio di provisioning di Azure AD per Salesforce, impostare Stato del provisioning su Attivato nella sezione ImpostazioniTo enable the Azure AD provisioning service for Salesforce, change the Provisioning Status to On in the Settings section

  18. Fare clic su Salva.Click Save.

Nota

Una volta eseguito il provisioning degli utenti nell'applicazione Salesforce, è necessario che l'amministratore configuri le impostazioni specifiche del linguaggio.Once the users are provisioned in the Salesforce application, administrator need to configure the language specific settings for them. Per ulteriori informazioni sulla configurazione della lingua, vedere questo articolo.Please see this article for more details on language configuration.

Viene avviata la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a Salesforce nella sezione Utenti e gruppi.This starts the initial synchronization of any users and/or groups assigned to Salesforce in the Users and Groups section. Notare che la sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 40 minuti per tutto il tempo che il servizio è in esecuzione.Note that the initial sync takes longer to perform than subsequent syncs, which occur approximately every 40 minutes as long as the service is running. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai log delle attività di provisioning, che descrivono tutte le azioni eseguite dal servizio di provisioning sull'app Salesforce.You can use the Synchronization Details section to monitor progress and follow links to provisioning activity logs, which describe all actions performed by the provisioning service on your Salesforce app.

Per altre informazioni sulla lettura dei log di provisioning di Azure AD, vedere l'esercitazione relativa alla creazione di report sul provisioning automatico degli account utente.For more information on how to read the Azure AD provisioning logs, see Reporting on automatic user account provisioning.

Problemi comuniCommon issues

  • Se si verificano problemi nell'autorizzazione dell'accesso a Salesforce, verificare quanto segue:If you are having issues authorizing access to Salesforce ensure the following:
    • Le credenziali utilizzate hanno accesso amministrativo a Salesforce.The credentials used have admin access to Salesforce.
    • La versione di Salesforce utilizzata supporta Accesso Web, ad esempio Developer, Enterprise, sandbox e Unlimited Edition di Salesforce.The version of Salesforce that you are using supports Web Access (e.g. Developer, Enterprise, Sandbox, and Unlimited editions of Salesforce.)
    • L'accesso all'API Web è abilitato per l'utente.Web API access is enabled for the user.
  • Il servizio di provisioning Azure AD supporta il linguaggio di provisioning, le impostazioni locali e il fuso orario per un utente.The Azure AD provisioning service supports provisioning language, locale, and timeZone for a user. Questi attributi si trovano nei mapping degli attributi predefiniti, ma non dispongono di un attributo di origine predefinito.These attributes are in the default attribute mappings but do not have a default source attribute. Assicurarsi di selezionare l'attributo di origine predefinito e che l'attributo di origine sia nel formato previsto da SalesForce.Ensure that you select the default source attribute and that the source attribute is in the format expected by SalesForce. Ad esempio, localeSidKey per la lingua inglese (Stati Uniti) è en_US.For example, localeSidKey for english(UnitedStates) is en_US. Esaminare le linee guida fornite qui per determinare il formato localeSidKey appropriato.Review the guidance provided here to determine the proper localeSidKey format. I formati languageLocaleKey sono disponibili qui.The languageLocaleKey formats can be found here. Oltre a garantire la correttezza del formato, potrebbe essere necessario assicurarsi che la lingua sia abilitata per gli utenti, come descritto qui.In addition to ensuring that the format is correct, you may need to ensure that the language is enabled for your users as described here.
  • SalesforceLicenseLimitExceeded: Impossibile creare l'utente nell'applicazione di destinazione perché non sono disponibili licenze per questo utente.SalesforceLicenseLimitExceeded: The user could not be created in the target application because there are no available licenses for this user. Ottenere licenze aggiuntive per l'applicazione di destinazione o esaminare le assegnazioni degli utenti e la configurazione del mapping degli attributi per assicurarsi che gli utenti corretti vengano assegnati con gli attributi corretti.Either procure additional licenses for the target application, or review your user assignments and attribute mapping configuration to ensure that the correct users are assigned with the correct attributes.
  • SalesforceDuplicateUserName: Non è possibile eseguire il provisioning dell'utente perché contiene un Salesforce.com ' username ' duplicato in un altro tenant di Salesforce.com.SalesforceDuplicateUserName: The user cannot be provisioned because it has a Salesforce.com 'Username' that is duplicated in another Salesforce.com tenant.  In Salesforce.com i valori per l'attributo ' username ' devono essere univoci in tutti i tenant di Salesforce.com.  In Salesforce.com, values for the 'Username' attribute must be unique across all Salesforce.com tenants.  Per impostazione predefinita, il userPrincipalName di un utente in Azure Active Directory diventa il nome utente in Salesforce.com.  By default, a user’s userPrincipalName in Azure Active Directory becomes their 'Username' in Salesforce.com.  Sono disponibili due opzioni.  You have two options.  Un'opzione consiste nell'individuare e rinominare l'utente con ' username ' duplicato nell'altro tenant Salesforce.com, se si amministra anche tale tenant.  One option is to find and rename the user with the duplicate 'Username' in the other Salesforce.com tenant, if you administer that other tenant as well.  L'altra opzione consiste nel rimuovere l'accesso dall'utente Azure Active Directory al tenant Salesforce.com con cui è integrata la directory.  The other option is to remove access from the Azure Active Directory user to the Salesforce.com tenant with which your directory is integrated. Questa operazione verrà ritentata al successivo tentativo di sincronizzazione.We will retry this operation on the next synchronization attempt.
  • SalesforceRequiredFieldMissing: Salesforce richiede che determinati attributi siano presenti nell'utente per la creazione o l'aggiornamento dell'utente.SalesforceRequiredFieldMissing: Salesforce requires certain attributes to be present on the user to succesfuly create or update the user. Nell'utente manca uno degli attributi obbligatori.This user is missing one of the required attributes. Assicurarsi che gli attributi, ad esempio posta elettronica e alias, siano popolati in tutti gli utenti di cui si vuole eseguire il provisioning in Salesforce.Ensure that attributes such as email and alias are populated on all users that you would like to be provisioned into Salesforce. È possibile definire l'ambito degli utenti che non dispongono di questi attributi usando filtri di ambito basati su attributi.You can scope users that don't have these attributes out using attribute based scoping filters.
  • Il mapping predefinito degli attributi per il provisioning in Salesforce include l'espressione SingleAppRoleAssignments per eseguire il mapping di appRoleAssignments in Azure AD a ProfileName in Salesforce.The default attribute mapping for provisioning to Salesforce includes the SingleAppRoleAssignments expression to map appRoleAssignments in Azure AD to ProfileName in Salesforce. Assicurarsi che gli utenti non dispongano di più assegnazioni di ruolo app in Azure AD perché il mapping degli attributi supporta solo il provisioning di un ruolo.Ensure that the users do not have multiple app role assignments in Azure AD as the attribute mapping only supports provisioning one role.
  • Salesforce richiede che gli aggiornamenti della posta elettronica vengano approvati manualmente prima di essere modificati.Salesforce requires that email updates be approved manually before being changed. Di conseguenza, è possibile che vengano visualizzate più voci nei log di provisioning per aggiornare l'indirizzo di posta elettronica dell'utente (fino a quando la modifica della posta elettronica non è stata approvata).As a result, you may see multiple entries in the provisioning logs to update the user's email (until the email change has been approved).

Risorse aggiuntiveAdditional resources