Руководство по настройке Salesforce для автоматической подготовки пользователей

Цель этого учебника — показать, как в Salesforce и Azure AD необходимо выполнять автоматическую подготовку и отмену подготовки учетных записей пользователей из Azure AD в Salesforce.

Предварительные требования

Сценарий, описанный в этом учебнике, предполагает, что у вас уже имеется:

  • клиент Azure Active Directory;
  • клиент Salesforce.com.

Примечание

Не изменяйте роли вручную, выполняя их импорт в Azure Active Directory.

Важно!

Если вы используете пробную учетную запись Salesforce.com, то не сможете настроить автоматическую подготовку пользователей. У пробных учетных записей нет необходимых прав доступа к API. Вы можете обойти это ограничение, используя для выполнения заданий данного руководства бесплатную учетную запись разработчика.

Если вы используете изолированную среду Salesforce, ознакомьтесь с Учебником по интеграции с изолированной средой Salesforce.

Назначение пользователей в Salesforce

В Azure Active Directory для определения того, какие пользователи должны получать доступ к выбранным приложениям, используется концепция, называемая "назначение". В контексте автоматической подготовки учетной записи будут синхронизированы только те записи и группы, которые были "назначены" приложению в Azure AD.

Перед настройкой и включением службы подготовки необходимо решить, каким пользователям или группам в Azure AD требуется доступ к приложению Salesforce. После принятия решения можно назначить этих пользователей приложению Salesforce, следуя инструкциям в статье Назначение пользователя или группы корпоративному приложению в Azure Active Directory.

Важные рекомендации по назначению пользователей в Salesforce

  • Рекомендуется назначить одного пользователя Azure AD в Salesforce для тестирования конфигурации подготовки. Дополнительные пользователи и/или группы можно назначить позднее.

  • При назначении пользователя в Salesforce необходимо выбрать допустимую роль пользователя. Роль "Доступ по умолчанию" не работает для подготовки.

    Примечание

    Это приложение импортирует профили из Salesforce в рамках процесса подготовки, который клиент может выбрать при назначении пользователей Azure AD. Обратите внимание, что профили, импортированные из Salesforce, появляются в Azure AD в качестве роли.

Включение автоматической подготовки пользователей

В этом разделе описывается подключение Azure AD к API подготовки учетной записи пользователя версии 40 в Salesforce и настройка подготовки службы для создания, обновления и отмены назначения учетных записей пользователей в Salesforce на основе назначения пользователей и групп в Azure AD.

Совет

Для Salesforce также можно включить единый вход на базе управления лицензиями. Для этого следуйте инструкциям, указанным на портале Azure. Единый вход можно настроить независимо от автоматической подготовки, хотя эти две возможности дополняют друг друга.

Настройка автоматической подготовки учетных записей пользователей

В этом разделе показано, как включить подготовку учетных записей пользователей Active Directory для Salesforce.

  1. На портале Azure перейдите в раздел Azure Active Directory > Корпоративные приложения > Все приложения.

  2. Если в Salesforce уже настроен единый вход, найдите свой экземпляр Salesforce с помощью поля поиска. В противном случае щелкните Добавить и выполните поиск Salesforce в коллекции приложений. Выберите Salesforce в результатах поиска и добавьте его в список приложений.

  3. Выберите экземпляр Salesforce, а затем перейдите на вкладку Подготовка.

  4. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

    Снимок экрана: страница "Подготовка Salesforce" со значением "Автоматически" для параметра "Режим подготовки" и другими значениями, которые можно задать.

  5. В разделе Учетные данные администратора укажите следующие параметры конфигурации.

    a. В текстовом поле Имя администратора введите имя учетной записи Salesforce с профилем системного администратора в Salesforce.com.

    b. В текстовом поле Пароль администратора введите пароль для этой учетной записи.

  6. Для получения маркера безопасности Salesforce откройте новую вкладку и выполните вход с этой учетной записью администратора Salesforce. В правом верхнем углу страницы щелкните свое имя и выберите Параметры.

    Снимок экрана: ссылка Settings (Параметры).

  7. В области навигации слева щелкните My Personal Information (Моя личная информация), чтобы развернуть соответствующий раздел, и щелкните Reset My Security Token (Сбросить мой маркер безопасности).

    Снимок экрана: пункт Reset My Security Token (Сбросить мой маркер безопасности) в разделе My Personal Information (Моя личная информация).

  8. На странице Reset Security Token (Сброс маркера безопасности) нажмите кнопку Reset Security Token (Сбросить маркер безопасности).

    Снимок экрана: страница Reset Security Token (Сброс маркера безопасности) с объяснительным сообщением и кнопкой Reset Security Token (Сбросить маркер безопасности).

  9. Проверьте входящие сообщения в почтовом ящике, связанном с этой учетной записью администратора. Найдите сообщение от Salesforce.com с новым маркером безопасности.

  10. Скопируйте маркер, перейдите к окну Azure AD и вставьте его в поле Секретный токен.

  11. URL-адрес клиента нужно вводить, если экземпляр Salesforce находится в облаке для государственных организаций Salesforce. В других случаях это необязательный параметр. Введите URL-адрес клиента в формате https://<your-instance>.my.salesforce.com, заменив <your-instance> именем экземпляра Salesforce.

  12. На портале Azure щелкните Проверить подключение, чтобы убедиться, что Azure AD может подключиться к приложению Salesforce.

  13. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок ниже.

  14. Нажмите кнопку Сохранить.

  15. В разделе сопоставления выберите Synchronize Azure Active Directory Users to Salesforce (Синхронизировать пользователей Azure Active Directory с Salesforce).

  16. В разделе Attribute Mappings (Сопоставление атрибутов) просмотрите пользовательские атрибуты, которые синхронизированы из Azure AD в Salesforce. Обратите внимание, что атрибуты, которые выбраны в качестве свойств Matching (Сопоставление), будут использоваться для сопоставления учетных записей пользователей в Salesforce для операций обновления. Нажмите кнопку "Сохранить", чтобы подтвердить все изменения.

  17. Чтобы включить службу подготовки Azure AD для Salesforce, измените значение параметра Provisioning Status (Статус подготовки) на On (Включено) в разделе "Настройки".

  18. Нажмите кнопку Сохранить.

Примечание

Подготовив пользователей в приложении Salesforce, администратору понадобится настроить для них параметры языка. Дополнительные сведения о настройке языка см. в этой статье.

После этого начнется начальная синхронизация всех пользователей и групп, назначенная в Salesforce в разделе "Пользователи и группы". Обратите внимание, что начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Если служба запущена, они выполняются примерно каждые 40 минут. В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра журналов действий, в которых зафиксированы все действия, выполняемые в приложении Salesforce службой подготовки.

Дополнительные сведения о чтении журналов подготовки Azure AD см. в руководстве по отчетам об автоматической подготовке учетных записей.

Распространенные проблемы

  • Если при авторизации доступа к Salesforce вы сталкиваетесь с проблемами, проверьте следующие условия.
    • Используемым учетным данным предоставлен доступ администратора к Salesforce.
    • Используемая версия Salesforce поддерживает Веб-доступ (например, для выпусков "Разработчик", Enterprise, "Песочница" и Salesforce Unlimited).
    • Для пользователя включен доступ к веб-API.
  • Служба подготовки Azure AD поддерживает подготовку языка, языкового стандарта и часового пояса. Эти атрибуты находятся в стандартных сопоставлениях атрибутов, но для них не указан стандартный исходный атрибут. Убедитесь, что выбран стандартный исходный атрибут, а также в том, что формат исходного атрибута соответствует формату, ожидаемому SalesForce. Например, localeSidKey для english(UnitedStates) является en_US. Ознакомьтесь с приведенными здесь рекомендациями, чтобы определить правильный формат localeSidKey. Форматы languageLocaleKey можно найти здесь. Проверив правильность формата, возможно, вы также должны будете убедиться в том, что этот язык включен для пользователей, как описано здесь.
  • SalesforceLicenseLimitExceeded. Пользователя не удалось создать в целевом приложении, поскольку для него нет доступных лицензий. Получите дополнительные лицензии для целевого приложения либо проверьте назначения пользователей и конфигурацию сопоставления атрибутов, чтобы убедиться, что им назначены правильные атрибуты.
  • SalesforceDuplicateUserName. Пользователя не удалось подготовить, поскольку значение атрибута Username, указанное на Salesforce.com, дублируется в другом клиенте Salesforce.com.  Значения атрибута Username должны быть уникальными в пределах всех клиентов Salesforce.com.  По умолчанию значение userPrincipalName пользователя в Azure Active Directory используется в качестве значения атрибута Username в Salesforce.com.Имеются две возможности.  Первая — найти и переименовать пользователя с совпадающим значением для атрибута Username в другом клиенте Salesforce.com, если вы также являетесь администратором для этого клиента.  Другой возможностью является запрет доступа от пользователя Azure Active Directory к клиенту Salesforce.com, с которым интегрирован каталог. Мы повторим эту операцию при следующей попытке синхронизации.
  • SalesforceRequiredFieldMissing. Для успешного создания или обновления пользователя Salesforce требуются определенные атрибуты. А для этого пользователя не указан один из обязательных атрибутов. Убедитесь, что для всех пользователей, которых вы хотите подготовить в Salesforce, указаны значения для атрибутов, таких как email и alias. Вы также можете определить диапазон пользователей, не использующих эти атрибуты, с помощью фильтров области на основе атрибутов.
  • Сопоставление стандартного атрибута для подготовки в Salesforce включает в себя выражение SingleAppRoleAssignments, используемое для сопоставления appRoleAssignments в Azure AD с ProfileName в Salesforce. Убедитесь, что пользователям не назначены несколько ролей приложений в Azure AD, поскольку сопоставление атрибутов поддерживает только одну роль.
  • В Salesforce необходимо, чтобы, прежде чем применять изменения, обновление электронной почты подтвердили вручную. Поэтому в журналах подготовки могут быть указаны несколько записей для обновления электронной почты пользователя (до подтверждения такого изменения).

Дополнительные ресурсы