教程:为 Salesforce 配置自动用户预配
本教程旨在介绍为了从 Microsoft Entra ID 自动将用户帐户预配到 Salesforce 以及取消其预配而需要在 Salesforce 和 Microsoft Entra ID 中执行的步骤。
先决条件
在本教程中概述的方案假定您已具有以下各项:
- 一个 Microsoft Entra 租户
- Salesforce.com 租户
注意
导入角色时,不应在 Microsoft Entra ID 中手动编辑角色。
重要
如果使用的是 Salesforce.com 试用帐户,则无法配置自动化的用户预配。 试用帐户没有所需的 API 访问权限,而只有在付费之后才拥有这种权限。 可使用免费的开发人员帐户绕过此项限制,以完成本教程。
如果使用 Salesforce 沙盒环境,请参阅 Salesforce 沙箱集成教程。
将用户分配到 Salesforce
Microsoft Entra ID 使用名为“分配”的概念来确定哪些用户应收到对所选应用的访问权限。 在自动用户帐户预配的上下文中,只同步“分配”到 Microsoft Entra ID 中的应用程序的用户和组。
在配置和启用预配服务之前,需要确定 Microsoft Entra ID 中的哪些用户或组需要访问 Salesforce 应用。 可按照此处的说明将这些用户分配到 Salesforce 应用:向企业应用分配用户或组
将用户分配到 Salesforce 的重要提示
建议将单个 Microsoft Entra 用户分配到 Salesforce 以测试预配配置。 稍后可分配更多用户和/或组。
将用户分配到 Salesforce 时,必须选择有效用户角色。 “默认访问权限”角色不可用于预配
注意
此应用会在预配过程中从 Salesforce 导入配置文件,客户在 Microsoft Entra ID 中分配用户时可能会想要选择该配置文件。 请注意,从 Salesforce 导入的配置文件在 Microsoft Entra ID 中显示为角色。
启用自动化用户预配
本部分将指导你完成将 Microsoft Entra ID 连接到 Salesforce 的用户帐户预配 API - v40。
提示
还可选择按照 Azure 门户中提供的说明为 Salesforce 启用基于 SAML 的单一登录。 可以独立于自动预配配置单一登录,尽管这两个功能互相补充。
配置用户帐户自动预配
本部分的目的是概述如何对 Salesforce 启用 Active Directory 用户帐户的用户预配。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”。
如果已为 Salesforce 配置单一登录,请使用搜索字段搜索 Salesforce 实例。 否则,请选择“添加”并在应用程序库中搜索“Salesforce”。 从搜索结果中选择 Salesforce,并将其添加到应用程序列表。
选择 Salesforce 实例,然后选择“预配”选项卡。
将“预配模式”设置为“自动”。
在“管理员凭据”部分中,提供以下配置设置:
在“管理员用户名”文本框中,键入在 Salesforce.com 中已分配“系统管理员”配置文件的 Salesforce 帐户名称。
在“管理员密码”文本框中,键入此帐户的密码。
若要获取 Salesforce 安全令牌,请打开新选项卡并登录到同一个 Salesforce 管理员帐户。 在页面右上角单击你的名字,然后单击“设置”。
在左侧导航窗格中,单击“我的个人信息”展开相关部分,然后单击“重置我的安全令牌”。
在“重置安全令牌”页上,单击“重置安全令牌”按钮。
查看与此管理员帐户关联的电子邮件收件箱。 查找来自 Salesforce.com 的包含新安全令牌的电子邮件。
复制令牌,转到 Microsoft Entra 窗口,然后将令牌粘贴到“机密令牌”字段中。
如果 Salesforce 实例在 Salesforce 政府云中,则应输入租户 URL。 否则,它是可选项。 使用格式“https://<your-instance>.my.salesforce.com”输入租户 URL,并将“<your-instance>”替换为 Salesforce 实例的名称。
选择“测试连接”以确保 Microsoft Entra ID 可以连接到 Salesforce 应用。
在“通知电子邮件”字段中输入应收到预配错误通知的用户或组的电子邮件地址,并选中下面的复选框。
单击“保存” 。
在“映射”部分下,选择“将 Microsoft Entra 用户同步到 Salesforce”。
在“属性映射”部分,查看从 Microsoft Entra ID 同步到 Salesforce 的用户属性。 请注意,选为“匹配”属性的属性将用于匹配 Salesforce 中的用户帐户以执行更新操作。 选择“保存”按钮以提交任何更改 。
若要为 Salesforce 启用 Microsoft Entra 预配服务,请在“设置”部分将“预配状态”更改为“打开”
单击“保存” 。
注意
在 Salesforce 应用程序中预配用户后,管理员需要为其配置特定于语言的设置。 有关语言配置的详细信息,请参阅本文。
这会开始将“用户和组”部分中分配的任何用户和/或组初始同步到 Salesforce。 初始同步执行的时间比后续同步长,只要服务正在运行,大约每隔 40 分钟就会进行一次同步。 可以使用“同步详细信息”部分监视进度并跟踪指向预配活动日志的链接,这些日志描述了预配服务对 Salesforce 应用执行的所有操作。
要详细了解如何读取 Microsoft Entra 预配日志,请参阅有关自动用户帐户预配的报告。
常见问题
- 如果在授权访问 Salesforce 时遇到问题,请确保以下各项:
- 使用的凭据具有对 Salesforce 的管理员访问权限。
- 您使用的 Salesforce 版本支持 Web 访问(例如,开发人员、企业版、沙盒和 Salesforce 的不受限版本。)
- 为用户启用了 Web API 访问权限。
- Microsoft Entra 预配服务支持预配用户的语言、区域设置和时区。 这些属性位于默认属性映射中,但没有默认的源属性。 请确保选择默认的源属性,并且源属性的格式为 SalesForce 预期的格式。 例如,英语(美国) 的 localeSidKey 为 en_US。 查看此处提供的指南,以确定正确的 localeSidKey 格式。 可在此处找到 languageLocaleKey 格式。 除了确保格式正确以外,可能还需要确保为用户启用语言,如 此处所述。
- SalesforceLicenseLimitExceeded: 由于用户没有可用的许可证,无法在目标应用程序中创建该用户。 为目标应用程序购买其他许可证,或查看用户分配和属性映射配置,以确保为正确的用户分配正确的属性。
- SalesforceDuplicateUserName: 无法预配用户,因为它的 Salesforce.com 'Username' 在其他 Salesforce.com 租户中重复。 在 Salesforce.com 中,'Username' 属性的值在所有 Salesforce.com 租户中都必须是唯一的。 默认情况下,用户在 Microsoft Entra ID 中的 userPrincipalName 将成为其在 Salesforce.com 中的“Username”。 可以使用两个选项。 一种选择是在这另一个 Salesforce.com 租户中查找并重命名具有重复 'Username' 的用户(如果也管理这个租户)。 另一种选择是删除 Microsoft Entra 用户对你目录集成到的 Salesforce.com 租户的访问权限。 我们将在下一次同步尝试时重试此操作。
- SalesforceRequiredFieldMissing: Salesforce 要求用户提供某些属性才能成功创建或更新用户。 此用户缺少其中一个所需的属性。 确保在要预配到 Salesforce 的所有用户上填充了电子邮件和别名等属性。 您可以使用基于属性的范围筛选器来限定不具有这些属性的用户的范围。
- 预配到 Salesforce 的默认属性映射包括 SingleAppRoleAssignments 表达式,以将 Microsoft Entra ID 中的 appRoleAssignments 映射到 Salesforce 中的 ProfileName。 确保用户在 Microsoft Entra ID 中没有多个应用角色分配,因为属性映射仅支持预配一个角色。
- Salesforce 要求电子邮件更新在进行更改之前手动批准。 因此,您可能会在预配日志中看到多个条目来更新用户的电子邮件(直到电子邮件更改获得批准)。