Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het doel van dit artikel is om de stappen weer te geven die moeten worden uitgevoerd in Salesforce en Microsoft Entra ID om gebruikersaccounts automatisch in te richten en de inrichting van gebruikersaccounts van Microsoft Entra ID ongedaan te maken voor Salesforce.
Vereisten
In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al de volgende items hebt:
- Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
- Een van de volgende rollen:
Een Salesforce.com tenant.
De gebruikersnaam en het wachtwoord van een Salesforce-account en het token. Zie Automatische toewijzing van gebruikersaccounts configureren voor het verkrijgen van de token. Als u in de toekomst het accountwachtwoord opnieuw instelt, beschikt Salesforce over een nieuw token en moet u de inrichtingsinstellingen van Salesforce bewerken.
Een aangepast gebruikersprofiel in Salesforce voor de integratiegebruiker. Nadat u een aangepast profiel hebt gemaakt in de Salesforce-portal, bewerkt u de beheerdersmachtigingen van het profiel om het volgende in te schakelen:
API ingeschakeld.
Gebruikers beheren: Als u deze optie inschakelt, schakelt u automatisch het volgende in: Machtigingensets toewijzen, IP-adressen voor interne gebruikers beheren, beleid voor aanmeldingstoegang beheren, wachtwoordbeleid beheren, profielen en machtigingensets beheren, rollen beheren, delen beheren, gebruikerswachtwoorden opnieuw instellen en gebruikers ontgrendelen, alle gebruikers weergeven, rollen en hiërarchie weergeven, Instellingen en configuratie weergeven.
Zie ook de documentatie voor Salesforce voor het maken of klonen van profielen.
Notitie
Wijs de machtigingen rechtstreeks toe aan dit profiel. Voeg de machtigingen niet toe via permissiesets.
Belangrijk
Als u een Salesforce.com proefaccount gebruikt, kunt u automatische inrichting van gebruikers niet configureren. Voor proefaccounts is de benodigde API-toegang pas ingeschakeld als ze zijn gekocht. U kunt deze beperking omzeilen door een gratis ontwikkelaarsaccount te gebruiken om dit artikel te voltooien.
Als u een Salesforce Sandbox-omgeving gebruikt, raadpleegt u het artikel over Salesforce Sandbox-integratie.
Plannen voor het toewijzen van gebruikers aan Salesforce
Microsoft Entra ID maakt gebruik van een concept met de naam 'toewijzingen' om te bepalen welke gebruikers toegang moeten krijgen tot geselecteerde apps. In de context van het automatisch inrichten van gebruikersaccounts worden alleen de gebruikers en groepen gesynchroniseerd die aan een toepassing in Microsoft Entra-id zijn toegewezen.
Voordat u de inrichtingsservice configureert en inschakelt, moet u beslissen welke gebruikers of groepen in Microsoft Entra ID toegang nodig hebben tot uw Salesforce-app.
Belangrijke tips voor het toewijzen van gebruikers aan Salesforce
Het wordt aanbevolen om één Microsoft Entra-gebruiker toe te wijzen aan Salesforce om de inrichtingsconfiguratie te testen. Meer gebruikers en/of groepen kunnen later worden toegewezen via de mechanismen die worden beschreven in Gebruikers toewijzen.
Wanneer u een gebruiker aan Salesforce toewijst, moet u een geldige gebruikersrol selecteren. De rol "Standaardtoegang" werkt niet voor voorziening. Houd er rekening mee dat voor sommige rollen mogelijk licenties zijn vereist in Salesforce.
Notitie
Als onderdeel van het inrichtingsproces importeert Microsoft Entra profielen uit Salesforce. De profielen die uit Salesforce worden geïmporteerd, worden weergegeven als toepassingsrollen in Microsoft Entra-id, zodat u kunt selecteren wanneer u gebruikers toewijst in Microsoft Entra-id. Als u gebruikers wilt toewijzen aan een aangepast profiel, wacht u tot profielen uit Salesforce zijn geïmporteerd voordat u gebruikers toewijst aan een toepassing. Houd er rekening mee dat de toepassingsrollen niet handmatig moeten worden bewerkt in De Microsoft Entra-id bij het importeren van rollen.
Bestaande gebruikers identificeren in Salesforce
Voorafgaand aan de integratie met Microsoft Entra heeft uw Salesforce-account mogelijk al een of meer gebruikers, gemaakt door een Salesforce-beheerder of andere processen. U kunt bepalen welke gebruikers al aanwezig zijn met behulp van de salesforce-functie voor het exporteren van gegevens. Zie Back-upgegevens exporteren vanuit Salesforce voor meer informatie. Wanneer u vanuit Salesforce exporteert, zorg er dan voor dat User gegevens zijn opgenomen in de geëxporteerde gegevensset en selecteer een exportbestandscodering die alle namen van gebruikers in de organisatie toestaat, zoals Unicode (UTF-8).
Zodra u de geëxporteerde gegevens uit Salesforce hebt, kunt u het User.csv bestand extraheren en openen in Excel, of in PowerShell, om de lijst met actieve gebruikers weer te geven die al aanwezig zijn in Salesforce.
import-csv .\User.csv | where {$_.IsActive -eq '1'} | sort UserName | ft UserName
Automatisch gebruikersprovisioning inschakelen
In deze sectie wordt u begeleid bij het verbinden van uw Microsoft Entra-id met de API voor het inrichten van gebruikersaccounts van Salesforce - v40.
Aanbeveling
U kunt er ook voor kiezen om eenmalige aanmelding op basis van SAML in te schakelen voor Salesforce. Volg hiervoor de instructies in Azure Portal. Eenmalige aanmelding kan onafhankelijk van automatische inrichting worden geconfigureerd, maar deze twee functies vormen een aanvulling op elkaar.
Automatische voorziening van gebruikersaccounts configureren
Het doel van deze sectie is om een overzicht te geven van hoe gebruikersvoorziening van Active Directory-gebruikersaccounts naar Salesforce kan worden ingeschakeld.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
Navigeer naar Entra ID>Enterprise apps.
Als u Salesforce hebt geconfigureerd voor Single Sign-On, zoek dan uw exemplaar van Salesforce met het zoekveld. Selecteer anders Toevoegen en zoek naar Salesforce in de toepassingsgalerie. Selecteer Salesforce in de zoekresultaten en voeg het toe aan uw lijst met toepassingen.
Selecteer uw exemplaar van Salesforce en selecteer vervolgens het tabblad Inrichten.
Stel Inrichtingsmodus in op Automatisch.
Geef in de sectie Beheerdersreferenties de volgende configuratie-instellingen op:
Typ in het tekstvak Gebruikersnaam van beheerder een naam voor het Salesforce-account waaraan het profiel Systeembeheerder in Salesforce.com is toegewezen.
Typ in het tekstvak Wachtwoord voor beheerder het wachtwoord voor dit account.
Als u een beveiligingstoken voor Salesforce wilt ophalen, opent u een nieuw tabblad en meldt u zich aan met hetzelfde Salesforce-beheerdersaccount. Selecteer uw naam in de rechterbovenhoek van de pagina en selecteer vervolgens Instellingen.
Selecteer in het linkernavigatiedeelvenster Mijn persoonlijke gegevens om de gerelateerde sectie uit te vouwen en selecteer Vervolgens Mijn beveiligingstoken opnieuw instellen.
Selecteer op de pagina Beveiligingstoken opnieuw instellen de knop Beveiligingstoken opnieuw instellen .
Controleer de e-mailinbox die aan dit beheerdersaccount is gekoppeld. Zoek naar een e-mailbericht van Salesforce.com dat het nieuwe beveiligingstoken bevat.
Kopieer het token, ga naar uw Microsoft Entra-venster en plak het in het Geheime Token veld.
De tenant-URL moet worden ingevoerd als het exemplaar van Salesforce zich in de Salesforce Government Cloud bevindt. Anders is dit optioneel. Voer de tenant-URL in met behulp van de indeling
https://<your-instance>.my.salesforce.com, waarbij u<your-instance>vervangt door de naam van uw Salesforce-instance.Selecteer Verbinding testen om te controleren of de Microsoft Entra-id verbinding kan maken met uw Salesforce-app.
Voer het e-mailadres in van een persoon of groep die meldingen van inrichtingsfouten moet ontvangen in het veld E-mailadres voor meldingen en schakel het onderstaande selectievakje in.
Selecteer Opslaan.
Selecteer onder de sectie Toewijzingen Microsoft Entra-gebruikers synchroniseren met Salesforce.
Controleer in de sectie Kenmerktoewijzingen de gebruikerskenmerken die vanuit Microsoft Entra-id met Salesforce worden gesynchroniseerd. U ziet dat de kenmerken die zijn geselecteerd als overeenkomende eigenschappen, worden gebruikt om de gebruikersaccounts in Salesforce te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.
Als u de Microsoft Entra-inrichtingsservice voor Salesforce wilt inschakelen, wijzigt u de inrichtingsstatusin Aan in de sectie Instellingen
Selecteer Opslaan.
Notitie
Zodra de gebruikers zijn ingericht in de Salesforce-toepassing, moet de beheerder de taalspecifieke instellingen voor hen configureren. Lees dit artikel voor meer informatie over het configureren van taal.
De eerste synchronisatie van gebruikers en/of groepen die zijn toegewezen aan Salesforce in de sectie Gebruikers en Groepen wordt gestart. De eerste synchronisatie duurt langer dan volgende synchronisaties, die ongeveer om de 40 minuten plaatsvinden zolang de service wordt uitgevoerd.
Controle
U kunt de sectie Synchronisatiedetails gebruiken om de voortgang te controleren en koppelingen te volgen naar activiteitenlogboeken van de inrichting, waarin alle acties worden beschreven die met de inrichtingsservice worden uitgevoerd voor uw Salesforce-app.
Zie Rapportage over automatische inrichting van gebruikersaccounts voor meer informatie over het lezen van de Microsoft Entra-inrichtingslogboeken.
Gebruikers toewijzen
Zodra de test is voltooid en een gebruiker is ingericht voor Salesforce, moet u ervoor zorgen dat alle andere gebruikers die Salesforce nodig hebben, zijn toegewezen aan de toepassingsrollen. Dit omvat alle gebruikers die momenteel actieve accounts hebben in Salesforce, zoals beschreven in de sectie Bestaande gebruikers identificeren in Salesforce. U kunt deze en eventuele aanvullende geautoriseerde gebruikers toewijzen aan de Salesforce-toepassing in Microsoft Entra door een van de instructies hier te volgen:
- U kunt elke afzonderlijke gebruiker toewijzen aan de toepassing in het Microsoft Entra-beheercentrum.
- U kunt afzonderlijke gebruikers toewijzen aan de toepassing via Microsoft Graph of de PowerShell-cmdlet
New-MgServicePrincipalAppRoleAssignedTo, of - als uw organisatie een licentie heeft voor Microsoft Entra ID Governance, kunt u ook rechtenbeheerbeleid implementeren voor het automatiseren van toegangstoewijzing, toewijzingen toevoegen of verwijderen als personen deelnemen aan de organisatie, of rollen verlaten of wijzigen. U kunt een toegangspakket voor rechtenbeheer maken voor deze toepassing. U kunt beleidsregels hebben voor gebruikers die toegang moeten krijgen wanneer ze aanvragen, door een beheerder, automatisch op basis van regels of via levenscycluswerkstromen.
Omdat gebruikers die zijn toegewezen aan de toepassing worden bijgewerkt in Microsoft Entra ID, worden deze wijzigingen automatisch ingericht voor Salesforce.
Algemene problemen
- Als u problemen ondervindt met het inschakelen van provisioning voor Salesforce, zorg ervoor dat het volgende het geval is:
- De inloggegevens die worden gebruikt, hebben beheerderstoegang tot Salesforce.
- De versie van Salesforce die u gebruikt, ondersteunt Web Access (zoals Developer, Enterprise, Sandbox en Unlimited-edities van Salesforce.)
- Web-API-toegang is ingeschakeld voor de gebruiker.
- De Microsoft Entra-inrichtingsservice ondersteunt de inrichtingstaal, landinstellingen en tijdzone voor een gebruiker. Deze kenmerken bevinden zich in de standaardkenmerktoewijzingen, maar hebben geen standaardbronkenmerk. Zorg ervoor dat u het standaardbronkenmerk selecteert en dat het bronkenmerk de indeling heeft die door SalesForce wordt verwacht. LocaleSidKey voor engels (Verenigde Staten) is bijvoorbeeld en_US. Bekijk de richtlijnen die hier worden gegeven om de juiste localeSidKey-indeling te bepalen. De languageLocaleKey-indelingen vindt u hier. Naast ervoor te zorgen dat de indeling juist is, moet u er mogelijk voor zorgen dat de taal is ingeschakeld voor uw gebruikers, zoals hier wordt beschreven.
- SalesforceLicenseLimitExceeded: De gebruiker kan niet worden gemaakt in Salesforce omdat er geen licenties beschikbaar zijn voor deze gebruiker. Koop extra licenties voor de doeltoepassing of controleer uw gebruikerstoewijzingen om ervoor te zorgen dat de juiste gebruikers worden toegewezen.
- SalesforceDuplicateUserName: De gebruiker kan niet worden ingericht omdat deze een Salesforce.com gebruikersnaam heeft die in een andere Salesforce.com tenant wordt gedupliceerd. In Salesforce.com moeten waarden voor het kenmerk 'Gebruikersnaam' uniek zijn voor alle Salesforce.com-tenants. Standaard wordt de userPrincipalName van een gebruiker in Microsoft Entra ID de gebruikersnaam in Salesforce.com. U hebt twee opties. Een optie is om de gebruiker met de dubbele gebruikersnaam in de andere Salesforce.com-tenant te zoeken en de gebruikersnaam te wijzigen, als u die andere tenant ook beheert. De andere optie is om de toegang van de Microsoft Entra-gebruiker te verwijderen naar de Salesforce.com-tenant waarmee uw directory is geïntegreerd. Deze bewerking wordt opnieuw uitgevoerd bij de volgende synchronisatiepoging.
- SalesforceRequiredFieldMissing: Salesforce vereist dat bepaalde kenmerken aanwezig zijn bij de gebruiker om de gebruiker succesvol te kunnen maken of bijwerken. Deze gebruiker mist een van de vereiste kenmerken. Zorg ervoor dat kenmerken zoals e-mail en alias worden ingevuld voor alle gebruikers die u wilt inrichten in Salesforce. U kunt gebruikers bereiken die deze kenmerken niet hebben met behulp van op kenmerken gebaseerde bereikfilters.
- De kenmerktoewijzingstandaard voor voorziening naar Salesforce gebruikt de expressie "SingleAppRoleAssignments" om "appRoleAssignments" in Microsoft Entra ID toe te wijzen aan "ProfileName" in Salesforce. Zorg ervoor dat de gebruikers niet meerdere app-roltoewijzingen hebben in Microsoft Entra-id, omdat de kenmerktoewijzing alleen ondersteuning biedt voor het inrichten van één rol. Als u een groep gebruikers hebt waaraan de groep is toegewezen aan één rol, kan een lid van die groep geen directe toewijzing hebben aan de Salesforce-toepassing met een andere rol.
- Salesforce vereist dat e-mailupdates handmatig worden goedgekeurd voordat ze worden gewijzigd. Als gevolg hiervan ziet u mogelijk meerdere vermeldingen in de inrichtingslogboeken om het e-mailadres van de gebruiker bij te werken (totdat de e-mailwijziging is goedgekeurd).