Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O objetivo deste artigo é mostrar as etapas necessárias para executar no Salesforce e no Microsoft Entra ID para provisionar e desprovisionar automaticamente contas de usuário do Microsoft Entra ID para o Salesforce.
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha os seguintes itens:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
- Uma das seguintes funções:
Um locatário da Salesforce.com.
Um nome de usuário e senha da conta do Salesforce e o token. Consulte Configurar o provisionamento automático de conta de usuário para saber como obter o token. No futuro, se você redefinir a senha da conta, o Salesforce fornecerá um novo token e você precisará editar as configurações de provisionamento do Salesforce.
Um perfil de usuário personalizado no Salesforce para o usuário de integração. Depois de criar um perfil personalizado no portal do Salesforce, edite as Permissões administrativas do perfil para habilitar o seguinte:
API habilitada.
Gerir Utilizadores: Ativar esta opção permite automaticamente o seguinte: Atribuir Conjuntos de Permissões, Gerir Utilizadores InternosGerir Endereços IP, Gerir Políticas de Acesso de Início de Sessão, Gerir Políticas de Palavras-passe, Gerir Perfis e Conjuntos de Permissões, Gerir Funções, Gerir Partilha, Repor Palavras-passe de Utilizador e Desbloquear Utilizadores, Ver Todos os Utilizadores, Ver Funções e Hierarquia, Ver Configuração e Configuração.
Consulte também a documentação Criar ou clonar perfis do Salesforce.
Nota
Atribua as permissões diretamente a este perfil. Não adicione as permissões através de conjuntos de permissões.
Importante
Se você estiver usando uma conta de avaliação Salesforce.com, não poderá configurar o provisionamento automatizado de usuários. As contas de avaliação não têm o acesso à API necessário ativado até serem compradas. Você pode contornar essa limitação usando uma conta de desenvolvedor gratuita para concluir este artigo.
Se estiver a usar um ambiente Salesforce Sandbox, consulte o artigo de integração do Salesforce Sandbox .
Planejar a atribuição de usuários ao Salesforce
O Microsoft Entra ID usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso a aplicativos selecionados. No contexto do provisionamento automático de conta de usuário, somente os usuários e grupos que são "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.
Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários ou grupos no Microsoft Entra ID precisam acessar seu aplicativo Salesforce.
Dicas importantes para atribuir usuários ao Salesforce
É recomendável que um único usuário do Microsoft Entra seja atribuído ao Salesforce para testar a configuração de provisionamento. Mais utilizadores e/ou grupos podem ser atribuídos mais tarde, através dos mecanismos descritos em Atribuir utilizadores.
Ao atribuir um usuário ao Salesforce, você deve selecionar uma função de usuário válida. A função "Acesso padrão" não funciona para provisionamento. Observe que algumas funções podem exigir licenciamento no Salesforce.
Nota
Como parte do processo de provisionamento, o Microsoft Entra importa perfis do Salesforce. Os perfis importados do Salesforce aparecem como funções de aplicativo no Microsoft Entra ID, para que você possa selecionar ao atribuir usuários no Microsoft Entra ID. Se desejar atribuir usuários a um perfil personalizado, aguarde a importação de perfis do Salesforce antes de atribuir usuários a um aplicativo. Observe que as funções do aplicativo não devem ser editadas manualmente no Microsoft Entra ID ao fazer importações de funções.
Identificação de usuários existentes no Salesforce
Antes da integração com o Microsoft Entra, sua conta do Salesforce já pode ter um ou mais usuários, criados por um administrador do Salesforce ou outros processos. Você pode determinar quais usuários já estão presentes usando o recurso de exportação de dados do Salesforce. Para obter mais informações, consulte Exportar dados de backup do Salesforce. Ao exportar do Salesforce, certifique-se de que User os dados estão incluídos no conjunto de dados exportado e selecione uma codificação de ficheiro de exportação que permita todos os nomes dos utilizadores na organização, como Unicode (UTF-8).
Depois de ter os dados exportados do Salesforce, você pode extrair o User.csv arquivo e abrir no Excel ou no PowerShell para exibir a lista de usuários ativos que já estão no Salesforce.
import-csv .\User.csv | where {$_.IsActive -eq '1'} | sort UserName | ft UserName
Habilite o provisionamento automatizado de usuários
Esta seção orienta você na conexão de sua ID do Microsoft Entra à API de provisionamento de conta de usuário do Salesforce - v40.
Gorjeta
Você também pode optar por habilitar o Logon Único baseado em SAML para Salesforce, seguindo as instruções fornecidas no portal do Azure. O logon único pode ser configurado independentemente do provisionamento automático, embora esses dois recursos se complementem.
Configurar o provisionamento automático de conta de usuário
O objetivo desta seção é descrever como habilitar o provisionamento de contas de usuário do Ative Directory para o Salesforce.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Entra ID>Enterprise apps.
Se você configurou o Salesforce para logon único, pesquise sua instância do Salesforce usando o campo de pesquisa. Caso contrário, selecione Adicionar e pesquisar Salesforce na galeria de aplicativos. Selecione Salesforce nos resultados da pesquisa e adicione-o à sua lista de aplicativos.
Selecione a sua instância do Salesforce e, em seguida, selecione o separador Provisionamento.
Defina o Modo de Aprovisionamento como Automático.
Na seção Credenciais de administrador, forneça as seguintes definições de configuração:
Na caixa de texto Nome de Utilizador do Administrador, digite o nome da conta do Salesforce a que foi atribuído o perfil de Administrador do Sistema em Salesforce.com.
Na caixa de texto Senha do administrador , digite a senha dessa conta.
Para obter seu token de segurança do Salesforce, abra uma nova guia e faça login na mesma conta de administrador do Salesforce. No canto superior direito da página, selecione o seu nome e, em seguida, selecione Configurações.
No painel de navegação esquerdo, selecione Minhas Informações Pessoais para expandir a seção relacionada e selecione Redefinir Meu Token de Segurança.
Na página Redefinir Token de Segurança, selecione o botão Redefinir Token de Segurança.
Verifique a caixa de entrada de e-mail associada a esta conta de administrador. Procure um e-mail de Salesforce.com que contenha o novo token de segurança.
Copie o token, vá para a janela do Microsoft Entra e cole-o no campo Token secreto.
A URL do locatário deve ser inserida se a instância do Salesforce estiver na Salesforce Government Cloud. Caso contrário, é opcional. Insira a URL do locatário usando o formato ,
https://<your-instance>.my.salesforce.comsubstituindo<your-instance>pelo nome da sua instância do Salesforce.Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao seu aplicativo Salesforce.
No campo Email de notificação, digite o endereço de e-mail de uma pessoa ou grupo que deve receber notificações de erro de provisionamento e marque a caixa de seleção abaixo.
Selecione Guardar.
Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Salesforce.
Na secção de Mapeamento de Atributos, reveja os atributos de utilizador que são sincronizados do Microsoft Entra ID para o Salesforce. Observe que os atributos selecionados como Propriedades correspondentes são usados para corresponder às contas de usuário no Salesforce para operações de atualização. Selecione o botão Guardar para confirmar as alterações.
Para habilitar o serviço de provisionamento do Microsoft Entra para Salesforce, altere o Status de provisionamento para Ativado na seção Configurações
Selecione Guardar.
Nota
Depois que os usuários são provisionados no aplicativo Salesforce, o administrador precisa definir as configurações específicas de idioma para eles. Consulte este artigo para obter mais detalhes sobre a configuração do idioma.
Isso inicia a sincronização inicial de todos os usuários e/ou grupos atribuídos ao Salesforce na seção Usuários e grupos. A sincronização inicial leva mais tempo para ser executada do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço estiver em execução.
Monitorização
Você pode usar a seção Detalhes da Sincronização para monitorizar o progresso e seguir os links para os registos de atividades de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento na sua aplicação Salesforce.
Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, consulte Relatórios sobre provisionamento automático de conta de usuário.
Atribuir utilizadores
Quando o teste estiver concluído e um usuário for provisionado com êxito para o Salesforce, você desejará garantir que todos os outros usuários que precisam do Salesforce sejam atribuídos às funções do aplicativo. Isso inclui todos os usuários que atualmente têm contas ativas no Salesforce, conforme descrito na seção Identificando usuários existentes no Salesforce. Você pode atribuir esses e quaisquer usuários autorizados adicionais ao aplicativo Salesforce no Microsoft Entra seguindo uma das instruções aqui:
- Você pode atribuir cada usuário individual ao aplicativo no centro de administração do Microsoft Entra,
- Você pode atribuir usuários individuais ao aplicativo por meio do Microsoft Graph ou do cmdlet
New-MgServicePrincipalAppRoleAssignedTodo PowerShell, ou - se sua organização tiver uma licença para o Microsoft Entra ID Governance, você também poderá implantar políticas de gerenciamento de direitos para automatizar a atribuição de acesso, adicionar ou remover atribuições à medida que as pessoas ingressam na organização ou deixar ou alterar funções. Você pode criar um pacote de acesso de gerenciamento de direitos para este aplicativo. Você pode ter políticas para que os usuários recebam acesso, seja quando eles solicitarem, por um administrador, automaticamente com base em regras, ou por meio de fluxos de trabalho do ciclo de vida.
À medida que os utilizadores atribuídos à aplicação são atualizados no Microsoft Entra ID, essas alterações são automaticamente provisionadas para Salesforce.
Problemas comuns
- Se você estiver tendo problemas para habilitar o provisionamento para o Salesforce, certifique-se do seguinte:
- As credenciais usadas têm acesso de administrador ao Salesforce.
- A versão do Salesforce que você está usando oferece suporte ao Web Access (como as edições Developer, Enterprise, Sandbox e Unlimited do Salesforce).
- O acesso à API da Web está habilitado para o usuário.
- O serviço de provisionamento do Microsoft Entra oferece suporte ao idioma de provisionamento, localidade e fuso horário para um usuário. Esses atributos estão nos mapeamentos de atributos padrão, mas não têm um atributo de origem padrão. Certifique-se de selecionar o atributo source padrão e se o atributo source esteja no formato esperado pelo SalesForce. Por exemplo, localeSidKey para inglês (Estados Unidos) é en_US. Analise as orientações fornecidas aqui para determinar o formato localeSidKey adequado. Os formatos languageLocaleKey podem ser encontrados aqui. Além de garantir que o formato esteja correto, talvez seja necessário garantir que o idioma esteja habilitado para seus usuários, conforme descrito aqui.
- SalesforceLicenseLimitExceeded: Não foi possível criar o usuário no Salesforce porque não há licenças disponíveis para esse usuário. Adquira licenças adicionais para o aplicativo de destino ou revise suas atribuições de usuário para garantir que os usuários corretos sejam atribuídos.
- SalesforceDuplicateUserName: O utilizador não pode ser provisionado porque tem um 'Nome de utilizador' do Salesforce.com duplicado noutro inquilino do Salesforce.com. No Salesforce.com, os valores para o atributo 'Username' devem ser exclusivos em todos os locatários Salesforce.com. Por padrão, o userPrincipalName de um utilizador no Microsoft Entra ID torna-se o seu 'Nome de utilizador' no Salesforce.com. Você tem duas opções. Uma opção é localizar e renomear o utilizador com nome de utilizador duplicado noutro ambiente do Salesforce.com, caso você administre esse outro ambiente também. A outra opção é remover o acesso do usuário do Microsoft Entra ao locatário Salesforce.com com o qual seu diretório está integrado. Tentaremos novamente esta operação na próxima tentativa de sincronização.
- SalesforceRequiredFieldMissing: o Salesforce exige que determinados atributos estejam presentes no usuário para criar ou atualizar o usuário com êxito. Este usuário está faltando um dos atributos necessários. Certifique-se de que atributos como e-mail e alias estejam preenchidos em todos os utilizadores que gostaria de provisionar no Salesforce. Você pode definir o escopo de usuários que não têm esses atributos usando filtros de escopo baseados em atributos.
- O mapeamento de atributos padrão para o provisionamento no Salesforce inclui a expressão SingleAppRoleAssignments para mapear os appRoleAssignments do Microsoft Entra ID para ProfileName no Salesforce. Certifique-se de que os usuários não tenham várias atribuições de função de aplicativo na ID do Microsoft Entra, pois o mapeamento de atributos oferece suporte apenas ao provisionamento de uma função. Se você tiver um grupo de usuários no qual o grupo está atribuído a uma função, um membro desse grupo não poderá ter uma atribuição direta ao aplicativo Salesforce com uma função diferente.
- O Salesforce exige que as atualizações de e-mail sejam aprovadas manualmente antes de serem alteradas. Como resultado, você pode ver várias entradas nos logs de provisionamento para atualizar o e-mail do usuário (até que a alteração de e-mail tenha sido aprovada).