Configure o Salesforce para provisionamento automático do utilizador com o Microsoft Entra ID

O objetivo deste artigo é mostrar os passos necessários para realizar no Salesforce e no Microsoft Entra ID para provisionar e desprovisionar automaticamente contas de utilizador do Microsoft Entra ID para o Salesforce.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes itens:

• Uma conta de utilizador Microsoft Entra com uma subscrição ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de Aplicações
  • Administrador de aplicativos na nuvem
  • Proprietário da Aplicação.

• Um locatário da Salesforce.com.

• Um nome de usuário e senha da conta do Salesforce e o token. Consulte Configurar o provisionamento automático de conta de usuário para saber como obter o token. No futuro, se você redefinir a senha da conta, o Salesforce fornecerá um novo token e você precisará editar as configurações de provisionamento do Salesforce.

• Um perfil de usuário personalizado no Salesforce para o usuário de integração. Depois de criar um perfil personalizado no portal do Salesforce, edite as Permissões administrativas do perfil para habilitar o seguinte:

  • API habilitada.

  • Gerir Utilizadores: Ativar esta opção permite automaticamente o seguinte: Atribuir Conjuntos de Permissões, Gerir Utilizadores InternosGerir Endereços IP, Gerir Políticas de Acesso de Início de Sessão, Gerir Políticas de Palavras-passe, Gerir Perfis e Conjuntos de Permissões, Gerir Funções, Gerir Partilha, Repor Palavras-passe de Utilizador e Desbloquear Utilizadores, Ver Todos os Utilizadores, Ver Funções e Hierarquia, Ver Configuração e Configuração.

  Consulte também a documentação Criar ou clonar perfis do Salesforce.

  Nota

  Atribua as permissões diretamente a este perfil. Não adicione as permissões através de conjuntos de permissões.

Se estiver a usar um ambiente Salesforce Sandbox, consulte o artigo de integração do Salesforce Sandbox .

Planejar a atribuição de usuários ao Salesforce

O Microsoft Entra ID utiliza um conceito chamado "atribuições" para determinar quais os utilizadores que devem ter acesso a aplicações selecionadas. No contexto do provisionamento automático de contas de utilizador, apenas os utilizadores e grupos que são "atribuídos" a uma aplicação no Microsoft Entra ID estão sincronizados.

Antes de configurar e ativar o serviço de provisionamento, precisa de decidir quais os utilizadores ou grupos no Microsoft Entra ID que precisam de aceder à sua aplicação Salesforce.

Dicas importantes para atribuir usuários ao Salesforce

• Recomenda-se que um único utilizador do Microsoft Entra seja atribuído ao Salesforce para testar a configuração de provisionamento. Mais utilizadores e/ou grupos podem ser atribuídos mais tarde, através dos mecanismos descritos em Atribuir utilizadores.

• Ao atribuir um usuário ao Salesforce, você deve selecionar uma função de usuário válida. A função "Acesso padrão" não funciona para provisionamento. Observe que algumas funções podem exigir licenciamento no Salesforce.

  Nota

  Como parte do processo de provisionamento, a Microsoft Entra importa perfis do Salesforce. Os perfis importados do Salesforce aparecem como funções de aplicação no Microsoft Entra ID, por isso pode selecionar ao atribuir utilizadores no Microsoft Entra ID. Se desejar atribuir usuários a um perfil personalizado, aguarde a importação de perfis do Salesforce antes de atribuir usuários a um aplicativo. Por favor, note que as funções da aplicação não devem ser editadas manualmente no Microsoft Entra ID ao fazer importações de funções.

Identificação de usuários existentes no Salesforce

Antes da integração com a Microsoft Entra, a sua conta Salesforce pode já ter um ou mais utilizadores, criados por um administrador Salesforce ou por outros processos. Tens duas formas de determinar quais os utilizadores que já estão presentes no Salesforce.

Opção 1 Usando a funcionalidade de descoberta de contas, pode gerar um relatório de todos os utilizadores no Salesforce, identificar quais os utilizadores que têm contas correspondentes no Entra, e quais são locais no Salesforce com um clique. Saiba mais sobre a funcionalidade de descoberta de contas aqui.

Opção 2 Pode determinar quais os utilizadores já presentes usando a funcionalidade de exportação de dados do Salesforce. Para obter mais informações, consulte Exportar dados de backup do Salesforce. Ao exportar do Salesforce, certifique-se de que User os dados estão incluídos no conjunto de dados exportado e selecione uma codificação de ficheiro de exportação que permita todos os nomes dos utilizadores na organização, como Unicode (UTF-8).

Depois de ter os dados exportados do Salesforce, pode extrair o ficheiro User.csv e abrir no Excel, ou no PowerShell, para ver a lista de utilizadores ativos já no Salesforce.

import-csv .\User.csv | where {$_.IsActive -eq '1'}  | sort UserName | ft UserName

Habilite o provisionamento automatizado de usuários

Esta secção orienta-o como ligar o seu Microsoft Entra ID à API de aprovisionamento de contas de utilizador da Salesforce - v40.

Configurar o provisionamento automático de conta de usuário

O objetivo desta secção é descrever como permitir o provisionamento de contas de utilizador do Active Directory para o Salesforce.

1. Inicie sessão no centro de administração Microsoft Entra pelo menos como Cloud Application Administrator.

2. Navegue para Entra ID>Aplicações Empresariais.

3. Se você configurou o Salesforce para logon único, pesquise sua instância do Salesforce usando o campo de pesquisa. Caso contrário, selecione Adicionar e pesquisar Salesforce na galeria de aplicativos. Selecione Salesforce nos resultados da pesquisa e adicione-o à sua lista de aplicativos.

4. Selecione a sua instância do Salesforce e, em seguida, selecione o separador Provisionamento.

5. Selecione + Nova configuração.

   

6. Na seção Credenciais de administrador, forneça as seguintes definições de configuração:

   1. Na caixa de texto Nome de Utilizador do Administrador, digite o nome da conta do Salesforce a que foi atribuído o perfil de Administrador do Sistema em Salesforce.com.

   2. Na caixa de texto Senha do administrador , digite a senha dessa conta.

7. Para obter seu token de segurança do Salesforce, abra uma nova guia e faça login na mesma conta de administrador do Salesforce. No canto superior direito da página, selecione o seu nome e, em seguida, selecione Configurações.

   

8. No painel de navegação esquerdo, selecione Minhas Informações Pessoais para expandir a seção relacionada e selecione Redefinir Meu Token de Segurança.

   

9. Na página Redefinir Token de Segurança, selecione o botão Redefinir Token de Segurança.

   

10. Verifique a caixa de entrada de e-mail associada a esta conta de administrador. Procure um e-mail de Salesforce.com que contenha o novo token de segurança.

11. Copie o token, vá à sua janela de Microsoft Entra e cole-o no campo Secret Token.

12. A URL do locatário deve ser inserida se a instância do Salesforce estiver na Salesforce Government Cloud. Caso contrário, é opcional. Insira a URL do locatário usando o formato , https://<your-instance>.my.salesforce.comsubstituindo <your-instance> pelo nome da sua instância do Salesforce.

13. Selecione Test Connection para garantir que Microsoft Entra ID pode ligar-se à sua aplicação Salesforce.

14. Selecione Criar para criar a sua configuração.

15. Selecione Propriedades na página de Visão Geral.

16. Selecione o ícone Editar para editar as propriedades. Habilite e-mails de notificação e forneça um e-mail para receber e-mails de quarentena. Ative a opção para evitar eliminação acidental. Selecione Aplicar para salvar as alterações.

    

17. Selecione Mapeamento de Atributos no painel esquerdo e selecione utilizadores.

18. Selecione Descobrir identidades na visão geral de provisionamento para descobrir contas no Salesforce. Esta opção só será visível para organizações com licenças Entra ID Governance.

19. Revise os atributos de utilizador que estão sincronizados do Microsoft Entra ID para o Salesforce. Observe que os atributos selecionados como Propriedades correspondentes são usados para corresponder às contas de usuário no Salesforce para operações de atualização. Selecione o botão Guardar para confirmar as alterações.

1. Para configurar filtros de escopo, consulte as instruções a seguir fornecidas no artigo Filtro de escopo.

2. Use provisionamento sob demanda para validar a sincronização com um pequeno número de utilizadores antes de uma implementação mais ampla na sua organização.

3. Quando estiver pronto para provisionar, selecione Iniciar Provisão na página de Visão Geral .

Monitorização

Você pode usar a seção Detalhes da Sincronização para monitorizar o progresso e seguir os links para os registos de atividades de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento na sua aplicação Salesforce.

Para mais informações sobre como ler os registos de provisão de Microsoft Entra, consulte Relatórios sobre provisão automática de contas de utilizador.

Atribuir utilizadores

Quando o teste estiver concluído e um usuário for provisionado com êxito para o Salesforce, você desejará garantir que todos os outros usuários que precisam do Salesforce sejam atribuídos às funções do aplicativo. Isso inclui todos os usuários que atualmente têm contas ativas no Salesforce, conforme descrito na seção Identificando usuários existentes no Salesforce. Pode atribuir estes e quaisquer utilizadores autorizados adicionais à aplicação Salesforce no Microsoft Entra seguindo uma das instruções aqui:

• Pode atribuir cada utilizador individual à aplicação na centro de administração Microsoft Entra,
• Pode atribuir utilizadores individuais à aplicação via Microsoft Graph ou o cmdlet PowerShell New-MgServicePrincipalAppRoleAssignedTo, ou
• Se a sua organização tiver uma licença para Microsoft Entra ID Governance, também pode implementar políticas de gestão de direitos para automatizar a atribuição de acessos, para adicionar ou remover atribuições à medida que as pessoas se juntam à organização, ou sair ou mudar de funções. Você pode criar um pacote de acesso de gerenciamento de direitos para este aplicativo. Você pode ter políticas para que os usuários recebam acesso, seja quando eles solicitarem, por um administrador, automaticamente com base em regras, ou por meio de fluxos de trabalho do ciclo de vida.

À medida que os utilizadores atribuídos à aplicação são atualizados no Microsoft Entra ID, essas alterações são automaticamente provisionadas para o Salesforce.

Problemas comuns

• Se você estiver tendo problemas para habilitar o provisionamento para o Salesforce, certifique-se do seguinte:
  • As credenciais usadas têm acesso de administrador ao Salesforce.
  • A versão do Salesforce que você está usando oferece suporte ao Web Access (como as edições Developer, Enterprise, Sandbox e Unlimited do Salesforce).
  • O acesso à API da Web está habilitado para o usuário.
• O serviço de provisionamento Microsoft Entra suporta a linguagem de provisionamento, local e fuso horário para o utilizador. Esses atributos estão nos mapeamentos de atributos padrão, mas não têm um atributo de origem padrão. Certifique-se de selecionar o atributo source padrão e se o atributo source esteja no formato esperado pelo SalesForce. Por exemplo, localeSidKey para inglês (Estados Unidos) é en_US. Analise as orientações fornecidas aqui para determinar o formato localeSidKey adequado. Os formatos languageLocaleKey podem ser encontrados aqui. Além de garantir que o formato esteja correto, talvez seja necessário garantir que o idioma esteja habilitado para seus usuários, conforme descrito aqui.
• SalesforceLicenseLimitExceeded: Não foi possível criar o usuário no Salesforce porque não há licenças disponíveis para esse usuário. Adquira licenças adicionais para o aplicativo de destino ou revise suas atribuições de usuário para garantir que os usuários corretos sejam atribuídos.
• SalesforceDuplicateUserName: O utilizador não pode ser provisionado porque tem um 'Nome de utilizador' do Salesforce.com duplicado noutro inquilino do Salesforce.com.  No Salesforce.com, os valores para o atributo 'Username' devem ser exclusivos em todos os locatários Salesforce.com.  Por defeito, o userPrincipalName de um utilizador em Microsoft Entra ID torna-se o seu 'Nome de utilizador' em Salesforce.com.  Você tem duas opções.  Uma opção é localizar e renomear o utilizador com nome de utilizador duplicado noutro ambiente do Salesforce.com, caso você administre esse outro ambiente também.  A outra opção é remover o acesso do utilizador Microsoft Entra ao Salesforce.com tenant com o qual o seu diretório está integrado. Tentaremos novamente esta operação na próxima tentativa de sincronização.
• SalesforceRequiredFieldMissing: o Salesforce exige que determinados atributos estejam presentes no usuário para criar ou atualizar o usuário com êxito. Este usuário está faltando um dos atributos necessários. Certifique-se de que atributos como e-mail e alias estejam preenchidos em todos os utilizadores que gostaria de provisionar no Salesforce. Você pode definir o escopo de usuários que não têm esses atributos usando filtros de escopo baseados em atributos.
• O mapeamento de atributos padrão para provisionamento no Salesforce inclui a expressão SingleAppRoleAssignments para mapear appRoleAssignments no Microsoft Entra ID para o ProfileName no Salesforce. Certifique-se de que os utilizadores não têm múltiplas atribuições de papéis de aplicação no Microsoft Entra ID, pois o mapeamento de atributos só suporta o provisionamento de um papel. Se você tiver um grupo de usuários no qual o grupo está atribuído a uma função, um membro desse grupo não poderá ter uma atribuição direta ao aplicativo Salesforce com uma função diferente.
• O Salesforce exige que as atualizações de e-mail sejam aprovadas manualmente antes de serem alteradas. Como resultado, você pode ver várias entradas nos logs de provisionamento para atualizar o e-mail do usuário (até que a alteração de e-mail tenha sido aprovada).

Recursos adicionais

• Gerir o aprovisionamento de contas de utilizador para Aplicações Empresariais
• O que é o acesso a aplicações e o login único com Microsoft Entra ID?
• Configurar o Logon Único