Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ziel dieses Artikels ist es, die Schritte darzustellen, die in Salesforce und Microsoft Entra ID erforderlich sind, um Benutzerkonten automatisch von Microsoft Entra ID in Salesforce bereitzustellen und zu entziehen.
Voraussetzungen
Das in diesem Artikel beschriebene Szenario geht davon aus, dass Sie bereits über die folgenden Elemente verfügen:
- Ein Microsoft Entra Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
Ein Salesforce.com Mandant
Ein Salesforce-Kontoname und ein Kennwort sowie das Token. Siehe Konfigurieren der automatischen Bereitstellung des Benutzerkontos, um zu erfahren, wie Sie das Token erhalten. Wenn Sie das Kontokennwort zurücksetzen, stellt Salesforce Ihnen zukünftig ein neues Token bereit, und Sie müssen die Salesforce-Bereitstellungseinstellungen bearbeiten.
Ein benutzerdefiniertes Benutzerprofil in Salesforce für den Integrationsbenutzer. Sobald Sie ein benutzerdefiniertes Profil im Salesforce-Portal erstellt haben, bearbeiten Sie die administrativen Berechtigungen des Profils, um Folgendes zu aktivieren:
API aktiviert.
Benutzerverwaltung: Wenn Sie diese Option aktivieren, werden automatisch die folgenden Funktionen aktiviert: Berechtigungssätze zuweisen, Interne Benutzerinnen und Benutzer verwalten, IP-Adressen verwalten, Login-Zugangsrichtlinien verwalten, Kennwortrichtlinien verwalten, Profile und Berechtigungssätze verwalten, Rollen verwalten, Freigaben verwalten, Benutzerpasswörter zurücksetzen und Benutzerinnen und Benutzer freischalten, Alle Benutzerinnen und Benutzer anzeigen, Rollen und Hierarchie anzeigen, Setup und Konfiguration anzeigen.
Weitere Informationen finden Sie in der Dokumentation Salesforce Erstellen oder Klonen von Profilen.
Hinweis
Weisen Sie die Berechtigungen direkt diesem Profil zu. Fügen Sie die Berechtigungen nicht über Berechtigungssätze hinzu.
Wichtig
Wenn Sie ein Salesforce.com Testkonto verwenden, können Sie die automatisierte Benutzerbereitstellung nicht konfigurieren. Testkonten verfügen nicht über den erforderlichen API-Zugriff, bis sie erworben wurden. Sie können diese Einschränkung umgehen, indem Sie ein kostenloses Entwicklerkonto verwenden, um diesen Artikel abzuschließen.
Wenn Sie eine Salesforce-Sandbox-Umgebung verwenden, lesen Sie den Artikel zur Salesforce-Sandbox-Integration.
Planen der Zuweisung von Benutzern zu Salesforce
Microsoft Entra ID verwendet ein Konzept namens "Aufgaben", um zu bestimmen, welche Benutzer Zugriff auf ausgewählte Apps erhalten sollen. Im Kontext der automatischen Bereitstellung von Benutzerkonten werden nur die Benutzer und Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID "zugewiesen" sind.
Bevor Sie den Bereitstellungsdienst konfigurieren und aktivieren, müssen Sie entscheiden, welche Benutzer oder Gruppen in Microsoft Entra ID Zugriff auf Ihre Salesforce-App benötigen.
Wichtige Tipps zum Zuweisen von Benutzern zu Salesforce
Es wird empfohlen, dass einem einzelnen Microsoft Entra Benutzer Salesforce zugewiesen ist, um die Bereitstellungskonfiguration zu testen. Weitere Benutzer und/oder Gruppen können später über die unter "Benutzer zuweisen" beschriebenen Mechanismen zugewiesen werden.
Wenn Sie einen Benutzer zu Salesforce zuweisen, müssen Sie eine gültige Benutzerrolle auswählen. Die Rolle „Standardzugriff“ ist für Bereitstellungen nicht geeignet. Beachten Sie, dass für einige Rollen möglicherweise eine Lizenzierung in Salesforce erforderlich ist.
Hinweis
Im Rahmen des Bereitstellungsprozesses importiert Microsoft Entra Profile aus Salesforce. Die Profile, die aus Salesforce importiert werden, werden in Microsoft Entra ID als Anwendungsrollen angezeigt, sodass Sie beim Zuweisen von Benutzern in Microsoft Entra ID auswählen können. Wenn Sie Einem benutzerdefinierten Profil Benutzer zuweisen möchten, warten Sie, bis Profile aus Salesforce importiert werden, bevor Sie Einer Anwendung Benutzer zuweisen. Beachten Sie, dass die Anwendungsrollen nicht manuell in Microsoft Entra ID bearbeitet werden sollten, wenn Rollenimporte ausgeführt werden.
Identifizieren vorhandener Benutzer in Salesforce
Vor der Integration mit Microsoft Entra verfügt Ihr Salesforce-Konto möglicherweise bereits über einen oder mehrere Benutzer, die von einem Salesforce-Administrator oder anderen Prozessen erstellt wurden. Sie haben zwei Möglichkeiten, um zu bestimmen, welche Benutzer bereits in Salesforce vorhanden sind.
Option 1 Mithilfe der Kontoermittlungsfunktionalität können Sie einen Bericht aller Benutzer in Salesforce generieren, ermitteln, welche Benutzer übereinstimmende Konten in Entra haben und welche Benutzer mit nur einem Klick in Salesforce lokal sind. Erfahren Sie hier mehr über die Kontoermittlungsfunktionalität.
Option 2 Mithilfe des Salesforce-Exportdatenfeatures können Sie ermitteln, welche Benutzer bereits vorhanden sind. Weitere Informationen finden Sie unter Exportieren von Sicherungsdaten aus Salesforce. Stellen Sie beim Exportieren aus Salesforce sicher, dass User die Daten im exportierten Dataset enthalten sind, und wählen Sie eine Exportdateicodierung aus, die alle Benutzernamen in der Organisation unterstützt, wie Unicode (UTF-8).
Nachdem Sie die exportierten Daten aus Salesforce exportiert haben, können Sie die datei User.csv extrahieren und in Excel oder in PowerShell öffnen, um die Liste der aktiven Benutzer anzuzeigen, die sich bereits in Salesforce befinden.
import-csv .\User.csv | where {$_.IsActive -eq '1'} | sort UserName | ft UserName
Aktivieren Sie die automatisierte Benutzerbereitstellung
Dieser Abschnitt führt Sie durch das Verbinden Ihrer Microsoft Entra ID mit Salesforces Benutzerkontobereitstellungs-API – v40.
Tipp
Sie können auch SAML-basiertes Single Sign-On für Salesforce aktivieren, indem Sie die Anweisungen im Azure-Portal befolgen. Einmaliges Anmelden kann unabhängig von der automatischen Bereitstellung konfiguriert werden, obwohl diese beiden Features einander ergänzen.
Konfigurieren der automatischen Bereitstellung von Benutzerkonten
Das Ziel dieses Abschnitts besteht darin, zu erläutern, wie Die Benutzerbereitstellung von Active Directory Benutzerkonten für Salesforce ermöglicht wird.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise apps.
Wenn Sie Salesforce für einmaliges Anmelden konfiguriert haben, suchen Sie über das Suchfeld nach Ihrer Salesforce-Instanz. Wählen Sie andernfalls Hinzufügen aus, und suchen Sie im Anwendungskatalog nach Salesforce. Wählen Sie „Salesforce“ in den Suchergebnissen aus, und fügen Sie die Anwendung Ihrer Anwendungsliste hinzu.
Wählen Sie Ihre Salesforce-Instanz aus, und wählen Sie dann die Registerkarte Bereitstellung aus.
Wählen Sie + Neue Konfiguration aus.
Geben Sie im Abschnitt Administratoranmeldeinformationen die folgenden Konfigurationseinstellungen an:
Geben Sie im Textfeld Administratorbenutzername den Namen eines Salesforce-Kontos ein, dem das Profil Systemadministrator in „Salesforce.com“ zugewiesen ist.
Geben Sie im Textfeld Administratorkennwort das Kennwort für dieses Konto ein.
Um Ihr Salesforce-Sicherheitstoken abzurufen, öffnen Sie eine neue Registerkarte, und melden Sie sich mit dem gleichen Salesforce-Administratorkonto an. Wählen Sie in der oberen rechten Ecke der Seite Ihren Namen und dann "Einstellungen" aus.
Wählen Sie im linken Navigationsbereich "Meine persönlichen Informationen " aus, um den zugehörigen Abschnitt zu erweitern, und wählen Sie dann "Mein Sicherheitstoken zurücksetzen" aus.
Wählen Sie auf der Seite " Sicherheitstoken zurücksetzen " die Schaltfläche " Sicherheitstoken zurücksetzen " aus.
Überprüfen Sie den E-Mail-Posteingang dieses Administratorkontos. Achten Sie auf eine E-Mail von Salesforce.com, die das neue Sicherheitstoken enthält.
Kopieren Sie das Token, wechseln Sie zu Ihrem Microsoft Entra Fenster, und fügen Sie es in das Feld Secret Token ein.
Die Mandanten-URL muss eingegeben werden, wenn sich die Instanz von Salesforce in der Salesforce Government Cloud befindet. Andernfalls ist sie optional. Geben Sie die Mandanten-URL im Format „
https://<your-instance>.my.salesforce.com“ ein. Ersetzen Sie dabei „<your-instance>“ durch den Namen Ihrer Salesforce-Instanz.Wählen Sie Test-Verbindung aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Ihrer Salesforce-App herstellen können.
Wählen Sie "Erstellen" aus, um Ihre Konfiguration zu erstellen.
Wählen Sie auf der Seite "Übersicht" die Option "Eigenschaften" aus.
Wählen Sie das Symbol "Bearbeiten" aus, um die Eigenschaften zu bearbeiten. Aktivieren Sie Benachrichtigungs-E-Mails, und stellen Sie eine E-Mail bereit, um Quarantäne-E-Mails zu empfangen. Aktivieren Sie die Verhinderung versehentlicher Löschungen. Um die Änderungen zu speichern, wählen Sie Übernehmen aus.
Wählen Sie im linken Bereich die Attributzuordnung aus, und wählen Sie Benutzer aus.
Wählen Sie " Identitäten ermitteln" in der Bereitstellungsübersicht aus, um Konten in Salesforce zu ermitteln . Diese Option ist nur für Organisationen mit Entra ID GovernanceLizenzen sichtbar.
Überprüfen Sie die Benutzerattribute, die von Microsoft Entra ID mit Salesforce synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Salesforce für Updatevorgänge verwendet werden. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.
Hinweis
Nachdem die Benutzer in der Salesforce-Anwendung bereitgestellt wurden, muss der Administrator die sprachspezifischen Einstellungen für diese Benutzer konfigurieren. Weitere Informationen zur Sprachkonfiguration finden Sie in diesem Artikel.
Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den folgenden Anweisungen im Bereichsfilterartikel.
Verwenden Sie die On-Demand-Bereitstellung , um die Synchronisierung mit einer kleinen Anzahl von Benutzern zu überprüfen, bevor Sie die Bereitstellung in Ihrer Organisation umfassender durchführen.
Wenn Sie bereit für die Bereitstellung sind, wählen Sie auf der Seite "Übersicht" die Option "Bereitstellung starten" aus.
Überwachung
Im Abschnitt Synchronisierungsdetails können Sie den Fortschritt überwachen und Links zu Protokollen zur Bereitstellungsaktivität aufrufen. Darin sind alle Aktionen aufgeführt, die vom Bereitstellungsdienst in Ihrer Salesforce-App ausgeführt werden.
Weitere Informationen zum Lesen der Microsoft Entra Bereitstellungsprotokolle finden Sie unter Reporting zur automatischen Bereitstellung von Benutzerkonten.
Benutzer zuweisen
Sobald die Tests abgeschlossen sind und ein Benutzer erfolgreich für Salesforce bereitgestellt wird, sollten Sie sicherstellen, dass allen anderen Benutzern, die Salesforce benötigen, die Anwendungsrollen zugewiesen sind. Dazu gehören alle Benutzer, die derzeit über aktive Konten in Salesforce verfügen, wie im Abschnitt "Identifizieren vorhandener Benutzer in Salesforce" beschrieben. Sie können diese und alle weiteren autorisierten Benutzer der Salesforce-Anwendung in Microsoft Entra zuweisen, indem Sie eine der hier aufgeführten Anweisungen befolgen:
- Sie können jedem einzelnen Benutzer die Anwendung zuweisen im Microsoft Entra Admin Center,
- Sie können der Anwendung einzelne Benutzer über Microsoft Graph oder das PowerShell-Cmdlet
New-MgServicePrincipalAppRoleAssignedTozuweisen oder - Wenn Ihre Organisation über eine Lizenz für Microsoft Entra ID Governance verfügt, können Sie auch Entitlement-Managementrichtlinien für die Automatisierung der Zugangszuweisung bereitstellen, um Zuweisungen hinzuzufügen oder zu entfernen, wenn Personen der Organisation beitreten, sie verlassen oder ihre Rollen ändern. Sie können ein Zugriffspaket für die Berechtigungsverwaltung für diese Anwendung erstellen. Sie können auch Richtlinien einrichten, dass Benutzer der Zugriff entweder auf Anforderung, von Administratoren, automatisch anhand von Regeln oder über Lebenszyklus-Workflows zugewiesen wird.
Wenn Benutzer, die der Anwendung zugewiesen sind, in Microsoft Entra ID aktualisiert werden, werden diese Änderungen automatisch an Salesforce bereitgestellt.
Häufige Probleme
- Wenn Sie Probleme beim Aktivieren der Bereitstellung für Salesforce haben, überprüfen Sie, dass Folgendes erfüllt ist:
- Die verwendeten Anmeldeinformationen bieten Administratorzugriff auf Salesforce.
- Die version von Salesforce, die Sie verwenden, unterstützt Web Access (z. B. Developer, Enterprise, Sandbox und Unlimited editions of Salesforce.)
- Der Web-API-Zugriff ist für den Benutzer aktiviert.
- Der Microsoft Entra Bereitstellungsdienst unterstützt die Bereitstellungssprache, das Gebietsschema und die Zeitzone für einen Benutzer. Diese Attribute befinden sich in den Standard-Attributzuordnungen, verfügen aber nicht über ein Standardquell-Attribut. Stellen Sie sicher, dass Sie das Standardquellattribut auswählen und dass das Quellattribut das Format hat, das von Salesforce erwartet wird. Beispielsweise hat „localeSidKey“ für „english(UnitedStates)“ den Wert „en_US“. Überprüfen Sie die hier bereitgestellte Anleitung, um das richtige localeSidKey-Format zu ermitteln. Die languageLocaleKey-Formate finden Sie hier. Zusätzlich zum richtigen Format müssen Sie möglicherweise auch sicherstellen, dass die Sprache für die Benutzer aktiviert ist, wie hier beschrieben.
- SalesforceLicenseLimitExceeded: Der Benutzer konnte in Salesforce nicht erstellt werden, weil keine Lizenzen für diesen Benutzer verfügbar sind. Erwerben Sie entweder zusätzliche Lizenzen für die Zielanwendung, oder überprüfen Sie Ihre Benutzerzuweisungen , um sicherzustellen, dass die richtigen Benutzer zugewiesen sind.
- SalesforceDuplicateUserName: Der Benutzer kann nicht bereitgestellt werden, da er einen Salesforce.com "Benutzername" aufweist, der in einem anderen Salesforce.com Mandanten dupliziert ist. In Salesforce.com müssen Werte für das Username-Attribut für alle Salesforce.com-Mandanten eindeutig sein. Standardmäßig wird der UserPrincipalName eines Benutzers in Microsoft Entra ID in Salesforce.com zu seinem "Benutzernamen". Sie haben zwei Möglichkeiten. Eine Möglichkeit besteht darin, den Benutzer mit dem doppelten „Username“ im anderen Salesforce.com-Mandanten zu suchen und umzubenennen, wenn Sie diesen anderen Mandanten ebenfalls verwalten. Die andere Option besteht darin, den Zugriff vom Microsoft Entra Benutzer auf den Salesforce.com Mandanten zu entfernen, mit dem Ihr Verzeichnis integriert ist. Dieser Vorgang wird beim nächsten Synchronisierungsversuch wiederholt.
- SalesforceRequiredFieldMissing: Für Salesforce müssen bestimmte Attribute des Benutzers vorhanden sein, damit der Benutzer erfolgreich erstellt oder aktualisiert werden kann. Für diesen Benutzer fehlt eines der erforderlichen Attribute. Stellen Sie sicher, dass Attribute wie „email“ und „alias“ für alle Benutzer aufgefüllt werden, die Sie in Salesforce bereitstellen möchten. Sie können Benutzer, für die diese Attribute nicht vorhanden sind, mithilfe attributbasierter Bereichsfilter ausschließen.
- Die Standardmäßige Attributzuordnung für die Bereitstellung zu Salesforce enthält den SingleAppRoleAssignments-Ausdruck, um appRoleAssignments in Microsoft Entra ID zu ProfileName in Salesforce zuzuordnen. Stellen Sie sicher, dass die Benutzer nicht über mehrere App-Rollenzuweisungen in Microsoft Entra ID verfügen, da die Attributzuordnung nur die Bereitstellung einer Rolle unterstützt. Wenn Sie über eine Gruppe von Benutzern verfügen, denen die Gruppe einer Rolle zugewiesen ist, kann ein Mitglied dieser Gruppe keine direkte Zuweisung zur Salesforce-Anwendung mit einer anderen Rolle haben.
- Salesforce erfordert, dass E-Mail-Updates manuell genehmigt werden, bevor sie geändert werden. Folglich werden möglicherweise mehrere Einträge in den Bereitstellungsprotokollen angezeigt, um die E-Mail des Benutzers zu aktualisieren (bis die E-Mail-Änderung genehmigt wurde).