Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El objetivo de este artículo es mostrar los pasos necesarios para realizar en Salesforce y Microsoft Entra ID para aprovisionar y desaprovisionar automáticamente cuentas de usuario de Microsoft Entra ID a Salesforce.
Requisitos previos
En el escenario descrito en este artículo se supone que ya tiene los siguientes elementos:
- Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
- Uno de los siguientes roles:
Un inquilino de Salesforce.com.
Un nombre de usuario y una contraseña de cuenta de Salesforce y el token. Consulte Configuración del aprovisionamiento automático de cuentas de usuario para obtener el token. En el futuro, si restablece la contraseña de la cuenta, Salesforce le proporciona un nuevo token y necesita editar la configuración de aprovisionamiento de Salesforce.
Un perfil de usuario personalizado en Salesforce para el usuario de integración. Una vez que haya creado un perfil personalizado en el portal de Salesforce, edite los permisos administrativos del perfil para habilitar lo siguiente:
API habilitada.
Administrar usuarios: habilitar esta opción habilita automáticamente lo siguiente: Asignar conjuntos de permisos, Administrar usuarios internos, Administrar direcciones IP, Administrar directivas de acceso de inicio de sesión, Administrar directivas de contraseña, Administrar perfiles y conjuntos de permisos, Administrar roles, Administrar uso compartido, Restablecer contraseñas de usuario y Desbloquear usuarios, Ver todos los usuarios, Ver roles y jerarquía, Ver configuración y configuración.
Vea también la documentación de Salesforce Crear o clonar perfiles.
Nota:
Asigne los permisos directamente a este perfil. No agregue los permisos a través de conjuntos de permisos.
Importante
Si usa una cuenta de prueba de Salesforce.com, no podrá configurar el aprovisionamiento automatizado de usuarios. Las cuentas de prueba no tienen habilitado el acceso de API necesario hasta que se compren. Puede solucionar esta limitación mediante una cuenta gratuita de desarrollador para completar este artículo.
Si usa un entorno de Salesforce Sandbox, consulte el artículo integración de Salesforce Sandbox.
Planear la asignación de usuarios a Salesforce
Microsoft Entra ID usa un concepto denominado "asignaciones" para determinar qué usuarios deben obtener acceso a determinadas aplicaciones. En el contexto del aprovisionamiento automático de cuentas de usuarios solo se sincronizan los usuarios o grupos que se "asignan" a una aplicación en Microsoft Entra ID.
Antes de configurar y habilitar el servicio de aprovisionamiento, debe decidir qué usuarios o grupos de Microsoft Entra ID necesitan acceder a la aplicación de Salesforce.
Sugerencias importantes para asignar usuarios a Salesforce
Se recomienda asignar un único usuario de Microsoft Entra a Salesforce para probar la configuración de aprovisionamiento. Más usuarios o grupos se pueden asignar más adelante a través de los mecanismos descritos en Asignar usuarios.
Al asignar a un usuario a Salesforce, debe seleccionar un rol de usuario válido. El rol "Acceso predeterminado" no funciona para realizar el aprovisionamiento. Tenga en cuenta que algunos roles pueden requerir licencias en Salesforce.
Nota:
Como parte del proceso de aprovisionamiento, Microsoft Entra importa perfiles de Salesforce. Los perfiles que se importan de Salesforce aparecen como roles de aplicación en Microsoft Entra ID, por lo que puede seleccionarlos al asignar usuarios en Microsoft Entra ID. Si desea asignar usuarios a un perfil personalizado, espere a que los perfiles se importen desde Salesforce antes de asignar usuarios a una aplicación. Tenga en cuenta que los roles de aplicación no deben editarse manualmente en el identificador de Entra de Microsoft al realizar importaciones de roles.
Identificación de los usuarios existentes en Salesforce
Antes de la integración con Microsoft Entra, es posible que la cuenta de Salesforce ya tenga uno o varios usuarios, creados por un administrador de Salesforce u otros procesos. Puede determinar qué usuarios ya están presentes mediante la característica de exportación de datos de Salesforce. Para obtener más información, consulte Exportación de datos de copia de seguridad desde Salesforce. Al exportar desde Salesforce, asegúrese de que los datos de User estén incluidos en el conjunto de datos exportado, y seleccione una codificación de archivo de exportación que permita el uso de todos los nombres de los usuarios de la organización, como Unicode (UTF-8).
Una vez que tenga los datos exportados de Salesforce, puede extraer el User.csv archivo y abrirlo en Excel, o en PowerShell, para ver la lista de usuarios activos que ya están en Salesforce.
import-csv .\User.csv | where {$_.IsActive -eq '1'} | sort UserName | ft UserName
Habilitación del aprovisionamiento automático de usuarios
Esta sección le guía a través de la conexión del identificador de Microsoft Entra a la API de aprovisionamiento de cuentas de usuario de Salesforce: v40.
Sugerencia
También puede decidir habilitar el inicio de sesión único basado en SAML para Salesforce siguiendo las instrucciones de Azure Portal. El inicio de sesión único puede configurarse independientemente del aprovisionamiento automático, aunque estas dos características se complementan entre sí.
Configurar el aprovisionamiento automático de cuentas de usuario
El objetivo de esta sección es describir cómo habilitar el aprovisionamiento de cuentas de usuario de Active Directory para Salesforce.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Navegue a Entra ID>Aplicaciones empresariales.
Si ha configurado Salesforce para el inicio de sesión único, busque la instancia de Salesforce mediante el campo de búsqueda. En caso contrario, seleccione Agregar y busque Salesforce en la galería de aplicaciones. Seleccione Salesforce en los resultados de búsqueda y agréguelo a la lista de aplicaciones.
Seleccione la instancia de Salesforce y, después, seleccione la pestaña Aprovisionamiento.
Establezca el modo de aprovisionamiento en Automático.
En la sección Credenciales de administrador, proporcione los siguientes valores de configuración:
Como nombre de usuario del administrador, escriba un nombre de cuenta de espacio de Salesforce que tenga asignado el perfil Administrador del sistema en Salesforce.com.
En el cuadro de texto Contraseña de administrador, escriba la contraseña de esta cuenta.
Para obtener el token de seguridad de Salesforce, abra una nueva pestaña e inicie sesión en la misma cuenta de administrador de Salesforce. En la esquina superior derecha de la página, seleccione el nombre y, a continuación, seleccione Configuración.
En el panel de navegación izquierdo, seleccione Mi información personal para expandir la sección relacionada y, a continuación, seleccione Restablecer mi token de seguridad.
En la página Restablecer token de seguridad , seleccione el botón Restablecer token de seguridad .
Compruebe la bandeja de entrada de correo electrónico asociada a esta cuenta de administrador. Busque un correo electrónico de Salesforce.com que contenga el nuevo token de seguridad.
Copie el token, vaya a la ventana de Microsoft Entra y péguelo en el campo Token secreto.
Si la instancia de Salesforce está en la nube de administración pública de Salesforce, es obligatorio especificar un valor en URL de inquilino. De lo contrario, es opcional. Escriba la dirección URL del inquilino con el formato de,
https://<your-instance>.my.salesforce.comreemplazando<your-instance>por el nombre de la instancia de Salesforce.Seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse a la aplicación Salesforce.
Escriba la dirección de correo electrónico de una persona o grupo que debe recibir las notificaciones de error aprovisionamiento en el campo Correo electrónico de notificación y active la casilla que aparece a continuación.
Seleccione Guardar.
En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con Salesforce.
En la sección Asignaciones de atributos, revise los atributos de usuario de Microsoft Entra ID que se sincronizan con Salesforce. Tenga en cuenta que los atributos seleccionados como propiedades de Coincidencia se usarán para buscar coincidencias con las cuentas de usuario de Salesforce con el objetivo de realizar operaciones de actualización. Seleccione el botón Guardar para confirmar los cambios.
Para habilitar el servicio de aprovisionamiento de Microsoft Entra para Salesforce, cambie el Estado de aprovisionamiento a Activado en la sección Configuración
Seleccione Guardar.
Nota:
Una vez que los usuarios están aprovisionados en la aplicación Salesforce, el administrador debe configurar los valores específicos del idioma para ellos. Consulte este artículo para obtener más detalles sobre la configuración del idioma.
Esta acción inicia la sincronización inicial de todos los usuarios y grupos asignados a Salesforce en la sección Usuarios y grupos. La sincronización inicial tarda más tiempo en realizarse que las posteriores, que se producen aproximadamente cada 40 minutos si se está ejecutando el servicio.
Monitorización
Puede usar la sección Detalles de sincronización para supervisar el progreso y seguir los vínculos a los registros de actividad de aprovisionamiento, donde se describen todas las acciones que ha llevado a cabo el servicio de aprovisionamiento en la aplicación de Salesforce.
Para más información sobre cómo leer los registros de aprovisionamiento de Microsoft Entra, consulte Creación de informes sobre el aprovisionamiento automático de cuentas de usuario.
Asignar usuarios
Una vez completada la prueba y un usuario se aprovisiona correctamente en Salesforce, querrá asegurarse de que los demás usuarios que necesiten Salesforce estén asignados a los roles de aplicación. Esto incluye a los usuarios que actualmente tienen cuentas activas en Salesforce, como se describe en la sección Identificación de usuarios existentes en Salesforce. Puede asignarlos y cualquier usuario autorizado adicional a la aplicación Salesforce en Microsoft Entra siguiendo una de las instrucciones que se indican aquí:
- Puede asignar cada usuario individual a la aplicación en el Centro de administración de Microsoft Entra,
- Puede asignar usuarios individuales a la aplicación a través de Microsoft Graph o el cmdlet
New-MgServicePrincipalAppRoleAssignedTode PowerShell , o - Si su organización tiene una licencia para la gobernanza de identificadores de Entra de Microsoft, también puede implementar directivas de administración de derechos para automatizar la asignación de acceso, agregar o quitar asignaciones a medida que las personas se unan a la organización o dejar o cambiar roles. Puede crear un paquete de acceso de administración de derechos para esta aplicación. Puede tener directivas para asignar acceso a los usuarios, ya sea cuando lo soliciten, un administrador lo haga, automáticamente basándose en reglas, o mediante flujos de trabajo de gestión de ciclo de vida.
Cuando los usuarios asignados a la aplicación se actualizan en Microsoft Entra ID, esos cambios se aprovisionan automáticamente a Salesforce.
Problemas comunes
- Si tiene problemas para habilitar el aprovisionamiento en Salesforce, asegúrese de lo siguiente:
- Las credenciales usadas tienen acceso de administrador a Salesforce.
- La versión de Salesforce que usa admite Web Access (por ejemplo, las ediciones Developer, Enterprise, Sandbox y Unlimited de Salesforce).
- El acceso a la API web está habilitado para el usuario.
- El servicio de aprovisionamiento de Microsoft Entra admite el idioma de aprovisionamiento, la configuración regional y la zona horaria para un usuario. Estos atributos se encuentran en las asignaciones de atributos predeterminadas, pero no tienen un atributo de origen predeterminado. Asegúrese de seleccionar el atributo de origen predeterminado y de que el atributo de origen esté en el formato esperado por SalesForce. Por ejemplo, localeSidKey para inglés (Estados Unidos) es en_US. Revise la guía proporcionada aquí para determinar el formato apropiado de localeSidKey. Los formatos de languageLocaleKey se pueden encontrar aquí. Además de garantizar que el formato sea correcto, es posible que deba asegurarse de que el idioma esté habilitado para sus usuarios como se describe aquí .
- SalesforceLicenseLimitExceeded: No se pudo crear el usuario en Salesforce porque no hay licencias disponibles para este usuario. Adquiera licencias adicionales para la aplicación de destino o revise las asignaciones de usuario para asegurarse de que se asignan los usuarios correctos.
- SalesforceDuplicateUserName: El usuario no se puede aprovisionar porque posee un "Nombre de usuario" duplicado en otra instancia de Salesforce.com. En Salesforce.com, los valores del atributo 'Nombre de usuario' deben ser únicos en todos los inquilinos de Salesforce.com. De forma predeterminada, el valor de userPrincipalName de un usuario en Microsoft Entra ID se convierte en su 'Nombre de usuario' en Salesforce.com. Tiene dos opciones. Una opción es buscar y cambiar el nombre del usuario con el duplicado 'Nombre de usuario' en el otro inquilino de Salesforce.com, si también administra ese otro inquilino. La otra opción es eliminar el acceso del usuario de Microsoft Entra al inquilino de Salesforce.com con el que está integrado su directorio. Se volverá a intentar esta operación en el siguiente intento de sincronización.
- SalesforceRequiredFieldMissing: Salesforce requiere que ciertos atributos estén presentes en el usuario para crear o actualizar el usuario correctamente. A este usuario le falta uno de los atributos requeridos. Asegúrese de que atributos como correo electrónico y alias se llenen en todos los usuarios que quiera que se aprovisionen en Salesforce. Puede buscar usuarios que no tengan estos atributos mediante filtros de alcance basados en atributos.
- La asignación de atributos predeterminada para el aprovisionamiento en Salesforce incluye la expresión SingleAppRoleAssignments para asignar appRoleAssignments en Microsoft Entra ID a ProfileName en Salesforce. Asegúrese de que los usuarios no tienen varias asignaciones de roles de aplicación en Microsoft Entra ID, ya que la asignación de atributos solo admite el aprovisionamiento de un rol. Si tiene un grupo de usuarios en el que el grupo está asignado a un rol, un miembro de ese grupo no puede tener una asignación directa a la aplicación Salesforce con un rol diferente.
- Salesforce requiere que las actualizaciones de correo electrónico se aprueben manualmente antes del cambio. Por tanto, es posible que vea varias entradas en los registros de aprovisionamiento para actualizar el correo electrónico del usuario (hasta que se haya aprobado el cambio de correo electrónico).