Salesforce verbinden

Auf dieser Seite wird beschrieben, wie Sie Salesforce mit Gemini Enterprise verbinden.

Wir empfehlen, den Salesforce V2-Connector (empfohlen) zu verwenden, um Salesforce-Daten in Gemini Enterprise aufzunehmen. Der vorhandene Salesforce-Connector wird eingestellt. Wenn Sie einen vorhandenen Datenspeicher mit dem Salesforce-Connector verwenden, erstellen Sie einen neuen Datenspeicher mit dem Salesforce V2-Connector.

Salesforce V2 verbinden (empfohlen)

Unterstützte Versionen

Der Salesforce V2-Connector unterstützt die SOAP API-Version 30.0 oder höher.

Vorbereitung

Führen Sie vor dem Einrichten der Verbindung folgende Schritte aus:

1. Sie benötigen entweder ein Salesforce Enterprise- oder ein Salesforce Developer-Abo. Testkonten werden nicht unterstützt.

2. Konfigurieren Sie Salesforce für die Verbindung mithilfe Ihres gewünschten Authentifizierungstyps. Folgende Authentifizierungstypen werden unterstützt:

   • Nutzername und Passwort

   • OAuth 2.0 – JWT-Inhaber

   • OAuth 2.0 – Clientanmeldedaten

Dienstanhang generieren

So generieren Sie einen Dienstanhang:

• Für einen öffentlichen Endpunkt: Ist der Zieltyp des Salesforce-Rechenzentrums Öffentlich, ist für den Dienstanhang keine gesonderte Einrichtung erforderlich. Stattdessen können Sie Ihre öffentliche URL im Feld Domain-URL der Google Cloud Console verwenden.

• Für einen privaten Endpunkt:

  1. Verwenden Sie PSC, um Verbindungen von privaten Instanzen zu Google Cloudzu ermöglichen.
  2. Erstellen Sie ein Virtual Private Cloud-Netzwerk und die erforderlichen Subnetze.
  3. Erstellen Sie eine VM-Instanz und installieren Sie den Backend-Dienst.
  4. Optional: Richten Sie eine Systemdiagnose ein, um den Zustand des Backends zu überwachen.
  5. Fügen Sie einen Load Balancer hinzu, um Traffic an die VM oder das Backend weiterzuleiten.
  6. Definieren Sie Firewallregeln, um Traffic zwischen dem PSC-Endpunkt und dem Backend zuzulassen.
  7. Veröffentlichen Sie den Endpunkt, indem Sie einen PSC-Dienstanhang erstellen.

Salesforce für Verbindung konfigurieren

Wenn Sie eine Salesforce-Datenquelle mit Gemini Enterprise verbinden möchten, sind bestimmte Konfigurationen in Salesforce erforderlich. Diese Konfigurationen variieren je nach gewähltem Authentifizierungstyp.

Authentifizierung mit Nutzername und Passwort einrichten

Verwenden Sie für die Authentifizierung mit Nutzername und Passwort ein vorhandenes Sicherheitstoken oder setzen Sie das Sicherheitstoken zurück, um sich ein neues an Ihre registrierte E-Mail-Adresse senden zu lassen.

So setzen Sie Ihr Sicherheitstoken zurück:

1. Klicken Sie auf Ihr Profilsymbol und wählen Sie die Einstellungen aus.

   

2. Gehen Sie zum Tab Reset my security token (Mein Sicherheitstoken zurücksetzen) und klicken Sie auf Reset security token (Sicherheitstoken zurücksetzen).

   

   Salesforce sendet das neue Sicherheitstoken an Ihre registrierte E‑Mail-Adresse.

Authentifizierung des Typs „OAuth 2.0 – JWT Inhaber“ einrichten

Sie müssen Gemini Enterprise in Salesforce für die API-Einbindung als externe Client-App (verbundene App) einrichten.

Nachdem Sie Gemini Enterprise als externe Client-App (verbundene App) eingerichtet haben, können Sie die folgenden Authentifizierungsinformationen abrufen, die zum Erstellen eines Salesforce-Connectors in Gemini Enterprise erforderlich sind.

• Kundenschlüssel
• Öffentlicher Schlüssel
• Nutzername (vorab für die Nutzung der Anwendung autorisiert)

Privaten Schlüssel und öffentliches Zertifikat generieren

1. Führen Sie folgenden OpenSSL-Befehl aus, um einen privaten RSA-Schlüssel mit 2.048 Bit zu generieren.

   openssl genrsa -out server.key 2048

   Mit diesem Befehl wird eine Datei mit dem Namen server.key erstellt, die Ihren privaten Schlüssel enthält. Bewahren Sie diese Datei sicher und unter Wahrung der Vertraulichkeit auf.

2. Führen Sie den folgenden OpenSSL-Befehl aus, um mit dem privaten Schlüssel ein selbst signiertes öffentliches Zertifikat zu generieren.

   openssl req -new -x509 -sha256 -days 3650 -key server.key -out server.crt

   Mit diesem Befehl wird eine Datei mit dem Namen server.crt generiert, die Ihr öffentliches Zertifikat darstellt. Sie können dieses Zertifikat während der Konfiguration der externen Client-App (verbundene App) in Salesforce hochladen.

Externe Client-App in Salesforce erstellen und konfigurieren

1. Klicken Sie in Ihrer Salesforce-App auf das Symbol für die Einrichtung und wählen Sie dann Setup (Einrichtung) aus.

   

2. Geben Sie Apps in das Feld für die Schnellsuche ein und wählen Sie App manager (App-Manager) aus.

3. Wählen Sie New external client app (Neue externe Client-App) aus.

   

4. Geben Sie die erforderlichen grundlegenden Informationen für Ihre externe Client-App (verbundene App) ein, z. B. External client app name (Name der externen Client-App), API name (API-Name) und Contact email (Kontakt-E-Mail-Adresse).

5. Konfigurieren Sie im Bereich API (Enable OAuth settings) (API (OAuth-Einstellungen aktivieren)) die folgenden OAuth-Einstellungen. Weitere Informationen finden Sie unter Enable OAuth Settings for API Integration.

   1. Markieren Sie das Kästchen Enable OAuth (OAuth aktivieren).
   2. Geben Sie https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html für Callback URL (Callback URL) ein.
   3. Fügen Sie im Abschnitt Selected OAuth scopes (Ausgewählte OAuth-Bereiche) die folgenden Bereiche hinzu: Full access (full) (Vollzugriff (full)), Manage user data via APIs (api) (Nutzerdaten über APIs verwalten (api)) und Perform requests at any time (refresh_token, offline_access) (Jederzeit Anfragen ausführen (refresh_token, offline_access)). Weitere Informationen finden Sie unter OAuth Tokens and Scopes.

   4. Im Bereich „Flow Enablement“ (Ablaufaktivierung):

   5. Markieren Sie das Kästchen Enable JWT Bearer Flow (JWT-Inhaberablauf aktivieren).

   6. Laden Sie das öffentliche Zertifikat hoch, das Sie unter Privaten Schlüssel und öffentliches Zertifikat generieren erstellt haben.

      

   7. Klicken Sie auf Create (Erstellen).

Zugriff durch externe Client-Apps vorab autorisieren

Nachdem Sie die externe Client-App erstellt haben, müssen Sie bestimmten Nutzern oder Berechtigungssätzen explizit die Berechtigung zum Zugriff auf diese erteilen.

1. Geben Sie External client app in das Feld für die Schnellsuche ein und wählen Sie External client app manager (Manager für externe Client-Apps) aus.
2. Suchen und öffnen Sie die externe Client-App, die Sie zuvor erstellt haben.
3. Klicken Sie auf dem Tab Policies (Richtlinien) auf Edit (Bearbeiten), um die App-Details anzupassen.

4. Führen Sie im Bereich OAuth Policies (OAuth-Richtlinien) folgende Schritte aus:

   1. Wählen Sie im Feld Permitted users (Berechtigte Nutzer) die Option Admin approved users are pre-authorized (Vom Administrator genehmigte Nutzer sind vorautorisiert) aus.
   2. Wählen Sie im Feld Refresh Token Policy (Richtlinie für Aktualisierungstoken) die Option Refresh token is valid until revoked (Aktualisierungstoken ist bis zum Widerruf gültig) aus.
   3. Wählen Sie im Feld IP Relaxation (IP-Lockerung) die Option Relax IP restrictions (IP-Einschränkungen lockern) aus.

      

   Mit der Funktion „IP Relaxation“ (IP-Lockerung) wird gesteuert, ob externe Clientanwendungen (verbundene Apps) durch definierte IP-Adressbereiche eingeschränkt werden. IP-Einschränkungen werden auf Grundlage der Einstellungen des Nutzerprofils erzwungen. Sie müssen prüfen, ob in den Nutzereinstellungen ein organisationsweiter IP-Bereich erzwungen wird. Ist Enforce login IP ranges on every request (IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen) aktiviert, werden die vorhandenen IP-Einschränkungen durch die Festlegung von IP Relaxation (IP-Lockerung) auf Relax IP restrictions (IP-Einschränkungen lockern) nicht überschrieben. Weitere Informationen finden Sie unter IP-Connected App IP Relaxation and Continuous IP Enforcement.

   • Wenn Sie IP-Einschränkungen in der externen Client-App (verbundene App) erzwingen möchten, richten Sie eine vertrauenswürdige IP-Adresse ein. Weitere Informationen finden Sie unter Configure Trusted IP Ranges for a Connected App.
   • Wenn Sie keine Einschränkungen für den IP-Zugriff haben möchten, darf Enforce login IP ranges on every request (IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen) nicht ausgewählt sein.

5. Wählen Sie im Bereich App Policies (App-Richtlinien) die Profile und Berechtigungssätze aus, für die dieser Authentifizierungstyp autorisiert werden muss.

   

6. Klicken Sie auf Save (Speichern).

7. Gehen Sie zum Tab Settings (Einstellungen).

8. Klicken Sie im Bereich OAuth Settings (OAuth-Einstellungen) auf Consumer Key and Secret (Consumer-Key und ‑Secret) und kopieren Sie Consumer key und Consumer secret.

OAuth 2.0-Einrichtung – Authentifizierung mit Clientanmeldedaten

Sie müssen Gemini Enterprise in Salesforce für die API-Einbindung als externe Client-App (verbundene App) einrichten.

Nachdem Sie Gemini Enterprise als externe Client-App (verbundene App) eingerichtet haben, können Sie die folgenden Authentifizierungsinformationen abrufen, die zum Erstellen eines Salesforce-Connectors in Gemini Enterprise erforderlich sind.

• Nutzer-ID oder Client-ID
• Consumer-Secret oder Clientschlüssel

Externe Client-App erstellen und konfigurieren

1. Klicken Sie in Ihrer Salesforce-App auf das Symbol für die Einrichtung und wählen Sie dann Setup (Einrichtung) aus.

2. Geben Sie Apps in das Feld für die Schnellsuche ein und wählen Sie App manager (App-Manager) aus.

3. Wählen Sie New external client app (Neue externe Client-App) aus.

4. Geben Sie die erforderlichen grundlegenden Informationen für Ihre externe Client-App (verbundene App) ein, z. B. External client app name (Name der externen Client-App), API name (API-Name) und Contact email (Kontakt-E-Mail-Adresse).

5. Konfigurieren Sie im Bereich API (Enable OAuth settings) (API (OAuth-Einstellungen aktivieren)) die folgenden OAuth-Einstellungen. Weitere Informationen finden Sie unter Enable OAuth Settings for API Integration.

   1. Markieren Sie das Kästchen Enable OAuth (OAuth aktivieren).
   2. Geben Sie https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html für Callback URL (Callback URL) ein.
   3. Wählen Sie im Abschnitt Selected OAuth scopes (Ausgewählte OAuth-Bereiche) die folgenden Bereiche aus: Full access (full) (Vollzugriff (full)), Manage user data via APIs (api) (Nutzerdaten über APIs verwalten (api)) und Perform requests at any time (refresh_token, offline_access) (Jederzeit Anfragen ausführen (refresh_token, offline_access)). Weitere Informationen finden Sie unter OAuth Tokens and Scopes.
   4. Markieren Sie im Bereich „Flow Enablement“ (Ablaufaktivierung) das Kästchen Enable Client Credentials Flow (Ablauf für Clientanmeldedaten aktivieren).

      

6. Klicken Sie auf Create (Erstellen).

Zugriff durch externe Client-Apps vorab autorisieren

Nachdem Sie die externe Client-App erstellt haben, müssen Sie bestimmten Nutzern oder Berechtigungssätzen explizit die Berechtigung zum Zugriff auf diese erteilen.

1. Geben Sie External client app in das Feld für die Schnellsuche ein und wählen Sie External client app manager (Manager für externe Client-Apps) aus.
2. Klicken Sie auf den Namen der externen Client-App, die Sie erstellt haben.
3. Klicken Sie auf dem Tab Policies (Richtlinien) auf Edit (Bearbeiten), um die App-Details anzupassen.

4. Führen Sie im Bereich OAuth Policies (OAuth-Richtlinien) folgende Schritte aus:

   1. Wählen Sie im Feld Permitted users (Berechtigte Nutzer) die Option Admin approved users are pre-authorized (Vom Administrator genehmigte Nutzer sind vorautorisiert) aus.

   2. Im Bereich OAuth Flow and External Client App Enhancement (OAuth-Ablauf und externe Client-App-Erweiterung):

      1. Markieren Sie das Kästchen Enable Client Credentials Flow (Ablauf für Clientanmeldedaten aktivieren).
      2. Geben Sie die E‑Mail-ID des Nutzers ein.

   3. Wählen Sie im Feld Refresh Token Policy (Richtlinie für Aktualisierungstoken) die Option Refresh token is valid until revoked (Aktualisierungstoken ist bis zum Widerruf gültig) aus.

   4. Wählen Sie im Feld IP Relaxation (IP-Lockerung) die Option Relax IP restrictions (IP-Einschränkungen lockern) aus.

      

   Mit der Funktion „IP Relaxation“ (IP-Lockerung) wird gesteuert, ob externe Clientanwendungen (verbundene Apps) durch definierte IP-Adressbereiche eingeschränkt werden. IP-Einschränkungen werden auf Grundlage der Einstellungen des Nutzerprofils erzwungen. Sie müssen prüfen, ob in den Nutzereinstellungen ein organisationsweiter IP-Bereich erzwungen wird. Ist Enforce login IP ranges on every request (IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen) aktiviert, werden die vorhandenen IP-Einschränkungen durch die Festlegung von IP Relaxation (IP-Lockerung) auf Relax IP restrictions (IP-Einschränkungen lockern) nicht überschrieben. Weitere Informationen finden Sie unter IP-Connected App IP Relaxation and Continuous IP Enforcement.

   • Wenn Sie IP-Einschränkungen in der externen Client-App (verbundene App) erzwingen möchten, richten Sie eine vertrauenswürdige IP-Adresse ein. Weitere Informationen finden Sie unter Configure Trusted IP Ranges for a Connected App.
   • Wenn Sie keine Einschränkungen für den IP-Zugriff haben möchten, darf Enforce login IP ranges on every request (IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen) nicht ausgewählt sein.

5. Wählen Sie im Bereich App Policies (App-Richtlinien) die Profile und Berechtigungssätze aus, für die dieser Authentifizierungstyp autorisiert werden muss.

   

6. Klicken Sie auf Save (Speichern).

7. Gehen Sie zum Tab Settings (Einstellungen).

8. Klicken Sie im Bereich OAuth Settings (OAuth-Einstellungen) auf Consumer Key and Secret (Consumer-Key und ‑Secret) und kopieren Sie Consumer key und Consumer secret.

Anmelde-URL abrufen

So rufen Sie die Anmelde-URL für Ihre Salesforce-Instanz ab:

1. Geben Sie My domain in das Feld für die Schnellsuche ein und wählen Sie My domain (Meine Domain) aus.
2. Kopieren Sie die Domain, die auf my.salesforce.com endet.
3. Fügen Sie https:// am Anfang der kopierten Domain hinzu. Dies ist die Instanz-URL, die Sie benötigen, wenn Sie den Salesforce-Connector in Gemini Enterprise erstellen. Die Instanz-URL muss das folgende Format haben: https://DOMAIN_NAME.my.salesforce.com.

Mindestberechtigungen für Nutzer konfigurieren

So prüfen Sie, ob der den Connector konfigurierende Nutzer die erforderlichen Mindestberechtigungen zum Abrufen von Daten hat:

1. Geben Sie Profiles in das Feld für die Schnellsuche ein und wählen Sie Profiles (Profile) aus.
2. Wählen Sie das Nutzerprofil aus, unter dem der Connector ausgeführt wird.
3. Gehen Sie zum Bereich Standard object permissions (Standardberechtigungen für Objekte) und überprüfen Sie die Berechtigungen.

Überprüfen Sie, ob der ausgewählte Nutzer Zugriff auf die Berechtigungen hat. Dieser Vorgang muss für jede aufzunehmende Entität wiederholt werden. Dazu müssen Sie prüfen, ob der Standardzugriff auf der Profilebene des Nutzers auf Private festgelegt ist. Wenn der Zugriff einer Entität auf Private festgelegt ist, kann Ihr Google Cloud -Connector nicht auf das erforderliche Objekt zugreifen und registriert einen Fehler in Cloud Logging. So gewähren Sie Zugriff:

1. Berechtigungssatz erstellen und für den Nutzer freigeben:

   1. Geben Sie Permission sets in das Feld für die Schnellsuche ein und wählen Sie Permission Sets (Berechtigungssätze) aus.

   2. Klicken Sie auf New (Neu).

   3. Geben Sie einen Namen ein und speichern Sie den Berechtigungssatz.

   4. Öffnen Sie den erstellten Berechtigungssatz und rufen Sie den Bereich Apps auf.

   5. Wählen Sie Object Settings (Objekteinstellungen) aus.

   6. Markieren Sie das Kästchen View All Records (Alle Einträge ansehen).

   7. Gewähren Sie im Bereich Field Permissions (Feldberechtigungen) Lesezugriff auf alle Felder, die Sie synchronisieren möchten.

      

   8. Speichern Sie die Einstellungen und kehren Sie zurück.

   9. Wählen Sie im Bereich System die Option System Permissions (Systemberechtigungen) aus.

   10. Aktivieren Sie folgende Mindestberechtigungen:

       • API enabled

       • View all users

       • View roles and role hierarchy

       • View setup and configuration

2. Nutzer dem Berechtigungssatz hinzufügen:

   1. Geben Sie Users in das Feld für die Schnellsuche ein und wählen Sie Users (Nutzer) aus.

   2. Wählen Sie den Nutzer aus.

   3. Wählen Sie im Bereich Permission Set Assignments (Zuweisungen des Berechtigungssatzes) die Option Edit assignments (Zuweisungen bearbeiten) aus.

   4. Fügen Sie den neu erstellten Berechtigungssatz dem Bereich Enabled permission sets (Aktivierte Berechtigungssätze) hinzu.

Weitere Informationen finden Sie unter Data access in Salesforce und Organization-Wide Sharing Defaults.

Salesforce V2-Datenspeicher erstellen

OAuth-verbundene App installieren

Wenn Sie die OAuth-Authentifizierung verwenden, müssen Sie die externe Client-App installieren, die Sie im Bereich Verbundene App in Salesforce erstellen und konfigurieren erstellt haben. Rufen Sie in Ihrem Salesforce-Konto die Seite Connected Apps OAuth Usage (OAuth-Nutzung verbundener Apps) auf und installieren Sie die App. Weitere Informationen finden Sie unter Connected App Usage Restrictions Change.

Ratenlimits

Das standardmäßige Ratenlimit für den Salesforce-Connector beträgt 5 Anfragen pro Sekunde.

Fehlermeldungen

In der folgenden Tabelle sind die Fehlermeldungen aufgeführt, die beim Verwenden des Salesforce-Connectors angezeigt werden können:

Fehlermeldung	Beschreibung	Problembehebung
Die Initialisierung des Connectors ist aufgrund eines Pipelinefehlers fehlgeschlagen. Löschen Sie den Connector und versuchen Sie noch einmal, ihn zu erstellen.	Der Connector konnte aufgrund eines Pipelinefehlers nicht initialisiert werden. Dies ist auf einen internen Dienstfehler zurückzuführen.	Löschen Sie den vorhandenen Connector und erstellen Sie ihn neu.
Der Connector ist gesperrt, weil das Projekt dem VPC-SC-Perimeter hinzugefügt wurde. Erstellen Sie den Datenspeicher neu.	Nachdem der Datenspeicher erstellt wurde, wurde dieses Projekt dem VPC Service Controls-Perimeter hinzugefügt.	Löschen Sie den vorhandenen Datenspeicher und erstellen Sie ihn neu. So wird sichergestellt, dass der Datenspeicher für den Betrieb innerhalb des VPC Service Controls-Perimeters korrekt konfiguriert ist.
Die Verbindung ist nicht aktiv. Verbindungsstatus „FEHLER“ und Beschreibung: Fehler beim Abrufen von OAuth-Tokeninformationen. [INVALID_GRANT] Es sind keine Clientanmeldedaten für den Nutzer aktiviert.	Bei der Authentifizierung mit JWT-Clientanmeldedaten ist die Verbindung nicht aktiv, da das OAuth-Token nicht abgerufen werden kann.	Rufen Sie in der Salesforce-Instanz die externe Client-App auf und suchen Sie nach der Client-App, die für den Datenspeicher verwendet wird. Fügen Sie im Bereich Client credentials flow (Ablauf für Clientanmeldedaten) die E‑Mail-Adresse eines Nutzers mit den erforderlichen Berechtigungen in das Feld Run as user (Als Nutzer ausführen) ein. Klicken Sie auf „Save“ (Speichern). Löschen Sie den Datenspeicher in der Google Cloud Console und erstellen Sie ihn dann neu.
Die Verbindung ist nicht aktiv. Verbindungsstatus „FEHLER“ und Beschreibung: INVALID_LOGIN: Ungültiger Nutzername, ungültiges Passwort, ungültiges Sicherheitstoken oder Nutzer gesperrt.	Die Verbindung ist aufgrund nicht korrekter Anmeldedaten fehlgeschlagen. Die Verbindung ist aufgrund eines ungültigen Nutzernamens, Passworts oder Sicherheitstokens nicht aktiv.	Prüfen Sie, ob Nutzername und Passwort korrekt sind. Der Nutzername ist in der Regel eine E‑Mail-Adresse, z. B. nutzer@beispiel.de. Prüfen Sie, ob das Sicherheitstoken korrekt und aktuell ist. Jedes Mal, wenn Sie Ihr Passwort zurücksetzen, wird Ihr Sicherheitstoken ungültig. Wenn Ihr Sicherheitstoken ungültig ist, können Sie es zurücksetzen.
Die Verbindung ist nicht aktiv. Verbindungsstatus „FEHLER“ und Beschreibung: Fehler beim Abrufen von OAuth-Tokeninformationen. [INVALID_GRANT] Die Zielgruppe ist ungültig.	Die Verbindung ist fehlgeschlagen, weil beim Abrufen des OAuth-Tokens für die JWT-Authentifizierung eine ungültige Zielgruppe zurückgegeben wurde. Das liegt wahrscheinlich an nicht korrekten Nutzeranmeldedaten.	Prüfen Sie, ob Nutzername und Passwort korrekt sind. Der Nutzername ist in der Regel eine E‑Mail-Adresse, z. B. nutzer@beispiel.de.
[INVALID_SESSION_ID] Ungültige oder abgelaufene Sitzung. Versuchen Sie erneut, eine Verbindung herzustellen. Besteht das Problem weiterhin, kann das folgende Gründe haben: A) Sie haben die Sitzungslimits für diesen Nutzer überschritten. B) Möglicherweise ist für Ihr Konto die Multi-Faktor-Authentifizierung erforderlich. C) „Lock sessions to the IP they are generated from“ (Sitzungen an die IP-Adresse binden, von der sie generiert werden) ist in den Salesforce-Sicherheitseinstellungen aktiviert und Ihre IP-Adresse ändert sich zwischen Anfragen.	Die Sitzung ist nicht mehr gültig. Das kann passieren, wenn Sie die Sitzungslimits überschritten haben oder für Ihr Konto eine Multi-Faktor-Authentifizierung (MFA) erforderlich ist. Der Fehler kann auch auftreten, wenn eine Sicherheitseinstellung aktiviert ist, die Ihre Sitzung an eine bestimmte IP-Adresse bindet und sich Ihre IP-Adresse geändert hat.	Rufen Sie die Salesforce-Einstellungen auf und prüfen Sie, ob Lock sessions to the IP address from which they originated (Sitzungen an die IP-Adresse binden, von der sie stammen) auf Off (Aus) eingestellt ist. Prüfen Sie in den Profileinstellungen des Nutzers, ob Session Security Level Required at Login (Bei Anmeldung erforderliche Sitzungssicherheitsstufe) auf None (Keine) festgelegt ist.

Bekannte Einschränkungen

• Kategoriebasierte Zugriffssteuerungslisten für Versionen von Wissensartikeln werden nicht unterstützt.

• Aufgaben sind nur für Nutzer mit der Berechtigung Alle Daten anzeigen, für Aufgabeninhaber und für Nutzer mit Zugriff über die Hierarchie sichtbar.

• Wenn Sie einem VPC Service Controls-Perimeter (VPC-SC) ein Projekt hinzufügen, nachdem Sie eine Verbindung erstellt haben, schlägt die Connector-Synchronisierung fehl.

• Wenn Sie Entitäten manuell hinzufügen, werden nur Salesforce-Objekte vom Typ Custom Object__c unterstützt. Das sind benutzerdefinierte Objekte, deren Variablennamen auf „__c“ enden.

Salesforce verbinden (V1)

Vorbereitung

Führen Sie vor dem Einrichten der Verbindung folgende Schritte aus:

1. Sie benötigen entweder ein Enterprise- oder ein Developer-Abo. Testkonten werden nicht unterstützt.
2. Richten Sie die Zugriffssteuerung für Ihre Datenquelle ein. Informationen zum Einrichten der Zugriffssteuerung finden Sie unter Zugriffssteuerungen für benutzerdefinierte Datenquellen konfigurieren.
3. Prüfen Sie, ob die Salesforce-CORS-Zulassungsliste Google Cloudenthält.
   1. Informationen zum Konfigurieren der Zulassungsliste finden Sie unter Enable CORS for OAuth Endpoints.
   2. Wenn Sie Google Cloudeinbeziehen möchten, fügen Sie https://console.cloud.google.com/ als Ursprungs-URL hinzu und speichern Sie die Konfiguration.

Externe Client-App in Salesforce erstellen und konfigurieren

Sie müssen Gemini Enterprise in Salesforce für die API-Einbindung als externe Client-App (verbundene App) einrichten.

Nachdem Sie Gemini Enterprise als externe Client-App (verbundene App) eingerichtet haben, können Sie die folgenden Authentifizierungsinformationen abrufen, die zum Erstellen eines Salesforce-Connectors in Gemini Enterprise erforderlich sind.

• Instanz-URL
• Nutzer-ID oder Client-ID
• Consumer-Secret oder Clientschlüssel

So aktivieren Sie OAuth 2.0 und rufen die Authentifizierungsinformationen ab:

1. Klicken Sie in Ihrer Salesforce-App auf das Symbol für die Einrichtung und wählen Sie dann Setup (Einrichtung) aus.

   

2. Geben Sie Apps in das Feld für die Schnellsuche ein und wählen Sie App manager (App-Manager) aus.

3. Wählen Sie New external client app (Neue externe Client-App) aus.

   

4. Geben Sie die erforderlichen grundlegenden Informationen für Ihre externe Client-App (verbundene App) ein, z. B. External client app name (Name der externen Client-App), API name (API-Name) und Contact email (Kontakt-E-Mail-Adresse).

5. Konfigurieren Sie im Bereich API (Enable OAuth settings) (API (OAuth-Einstellungen aktivieren)) die folgenden OAuth-Einstellungen. Weitere Informationen finden Sie unter Enable OAuth Settings for API Integration.

   1. Markieren Sie das Kästchen Enable OAuth (OAuth aktivieren).
   2. Geben Sie https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html für Callback URL (Callback URL) ein.
   3. Fügen Sie im Abschnitt Selected OAuth scopes (Ausgewählte OAuth-Bereiche) die folgenden Bereiche hinzu: Full access (full) (Vollzugriff (full)), Manage user data via APIs (api) (Nutzerdaten über APIs verwalten (api)) und Perform requests at any time (refresh_token, offline_access) (Jederzeit Anfragen ausführen (refresh_token, offline_access)). Weitere Informationen finden Sie unter OAuth Tokens and Scopes.
   4. Markieren Sie das Kästchen Enable Client Credentials Flow (Ablauf für Clientanmeldedaten aktivieren).
   5. Markieren Sie das Kästchen Enable Authorization Code and Credentials Flow (Autorisierungscode- und Anmeldedatenablauf aktivieren).
   6. Klicken Sie auf Create (Erstellen).

      

Zugriff durch externe Client-Apps vorab autorisieren

Nachdem Sie die externe Client-App erstellt haben, müssen Sie bestimmten Nutzern oder Berechtigungssätzen explizit die Berechtigung zum Zugriff auf diese erteilen.

1. Geben Sie External client app in das Feld für die Schnellsuche ein und wählen Sie External client app manager (Manager für externe Client-Apps) aus.
2. Klicken Sie auf den Namen der externen Client-App, die Sie erstellt haben.
3. Klicken Sie auf dem Tab Policies (Richtlinien) auf Edit (Bearbeiten), um die App-Details anzupassen.

4. Führen Sie im Bereich OAuth Policies (OAuth-Richtlinien) folgende Schritte aus:

   1. Wählen Sie im Feld Permitted users (Berechtigte Nutzer) die Option Admin approved users are pre-authorized (Vom Administrator genehmigte Nutzer sind vorautorisiert) aus.

   2. Im Bereich OAuth Flow and External Client App Enhancement (OAuth-Ablauf und externe Client-App-Erweiterung):

      1. Markieren Sie das Kästchen Enable Client Credentials Flow (Ablauf für Clientanmeldedaten aktivieren).
      2. Geben Sie die E‑Mail-ID des Nutzers ein.

   3. Wählen Sie im Feld Refresh Token Policy (Richtlinie für Aktualisierungstoken) die Option Refresh token is valid until revoked (Aktualisierungstoken ist bis zum Widerruf gültig) aus.

   4. Wählen Sie im Feld IP Relaxation (IP-Lockerung) die Option Relax IP restrictions (IP-Einschränkungen lockern) aus.

      

   Mit der Funktion „IP Relaxation“ (IP-Lockerung) wird gesteuert, ob externe Clientanwendungen (verbundene Apps) durch definierte IP-Adressbereiche eingeschränkt werden. IP-Einschränkungen werden auf Grundlage der Einstellungen des Nutzerprofils erzwungen. Sie müssen prüfen, ob in den Nutzereinstellungen ein organisationsweiter IP-Bereich erzwungen wird. Ist Enforce login IP ranges on every request (IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen) aktiviert, werden die vorhandenen IP-Einschränkungen durch die Festlegung von IP Relaxation (IP-Lockerung) auf Relax IP restrictions (IP-Einschränkungen lockern) nicht überschrieben. Weitere Informationen finden Sie unter IP-Connected App IP Relaxation and Continuous IP Enforcement.

   • Wenn Sie IP-Einschränkungen in der externen Client-App (verbundene App) erzwingen möchten, richten Sie eine vertrauenswürdige IP-Adresse ein. Weitere Informationen finden Sie unter Configure Trusted IP Ranges for a Connected App.
   • Wenn Sie keine Einschränkungen für den IP-Zugriff haben möchten, darf Enforce login IP ranges on every request (IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen) nicht ausgewählt sein.

5. Wählen Sie im Bereich App Policies (App-Richtlinien) die Profile und Berechtigungssätze aus, für die dieser Authentifizierungstyp autorisiert werden muss.

   

6. Klicken Sie auf Save (Speichern).

7. Gehen Sie zum Tab Settings (Einstellungen).

8. Klicken Sie im Bereich OAuth Settings (OAuth-Einstellungen) auf Consumer Key and Secret (Consumer-Key und ‑Secret) und kopieren Sie Consumer key und Consumer secret.

Anmelde-URL abrufen

So rufen Sie die Anmelde-URL für Ihre Salesforce-Instanz ab:

1. Geben Sie My domain in das Feld für die Schnellsuche ein und wählen Sie My domain (Meine Domain) aus.
2. Kopieren Sie die Domain, die auf my.salesforce.com endet.
3. Fügen Sie https:// am Anfang der kopierten Domain hinzu. Dies ist die Instanz-URL, die Sie benötigen, wenn Sie den Salesforce-Connector in Gemini Enterprise erstellen. Die Instanz-URL muss das folgende Format haben: https://DOMAIN_NAME.my.salesforce.com.

Mindestberechtigungen für Nutzer konfigurieren

So prüfen Sie, ob der den Connector konfigurierende Nutzer die erforderlichen Mindestberechtigungen zum Abrufen von Daten hat:

1. Geben Sie Profiles in das Feld für die Schnellsuche ein und wählen Sie Profiles (Profile) aus.
2. Wählen Sie das Nutzerprofil aus, unter dem der Connector ausgeführt wird.
3. Gehen Sie zum Bereich Standard object permissions (Standardberechtigungen für Objekte) und überprüfen Sie die Berechtigungen.

Überprüfen Sie, ob der ausgewählte Nutzer Zugriff auf die Berechtigungen hat. Dieser Vorgang muss für jede aufzunehmende Entität wiederholt werden. Dazu müssen Sie prüfen, ob der Standardzugriff auf der Profilebene des Nutzers auf Private festgelegt ist. Wenn der Zugriff einer Entität auf Private festgelegt ist, kann Ihr Google Cloud -Connector nicht auf das erforderliche Objekt zugreifen und registriert einen Fehler in Cloud Logging.

So gewähren Sie Zugriff:

1. Berechtigungssatz erstellen und für den Nutzer freigeben:

   1. Geben Sie Permission sets in das Feld für die Schnellsuche ein und wählen Sie Permission Sets (Berechtigungssätze) aus.

   2. Klicken Sie auf New (Neu).

   3. Geben Sie einen Namen ein und speichern Sie den Berechtigungssatz.

   4. Öffnen Sie den erstellten Berechtigungssatz und rufen Sie den Bereich Apps auf.

   5. Wählen Sie Object Settings (Objekteinstellungen) aus.

   6. Markieren Sie das Kästchen View All Records (Alle Einträge ansehen).

   7. Gewähren Sie im Bereich Field Permissions (Feldberechtigungen) Lesezugriff auf alle Felder, die Sie synchronisieren möchten.

      

   8. Speichern Sie die Einstellungen und kehren Sie zurück.

   9. Wählen Sie im Bereich „System“ die Option System Permissions (Systemberechtigungen) aus.

   10. Aktivieren Sie folgende Mindestberechtigungen:

       • API enabled

       • View all users

       • View roles and role hierarchy

       • View setup and configuration

2. Nutzer dem Berechtigungssatz hinzufügen:

   1. Geben Sie Users in das Feld für die Schnellsuche ein und wählen Sie Users (Nutzer) aus.

   2. Wählen Sie den Nutzer aus.

   3. Wählen Sie im Bereich Permission Set Assignments (Zuweisungen des Berechtigungssatzes) die Option Edit assignments (Zuweisungen bearbeiten) aus.

   4. Fügen Sie den neu erstellten Berechtigungssatz dem Bereich Enabled permission sets (Aktivierte Berechtigungssätze) hinzu.

Weitere Informationen finden Sie unter Data access in Salesforce und Organization-Wide Sharing Defaults.

Salesforce-Datenspeicher (V1) erstellen

Weitere Informationen

• Wenn Sie Ihren Datenspeicher an eine App anhängen möchten, erstellen Sie eine App und wählen Sie Ihren Datenspeicher aus. Folgen Sie dazu der Anleitung unter App erstellen.

• Unter Suchergebnisse abrufen wird beschrieben, wie Sie sich ansehen können, wie Ihre Suchergebnisse nach der Einrichtung der App und des Datenspeichers aussehen werden. Wenn Sie die Zugriffssteuerung von Drittanbietern verwendet haben, lesen Sie Zugriffssteuerungen für benutzerdefinierte Datenquellen konfigurieren.

• Informationen zum Aktivieren von Benachrichtigungen für den Datenspeicher finden Sie unter Datenspeicher-Synchronisierungsaktivitäten ansehen und Benachrichtigungen einrichten.