Connecter Salesforce

Cette page explique comment connecter Salesforce à Gemini Enterprise.

Nous vous recommandons d'utiliser le connecteur Salesforce V2 (recommandé) pour ingérer les données Salesforce dans Gemini Enterprise. Le connecteur Salesforce existant sera obsolète. Si vous utilisez un data store existant qui utilise le connecteur Salesforce, créez-en un avec le connecteur Salesforce V2.

Associer Salesforce V2 (recommandé)

Versions compatibles

Le connecteur Salesforce V2 est compatible avec la version 30.0 ou ultérieure de l'API SOAP.

Avant de commencer

Avant de configurer votre connexion, procédez comme suit :

1. Utilisez un forfait Salesforce dédié aux entreprises ou aux développeurs. Les comptes d'essai ne sont pas acceptés.

2. Configurez Salesforce pour la connectivité en fonction du type d'authentification choisi. Les types d'authentification compatibles sont les suivants :

   • Nom d'utilisateur et mot de passe

   • Jeton de support JWT OAuth 2.0

   • Identifiants client OAuth 2.0

Générer un rattachement de service

Pour générer un rattachement de service, procédez comme suit :

• Pour un point de terminaison public : si le type de destination du centre de données Salesforce est public, vous n'avez pas besoin de configurer le rattachement de service. À la place, vous pouvez utiliser votre URL publique dans le champ URL de domaine de la console Google Cloud .

• Pour le point de terminaison privé :

  1. Utilisez PSC pour activer les connexions des instances privées à Google Cloud.
  2. Créez un réseau cloud privé virtuel et les sous-réseaux requis.
  3. Créez une instance de machine virtuelle (VM) et installez le service de backend.
  4. Facultatif : Configurez une vérification d'état pour surveiller l'état du backend.
  5. Ajoutez un équilibreur de charge pour acheminer le trafic vers la VM ou le backend.
  6. Définissez des règles de pare-feu pour autoriser le trafic entre le point de terminaison PSC et le backend.
  7. Publiez le point de terminaison en créant un rattachement de service PSC.

Configurer Salesforce pour la connectivité

Pour associer une source de données Salesforce à Gemini Enterprise, vous devez effectuer des configurations spécifiques dans Salesforce. Ces configurations varient en fonction du type d'authentification que vous choisissez.

Configurer l'authentification par nom d'utilisateur et mot de passe

Pour l'authentification par nom d'utilisateur et mot de passe, utilisez un jeton de sécurité existant ou réinitialisez-le pour en recevoir un nouveau à l'adresse e-mail que vous avez enregistrée.

Pour réinitialiser votre jeton de sécurité :

1. Cliquez sur l'icône de votre profil, puis sélectionnez Settings (Paramètres).

   

2. Accédez à l'onglet Reset my security token (Réinitialiser mon jeton de sécurité), puis cliquez sur Reset security token (Réinitialiser le jeton de sécurité).

   

   Salesforce envoie le nouveau jeton de sécurité à votre adresse e-mail enregistrée.

Configurer l'authentification OAuth 2.0 avec un jeton de support JWT

Vous devez configurer Gemini Enterprise en tant qu'application cliente externe (application connectée) dans Salesforce pour l'intégration de l'API.

Une fois que vous avez associé Gemini Enterprise en tant qu'application cliente externe (application connectée), vous pouvez obtenir les informations d'authentification suivantes, nécessaires pour créer un connecteur Salesforce dans Gemini Enterprise.

• Clé client
• Clé publique
• Nom d'utilisateur (pré-autorisé à utiliser l'application)

Générer une clé privée et un certificat public

1. Exécutez la commande OpenSSL suivante pour générer une clé privée RSA de 2 048 bits.

   openssl genrsa -out server.key 2048

   Cette commande crée un fichier nommé server.key, qui contient votre clé privée. Conservez ce fichier de manière sécurisée et confidentielle.

2. Exécutez la commande OpenSSL suivante pour générer un certificat public autosigné à l'aide de la clé privée.

   openssl req -new -x509 -sha256 -days 3650 -key server.key -out server.crt

   Cette commande génère un fichier nommé server.crt, qui est votre certificat public. Vous pouvez importer ce certificat dans Salesforce lors de la configuration de l'application cliente externe (application connectée).

Créer et configurer une application cliente externe dans Salesforce

1. Dans votre application Salesforce, cliquez sur l'icône de configuration, puis sélectionnez Setup (Configuration).

   

2. Saisissez Apps dans la zone de recherche rapide, puis sélectionnez App manager (Gestionnaire d'applications).

3. Sélectionnez New external client app (Nouvelle application cliente externe).

   

4. Saisissez les informations de base requises pour votre application cliente externe (application connectée), telles que le nom de l'application cliente externe, le nom de l'API et l'adresse e-mail de contact.

5. Dans la section API (Enable OAuth settings) (API [Activer les paramètres OAuth]), configurez les paramètres OAuth suivants. Pour en savoir plus, consultez Activer les paramètres OAuth pour l'intégration de l'API.

   1. Cochez la case Enable OAuth (Activer OAuth).
   2. Saisissez l'URL de rappel au format https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html.
   3. Dans la section Selected OAuth scopes (Habilitations OAuth sélectionnées), ajoutez Full access (full) (Accès complet), Manage user data via APIs (api) (Gérer les données utilisateur via les API) et Perform requests at any time (refresh_token, offline_access) (Exécuter des requêtes à tout moment). Pour en savoir plus, consultez Jetons et habilitations OAuth.

   4. Dans la section "Flow enablement" (Activation du flux) :

   5. Cochez la case Enable JWT bearer flow (Activer le flux du jeton de support JWT).

   6. Importez le certificat public créé dans Générer une clé privée et un certificat public.

      

   7. Cliquez sur Créer.

Pré-autoriser l'accès à l'application cliente externe

Après avoir créé l'application cliente externe, vous devez autoriser explicitement certains utilisateurs ou ensembles d'autorisations à y accéder.

1. Saisissez External client app dans la zone de recherche rapide, puis sélectionnez External client app manager (Gestionnaire d'applications clientes externes).
2. Recherchez et ouvrez l'application cliente externe que vous avez créée précédemment.
3. Dans l'onglet Policies (Règles), cliquez sur Edit (Modifier) pour modifier les informations sur l'application.

4. Dans la section OAuth policies (Règles OAuth), procédez comme suit :

   1. Dans le champ Permitted users (Utilisateurs autorisés), sélectionnez Admin approved users are pre-authorized (Les utilisateurs approuvés par l'administrateur sont pré-autorisés).
   2. Dans le champ Refresh token policy (Règle du jeton d'actualisation), sélectionnez Refresh token is valid until revoked (Le jeton d'actualisation est valide jusqu'à sa révocation).
   3. Dans le champ IP relaxation (Assouplissement des restrictions d'adresses IP), sélectionnez Relax IP restrictions (Assouplir les restrictions d'adresses IP).

      

   La fonctionnalité d'assouplissement des restrictions d'adresses IP permet de contrôler si les applications clientes externes (applications connectées) sont limitées par des plages d'adresses IP définies. Les restrictions d'adresses IP sont appliquées en fonction des paramètres du profil utilisateur. Vous devez vérifier si l'application d'une plage d'adresses IP à l'échelle de l'organisation est activée dans les paramètres utilisateur. Si l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) est activée, la définition de IP Relaxation (Assouplissement des restrictions d'adresses IP) sur Relax IP restrictions (Assouplir les restrictions d'adresses IP) ne remplace pas les restrictions d'adresses IP existantes. Pour en savoir plus, consultez Assouplissement et application continue des restrictions d'adresses IP pour les applications connectées.

   • Si vous souhaitez appliquer des restrictions d'adresses IP dans l'application cliente externe (application connectée), configurez une adresse IP approuvée. Pour en savoir plus, consultez Configurer des plages d'adresses IP approuvées pour une application connectée.
   • Si vous ne souhaitez pas appliquer de restrictions d'accès par adresse IP, vérifiez que l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) n'est pas sélectionnée.

5. Dans la section App policies (Règles relatives à l'application), sélectionnez les profils et les ensembles d'autorisations pour lesquels ce type d'authentification doit être autorisé.

   

6. Cliquez sur Enregistrer.

7. Accédez à l'onglet Settings (Paramètres).

8. Dans la section OAuth settings (Paramètres OAuth), cliquez sur Consumer key and secret (Clé et code secret du client), puis copiez Consumer key et Consumer secret.

Configurer l'authentification OAuth 2.0 avec des identifiants client

Vous devez configurer Gemini Enterprise en tant qu'application cliente externe (application connectée) dans Salesforce pour l'intégration de l'API.

Une fois que vous avez associé Gemini Enterprise en tant qu'application cliente externe (application connectée), vous pouvez obtenir les informations d'authentification suivantes, nécessaires pour créer un connecteur Salesforce dans Gemini Enterprise.

• Numéro ou ID client
• Code secret ou clé du client

Créer et configurer une application cliente externe

1. Dans votre application Salesforce, cliquez sur l'icône de configuration, puis sélectionnez Setup (Configuration).

2. Saisissez Apps dans la zone de recherche rapide, puis sélectionnez App manager (Gestionnaire d'applications).

3. Sélectionnez New external client app (Nouvelle application cliente externe).

4. Saisissez les informations de base requises pour votre application cliente externe (application connectée), telles que le nom de l'application cliente externe, le nom de l'API et l'adresse e-mail de contact.

5. Dans la section API (Enable OAuth settings) (API [Activer les paramètres OAuth]), configurez les paramètres OAuth suivants. Pour en savoir plus, consultez Activer les paramètres OAuth pour l'intégration de l'API.

   1. Cochez la case Enable OAuth (Activer OAuth).
   2. Saisissez l'URL de rappel au format https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html.
   3. Dans la section Selected OAuth scopes (Habilitations OAuth sélectionnées), sélectionnez Full access (full) (Accès complet), Manage user data via APIs (api) (Gérer les données utilisateur via les API) et Perform requests at any time (refresh_token, offline_access) (Exécuter des requêtes à tout moment). Pour en savoir plus, consultez Jetons et habilitations OAuth.
   4. Dans la section "Flow enablement" (Activation du flux), cochez la case Enable client credentials flow (Activer le flux des identifiants client).

      

6. Cliquez sur Créer.

Pré-autoriser l'accès à l'application cliente externe

Après avoir créé l'application cliente externe, vous devez autoriser explicitement certains utilisateurs ou ensembles d'autorisations à y accéder.

1. Saisissez External client app dans la zone de recherche rapide, puis sélectionnez External client app manager (Gestionnaire d'applications clientes externes).
2. Cliquez sur le nom de l'application cliente externe que vous avez créée.
3. Dans l'onglet Policies (Règles), cliquez sur Edit (Modifier) pour modifier les informations sur l'application.

4. Dans la section OAuth policies (Règles OAuth), procédez comme suit :

   1. Dans le champ Permitted users (Utilisateurs autorisés), sélectionnez Admin approved users are pre-authorized (Les utilisateurs approuvés par l'administrateur sont pré-autorisés).

   2. Dans la section OAuth flow and external client enhancement (Amélioration du flux OAuth et du client externe) :

      1. Cochez la case Enable client credentials flow (Activer le flux des identifiants client).
      2. Saisissez l'adresse e-mail de l'utilisateur.

   3. Dans le champ Refresh token policy (Règle du jeton d'actualisation), sélectionnez Refresh token is valid until revoked (Le jeton d'actualisation est valide jusqu'à sa révocation).

   4. Dans le champ IP relaxation (Assouplissement des restrictions d'adresses IP), sélectionnez Relax IP restrictions (Assouplir les restrictions d'adresses IP).

      

   La fonctionnalité d'assouplissement des restrictions d'adresses IP permet de contrôler si les applications clientes externes (applications connectées) sont limitées par des plages d'adresses IP définies. Les restrictions d'adresses IP sont appliquées en fonction des paramètres du profil utilisateur. Vous devez vérifier si l'application d'une plage d'adresses IP à l'échelle de l'organisation est activée dans les paramètres utilisateur. Si l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) est activée, la définition de IP Relaxation (Assouplissement des restrictions d'adresses IP) sur Relax IP restrictions (Assouplir les restrictions d'adresses IP) ne remplace pas les restrictions d'adresses IP existantes. Pour en savoir plus, consultez Assouplissement et application continue des restrictions d'adresses IP pour les applications connectées.

   • Si vous souhaitez appliquer des restrictions d'adresses IP dans l'application cliente externe (application connectée), configurez une adresse IP approuvée. Pour en savoir plus, consultez Configurer des plages d'adresses IP approuvées pour une application connectée.
   • Si vous ne souhaitez pas appliquer de restrictions d'accès par adresse IP, vérifiez que l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) n'est pas sélectionnée.

5. Dans la section App policies (Règles relatives à l'application), sélectionnez les profils et les ensembles d'autorisations pour lesquels ce type d'authentification doit être autorisé.

   

6. Cliquez sur Enregistrer.

7. Accédez à l'onglet Settings (Paramètres).

8. Dans la section OAuth settings (Paramètres OAuth), cliquez sur Consumer key and secret (Clé et code secret du client), puis copiez Consumer key et Consumer secret.

Obtenir l'URL de connexion

Pour obtenir l'URL de connexion de votre instance Salesforce, procédez comme suit :

1. Saisissez My domain dans la zone de recherche rapide, puis sélectionnez My domain (Mon domaine).
2. Copiez le domaine qui se termine par my.salesforce.com.
3. Ajoutez https:// au début du domaine copié. Il s'agit de l'URL de l'instance dont vous avez besoin lorsque vous créez le connecteur Salesforce dans Gemini Enterprise. L'URL de l'instance doit être au format suivant : https://DOMAIN_NAME.my.salesforce.com.

Configurer les autorisations minimales des utilisateurs

Pour vérifier que l'utilisateur qui configure le connecteur dispose des autorisations minimales requises pour l'extraction des données, procédez comme suit :

1. Saisissez Profiles dans la zone de recherche rapide, puis sélectionnez Profiles (Profils).
2. Sélectionnez le profil utilisateur qui exécute le connecteur.
3. Accédez à la section Standard object permissions (Autorisations des objets standards) et vérifiez les autorisations.

Vérifiez que l'utilisateur sélectionné a accès aux autorisations. Vous devez répéter cette procédure pour chaque entité que vous souhaitez ingérer. Cela implique de vérifier si l'accès par défaut au niveau du profil de l'utilisateur est défini sur Private. Lorsque l'accès d'une entité est défini sur Private, votre connecteur Google Cloud ne peut pas accéder à l'objet requis et enregistre une erreur dans Cloud Logging. Pour autoriser l'accès, procédez comme suit :

1. Créez un ensemble d'autorisations et partagez-le avec l'utilisateur.

   1. Saisissez Permission sets dans la zone de recherche rapide, puis sélectionnez Permission sets (Ensembles d'autorisations).

   2. Cliquez sur Nouveau.

   3. Saisissez un nom et enregistrez l'ensemble d'autorisations.

   4. Ouvrez l'ensemble d'autorisations créé et accédez à la section Apps (Applications).

   5. Sélectionnez Object settings (Paramètres de l'objet).

   6. Cochez la case View all records (Afficher tous les enregistrements).

   7. Dans la section Field permissions (Autorisations des champs), accordez l'accès en lecture à tous les champs que vous souhaitez synchroniser.

      

   8. Enregistrez les paramètres et revenez à la page précédente.

   9. Dans la section System (Système), sélectionnez System permissions (Autorisations système).

   10. Activez les autorisations minimales suivantes :

       • API enabled

       • View all users

       • View roles and role hierarchy

       • View setup and configuration

2. Ajoutez l'utilisateur à l'ensemble d'autorisations :

   1. Saisissez Users dans la zone de recherche rapide, puis sélectionnez Users (Utilisateurs).

   2. Sélectionnez l'utilisateur.

   3. Dans la section Permission set assignments (Attributions d'ensembles d'autorisations), sélectionnez Edit assignments (Modifier les attributions).

   4. Ajoutez l'ensemble d'autorisations récemment créé à la section Enabled permission sets (Ensembles d'autorisations activés).

Pour en savoir plus, consultez Accès aux données dans Salesforce et Paramètres de partage par défaut à l'échelle de l'organisation.

Créer un datastore Salesforce V2

Installer l'application connectée OAuth

Si vous utilisez l'authentification OAuth, vous devez installer l'application cliente externe que vous avez créée dans la section Créer et configurer une application connectée dans Salesforce. Accédez à la page Connected Apps OAuth Usage (Utilisation d'OAuth pour les applications connectées) dans votre compte Salesforce et installez l'application. Pour en savoir plus, consultez Modification apportée aux restrictions d'utilisation des applications connectées.

Limites de débit

La limite de débit par défaut pour le connecteur Salesforce est de cinq requêtes par seconde.

Messages d'erreur

Le tableau suivant liste les messages d'erreur que vous pouvez recevoir lorsque vous utilisez le connecteur Salesforce :

Message d'erreur	Description	Dépannage
Échec de l'initialisation du connecteur en raison de l'échec d'un pipeline. Veuillez supprimer le connecteur et réessayer de le créer.	Le connecteur n'a pas pu être initialisé en raison de l'échec d'un pipeline. Cela est dû à une erreur de service interne.	Supprimez le connecteur existant et recréez-le.
Le connecteur est bloqué, car le projet a été ajouté au périmètre VPC-SC. Veuillez recréer le datastore.	Ce projet a été ajouté au périmètre VPC Service Controls une fois le datastore créé.	Supprimez le datastore existant et recréez-le. Cela permet de s'assurer que le datastore est correctement configuré pour fonctionner dans le périmètre VPC Service Controls.
La connexion n'est pas active. État de la connexion : ERREUR. Description : Échec de la récupération des informations sur le jeton OAuth. [INVALID_GRANT] Aucun identifiant client n'est activé pour l'utilisateur.	Lorsque vous utilisez l'authentification par identifiants client JWT, la connexion n'est pas active, car le jeton OAuth ne peut pas être récupéré.	Dans l'instance Salesforce, accédez à l'application cliente externe et recherchez celle utilisée pour le datastore. Dans la section Client credentials flow (Flux d'identifiants client), ajoutez l'adresse e-mail d'un utilisateur disposant des autorisations nécessaires dans le champ Run as user (Exécuter en tant qu'utilisateur). Cliquez sur "Enregistrer". Dans la console Google Cloud , supprimez le datastore, puis recréez-le.
La connexion n'est pas active. État de la connexion : ERREUR. Description : INVALID_LOGIN : nom d'utilisateur, mot de passe ou jeton de sécurité non valide, ou utilisateur bloqué.	La connexion a échoué en raison d'informations de connexion incorrectes. La connexion n'est pas active en raison d'un nom d'utilisateur, d'un mot de passe ou d'un jeton de sécurité non valide.	Vérifiez que le nom d'utilisateur et le mot de passe sont corrects. Le nom d'utilisateur est généralement une adresse e-mail, par exemple utilisateur@entreprise.com. Vérifiez que le jeton de sécurité est correct et à jour. Chaque fois que vous réinitialisez votre mot de passe, votre jeton de sécurité n'est plus valide. Si votre jeton de sécurité n'est pas valide, vous pouvez le réinitialiser.
La connexion n'est pas active. État de la connexion : ERREUR. Description : Échec de la récupération des informations sur le jeton OAuth. [INVALID_GRANT] L'audience n'est pas valide.	La connexion a échoué, car la récupération du jeton OAuth pour l'authentification JWT a renvoyé une audience non valide, probablement en raison d'identifiants utilisateur incorrects.	Vérifiez que le nom d'utilisateur et le mot de passe sont corrects. Le nom d'utilisateur est généralement une adresse e-mail, par exemple utilisateur@entreprise.com.
[INVALID_SESSION_ID] Session non valide ou expirée. Veuillez essayer de vous reconnecter. Si le problème persiste, il peut être dû aux raisons suivantes : A) Vous avez dépassé vos limites de session pour cet utilisateur. B) Il peut s'agir d'un problème lié à l'authentification multifacteur requise pour votre compte. C) L'option "Lock sessions to the IP they are generated from" (Verrouiller les sessions sur l'adresse IP à partir de laquelle elles ont été générées) est activée dans les contrôles de sécurité Salesforce et votre adresse IP change entre les requêtes.	La session n'est plus valide. Cela peut se produire si vous avez dépassé vos limites de session ou si votre compte nécessite une authentification multifacteur (MFA). Cela peut également se produire si un paramètre de sécurité est activé et verrouille votre session sur une adresse IP spécifique, et que votre adresse IP change.	Accédez aux paramètres Salesforce et assurez-vous que l'option Lock sessions to the IP address from which they originated (Verrouiller les sessions sur l'adresse IP à partir de laquelle elles ont été lancées) est définie sur Off (Désactivé). Dans les paramètres du profil de l'utilisateur, vérifiez que l'option Session Security Level Required at Login (Niveau de sécurité de la session requis à la connexion) est définie sur None (Aucun).

Limitations connues

• Les listes de contrôle des accès basées sur les catégories pour les versions d'articles de connaissances ne sont pas prises en charge.

• Les tâches ne sont visibles que par les utilisateurs disposant de l'autorisation Afficher toutes les données, les propriétaires des tâches et les utilisateurs ayant accès aux tâches via la hiérarchie.

• Lorsque vous ajoutez un projet à un périmètre VPC Service Controls (VPC-SC) après avoir créé une connexion, l'exécution de la synchronisation du connecteur échoue.

• Lorsque vous ajoutez manuellement des entités, seuls les objets Custom Object__c Salesforce (objets personnalisés dont le nom de variable se termine par __c) sont acceptés.

Associer Salesforce (V1)

Avant de commencer

Avant de configurer votre connexion, procédez comme suit :

1. Utilisez un forfait Enterprise ou Developer. Les comptes d'essai ne sont pas acceptés.
2. Configurez le contrôle des accès pour votre source de données. Pour savoir comment configurer le contrôle des accès, consultez Utiliser le contrôle des accès aux sources de données.
3. Vérifiez que la liste d'autorisation CORS de Salesforce contient Google Cloud.
   1. Pour configurer la liste d'autorisation, consultez Activer CORS pour les points de terminaison OAuth.
   2. Pour inclure Google Cloud, ajoutez https://console.cloud.google.com/ comme URL source, puis enregistrez votre configuration.

Créer et configurer une application cliente externe dans Salesforce

Vous devez configurer Gemini Enterprise en tant qu'application cliente externe (application connectée) dans Salesforce pour l'intégration de l'API.

Une fois que vous avez associé Gemini Enterprise en tant qu'application cliente externe (application connectée), vous pouvez obtenir les informations d'authentification suivantes, nécessaires pour créer un connecteur Salesforce dans Gemini Enterprise.

• URL d'instance
• Numéro ou ID client
• Code secret ou clé du client

Pour activer OAuth 2.0 et obtenir les informations d'authentification, procédez comme suit :

1. Dans votre application Salesforce, cliquez sur l'icône de configuration, puis sélectionnez Setup (Configuration).

   

2. Saisissez Apps dans la zone de recherche rapide, puis sélectionnez App manager (Gestionnaire d'applications).

3. Sélectionnez New external client app (Nouvelle application cliente externe).

   

4. Saisissez les informations de base requises pour votre application cliente externe (application connectée), telles que le nom de l'application cliente externe, le nom de l'API et l'adresse e-mail de contact.

5. Dans la section API (Enable OAuth settings) (API [Activer les paramètres OAuth]), configurez les paramètres OAuth suivants. Pour en savoir plus, consultez Activer les paramètres OAuth pour l'intégration de l'API.

   1. Cochez la case Enable OAuth (Activer OAuth).
   2. Saisissez l'URL de rappel au format https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html.
   3. Dans la section Selected OAuth scopes (Habilitations OAuth sélectionnées), ajoutez Full access (full) (Accès complet), Manage user data via APIs (api) (Gérer les données utilisateur via les API) et Perform requests at any time (refresh_token, offline_access) (Exécuter des requêtes à tout moment). Pour en savoir plus, consultez Jetons et habilitations OAuth.
   4. Cochez la case Enable Client Credentials Flow (Activer le flux des identifiants client).
   5. Cochez la case Enable Authorization Code and Credentials Flow (Activer le flux du code d'autorisation et des identifiants).
   6. Cliquez sur Créer.

      

Pré-autoriser l'accès à l'application cliente externe

Après avoir créé l'application cliente externe, vous devez autoriser explicitement certains utilisateurs ou ensembles d'autorisations à y accéder.

1. Saisissez External client app dans la zone de recherche rapide, puis sélectionnez External client app manager (Gestionnaire d'applications clientes externes).
2. Cliquez sur le nom de l'application cliente externe que vous avez créée.
3. Dans l'onglet Policies (Règles), cliquez sur Edit (Modifier) pour modifier les informations sur l'application.

4. Dans la section OAuth policies (Règles OAuth), procédez comme suit :

   1. Dans le champ Permitted users (Utilisateurs autorisés), sélectionnez Admin approved users are pre-authorized (Les utilisateurs approuvés par l'administrateur sont pré-autorisés).

   2. Dans la section OAuth flow and external client enhancement (Amélioration du flux OAuth et du client externe) :

      1. Cochez la case Enable client credentials flow (Activer le flux des identifiants client).
      2. Saisissez l'adresse e-mail de l'utilisateur.

   3. Dans le champ Refresh token policy (Règle du jeton d'actualisation), sélectionnez Refresh token is valid until revoked (Le jeton d'actualisation est valide jusqu'à sa révocation).

   4. Dans le champ IP relaxation (Assouplissement des restrictions d'adresses IP), sélectionnez Relax IP restrictions (Assouplir les restrictions d'adresses IP).

      

   La fonctionnalité d'assouplissement des restrictions d'adresses IP permet de contrôler si les applications clientes externes (applications connectées) sont limitées par des plages d'adresses IP définies. Les restrictions d'adresses IP sont appliquées en fonction des paramètres du profil utilisateur. Vous devez vérifier si l'application d'une plage d'adresses IP à l'échelle de l'organisation est activée dans les paramètres utilisateur. Si l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) est activée, la définition de IP Relaxation (Assouplissement des restrictions d'adresses IP) sur Relax IP restrictions (Assouplir les restrictions d'adresses IP) ne remplace pas les restrictions d'adresses IP existantes. Pour en savoir plus, consultez Assouplissement et application continue des restrictions d'adresses IP pour les applications connectées.

   • Si vous souhaitez appliquer des restrictions d'adresses IP dans l'application cliente externe (application connectée), configurez une adresse IP approuvée. Pour en savoir plus, consultez Configurer des plages d'adresses IP approuvées pour une application connectée.
   • Si vous ne souhaitez pas appliquer de restrictions d'accès par adresse IP, vérifiez que l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) n'est pas sélectionnée.

5. Dans la section App policies (Règles relatives à l'application), sélectionnez les profils et les ensembles d'autorisations pour lesquels ce type d'authentification doit être autorisé.

   

6. Cliquez sur Enregistrer.

7. Accédez à l'onglet Settings (Paramètres).

8. Dans la section OAuth settings (Paramètres OAuth), cliquez sur Consumer key and secret (Clé et code secret du client), puis copiez Consumer key et Consumer secret.

Obtenir l'URL de connexion

Pour obtenir l'URL de connexion de votre instance Salesforce, procédez comme suit :

1. Saisissez My domain dans la zone de recherche rapide, puis sélectionnez My domain (Mon domaine).
2. Copiez le domaine qui se termine par my.salesforce.com.
3. Ajoutez https:// au début du domaine copié. Il s'agit de l'URL de l'instance dont vous avez besoin lorsque vous créez le connecteur Salesforce dans Gemini Enterprise. L'URL de l'instance doit être au format suivant : https://DOMAIN_NAME.my.salesforce.com.

Configurer les autorisations minimales des utilisateurs

Pour vérifier que l'utilisateur qui configure le connecteur dispose des autorisations minimales requises pour l'extraction des données, procédez comme suit :

1. Saisissez Profiles dans la zone de recherche rapide, puis sélectionnez Profiles (Profils).
2. Sélectionnez le profil utilisateur qui exécute le connecteur.
3. Accédez à la section Standard object permissions (Autorisations des objets standards) et vérifiez les autorisations.

Vérifiez que l'utilisateur sélectionné a accès aux autorisations. Vous devez répéter cette procédure pour chaque entité que vous souhaitez ingérer. Cela implique de vérifier si l'accès par défaut au niveau du profil de l'utilisateur est défini sur Private. Lorsque l'accès d'une entité est défini sur Private, votre connecteur Google Cloud ne peut pas accéder à l'objet requis et enregistre une erreur dans Cloud Logging.

Pour autoriser l'accès, procédez comme suit :

1. Créez un ensemble d'autorisations et partagez-le avec l'utilisateur.

   1. Saisissez Permission sets dans la zone de recherche rapide, puis sélectionnez Permission sets (Ensembles d'autorisations).

   2. Cliquez sur Nouveau.

   3. Saisissez un nom et enregistrez l'ensemble d'autorisations.

   4. Ouvrez l'ensemble d'autorisations créé et accédez à la section Apps (Applications).

   5. Sélectionnez Object settings (Paramètres de l'objet).

   6. Cochez la case View all records (Afficher tous les enregistrements).

   7. Dans la section Field permissions (Autorisations des champs), accordez l'accès en lecture à tous les champs que vous souhaitez synchroniser.

      

   8. Enregistrez les paramètres et revenez à la page précédente.

   9. Dans la section "System" (Système), sélectionnez System permissions (Autorisations système).

   10. Activez les autorisations minimales suivantes :

       • API enabled

       • View all users

       • View roles and role hierarchy

       • View setup and configuration

2. Ajoutez l'utilisateur à l'ensemble d'autorisations :

   1. Saisissez Users dans la zone de recherche rapide, puis sélectionnez Users (Utilisateurs).

   2. Sélectionnez l'utilisateur.

   3. Dans la section Permission set assignments (Attributions d'ensembles d'autorisations), sélectionnez Edit assignments (Modifier les attributions).

   4. Ajoutez l'ensemble d'autorisations récemment créé à la section Enabled permission sets (Ensembles d'autorisations activés).

Pour en savoir plus, consultez Accès aux données dans Salesforce et Paramètres de partage par défaut à l'échelle de l'organisation.

Créer un data store Salesforce (V1)

Étapes suivantes

• Pour associer votre datastore à une application, créez une application et sélectionnez votre datastore en suivant les étapes décrites dans Créer une application.

• Pour prévisualiser l'apparence de vos résultats de recherche une fois votre application et votre datastore configurés, consultez Prévisualiser les résultats de recherche. Si vous avez utilisé un contrôle des accès tiers, consultez Prévisualiser les résultats pour les applications avec contrôle des accès tiers.

• Pour activer les alertes pour le datastore, consultez Configurer des alertes pour les datastores tiers.