始める前に
Salesforce エンタープライズ エディションまたは Salesforce デベロッパー エディションを使用します。トライアル アカウントは対象外です。
連携データストア用に Salesforce を構成する
連携データストア用に Salesforce を構成するには、OAuth 2.0 ウェブサーバー フロー認証方法を使用して認証情報を取得する必要があります。以降のセクションでは、必要なコンポーネントを設定し、これらの認証情報を取得する手順について説明します。
外部クライアント アプリを作成して構成する
- Salesforce アプリで、設定アイコンをクリックし、[設定] を選択します。
- クイック検索ボックスに「Apps 」と入力し、[アプリ マネージャー] を選択します。
- [新しい外部クライアント アプリ] を選択します。
- 必要な基本情報(名前、API 名、連絡先メールアドレス)を入力します。
- [API(OAuth 設定の有効化)] セクションで、次の OAuth 設定を構成します。詳細については、API 統合の OAuth 設定を有効にするをご覧ください。
- [OAuth を有効にする] チェックボックスをオンにします。
- [コールバック URL] に「
https://vertexaisearch.cloud.google.com/oauth-redirect」と入力します。 - [**選択した OAuth スコープ**] セクションで、[**API を介してユーザーデータを管理する(api)**] スコープと [**リクエストを随時実行する(refresh_token、offline_access)**] スコープを追加します。詳細については、OAuth トークンとスコープをご覧ください。
- [フローの有効化] セクションで、次のチェックボックスをオンにします。
- 認証コードと認証情報フローを有効にする
- 認証コードと認証情報フローの POST 本文でユーザー認証情報を必須にする
- [セキュリティ] セクションで、次のチェックボックスをオンにします。
- ウェブサーバー フローにシークレットを必須にする
- 更新トークン フローにシークレットを必須にする
- [作成] をクリックします。
外部クライアント アプリのアクセスを事前承認する
外部クライアント アプリを作成したら、特定のユーザーまたは権限セットに対して、アクセスを許可します。
- Salesforce アプリで、クイック検索ボックスに「External client app 」と入力し、[外部クライアント アプリ マネージャー] を選択します。
- 作成した外部クライアント アプリの名前をクリックします。
- [ポリシー] タブを選択し、[編集] をクリックします。
- [OAuth ポリシー] セクションで、次の操作を行います。
- [許可されているユーザー] フィールドで、[管理者が承認したユーザーは事前承認済み] を選択します。
- [アプリの承認] セクションの [更新トークン ポリシー] フィールドで、[更新トークンは取り消されるまで有効] を選択します。
- [アプリ ポリシー] セクションで、この接続に対して承認されているプロファイルまたは権限セットを選択します。
- [保存] をクリックします。
- [設定 > OAuth 設定] に移動し、[コンシューマ キーとシークレット] をクリックして、認証情報として使用するコンシューマ キーとコンシューマ シークレットをコピーして保存します。
Salesforce ベース URL を確認する
- Salesforce アプリで、設定アイコンをクリックし、[設定] を選択します。
- クイック検索ボックスで「My Domain 」を検索して選択します。
- [現在の My Domain URL] フィールドから URL をコピーして保存します。これは Salesforce インスタンスのベース URL であり、データストアを作成する際に認証情報として必要になります。
権限を構成する
コネクタを構成するユーザーが必要な最小限のデータ取得権限があることを確認する手順は次のとおりです。
- Salesforce アプリで、クイック検索ボックスに「Profiles 」と入力し、[プロファイル] を選択します。
- コネクタを実行しているユーザー プロファイルを選択します。
- [標準オブジェクト権限] セクションに移動して、権限を確認します。
選択したユーザーに必要な権限があることを確認します。このプロセスは、取り込むエンティティごとに繰り返す必要があります。
- 注: ユーザーのプロファイル レベルのデフォルトのアクセス権が [非公開] に設定されているかどうかを確認します。エンティティのアクセス権が [非公開] に設定されている場合、 Google Cloud コネクタは必要なオブジェクトにアクセスできず、エラーが記録されます。
オブジェクトへのアクセスを許可するには、権限セットを作成してユーザーと共有します。
- クイック検索ボックスに「Permission sets 」と入力し、[権限セット] を選択します。
- [New] をクリックします。
- 名前を入力して権限セットを保存します。
- 作成した権限セットを開き、[アプリ] セクションに移動します。
- [オブジェクトの設定] を選択します。
- [すべてのレコードを表示] チェックボックスをオンにします。
- [フィールドのアクセス権限] セクションで、同期するすべてのフィールドに読み取り アクセス権を付与します。
- 設定を保存して前に戻ります。
システム権限を有効にします。
- [システム] セクションで、[システム権限] を選択します。
- [API が有効] 権限を有効にします。
ユーザーを権限セットに割り当てます。
- クイック検索ボックスに「Users 」と入力し、[ユーザー] を選択します。
- ユーザーを選択します。
- [権限セットの割り当て] セクションで、[割り当てを編集] を選択します。
- 先ほど作成した権限セットを [有効な権限セット] セクションに追加します。
詳細については、Salesforce のデータアクセスと組織全体の共有のデフォルト設定をご覧ください。
データの取り込みデータストア用に Salesforce を構成する
データ取り込みデータストア用に Salesforce を構成するには、このセクションの手順に沿って操作します。
サポート対象のバージョン
Salesforce V2 コネクタは、SOAP API バージョン 30.0 以降をサポートしています。
サービス アタッチメントを生成する
サービス アタッチメントを生成する手順は次のとおりです。
- パブリック エンドポイントの場合: Salesforce データセンターの宛先タイプ が公開 の場合、サービス アタッチメントの設定を作成する必要はありません。代わりに、コンソールの [ドメイン URL] フィールドに公開 URL を使用できます。 Google Cloud
- プライベート エンドポイントの場合:
- PSC を使用して、プライベート インスタンスからへの接続を有効にします Google Cloud。
- Virtual Private Cloud ネットワークと必要なサブネットを作成します。
- 仮想マシン(VM)インスタンスを作成し、バックエンド サービスをインストールします。
- 省略可: バックエンドの健全性をモニタリングするヘルスチェック プローブを設定します。
- VM またはバックエンドにトラフィックをルーティングするロードバランサを追加します。
- PSC エンドポイントとバックエンド間のトラフィックを許可するファイアウォール ルールを定義します。
- PSC サービス アタッチメントを作成してエンドポイントを公開します。
認証情報を生成する
データの取り込みデータストアでは、次のいずれかのサポートされている認証タイプを使用できます。
OAuth 2.0 - クライアント認証情報認証を設定する
次の認証情報を取得するには、Salesforce で Gemini Enterprise を外部クライアント アプリ(接続アプリ)として設定する必要があります。
- ユーザー ID またはクライアント ID
- コンシューマ シークレットまたはクライアント キー
外部クライアント アプリを作成して構成する
- Salesforce アプリで、設定アイコンをクリックし、[設定] を選択します。
- クイック検索ボックスに「Apps 」と入力し、[アプリ マネージャー] を選択します。
- [新しい外部クライアント アプリ] を選択します。
- 必要な基本情報(名前、API 名、連絡先メールアドレス)を入力します。
- [API(OAuth 設定の有効化)] セクションで、次の OAuth 設定を構成します。詳細については、API 統合の OAuth 設定を有効にするをご覧ください。
- [OAuth を有効にする] チェックボックスをオンにします。
- [コールバック URL] に「
https://vertexaisearch.cloud.google.com/oauth-redirect」と入力します。 - [Selected OAuth scopes] セクションで、[Full access (full)]、[ユーザーデータを API 経由で管理する (api)]、[いつでもリクエストを実行する (refresh_token, offline_access)] を追加します。詳細については、OAuth トークンとスコープをご覧ください。
- [フローの有効化] セクションで、[クライアント認証情報フローを有効にする] チェックボックスをオンにします。
- [作成] をクリックします。
外部クライアント アプリのアクセスを事前承認する
外部クライアント アプリを作成したら、特定のユーザーまたは権限セットに対して、アクセスを許可します。
- Salesforce アプリで、クイック検索ボックスに「External client app 」と入力し、[外部クライアント アプリ マネージャー] を選択します。
- 作成した外部クライアント アプリの名前をクリックします。
- [ポリシー] タブを選択し、[編集] をクリックします。
- [OAuth ポリシー] セクションで、次の操作を行います。
- [許可されているユーザー] フィールドで、[管理者が承認したユーザーは事前承認済み] を選択します。
- [OAuth フローと外部クライアントの拡張] で、[クライアント認証情報フローを有効にする] を選択し、ユーザーのメール ID を入力します。
- [更新トークン ポリシー] フィールドで、[更新トークンは取り消されるまで有効] を選択します。
- [アプリ ポリシー] セクションで、この接続に対して承認されているプロファイルまたは権限セットを選択します。
- [保存] をクリックします。
- [設定 > OAuth 設定] に移動し、[コンシューマ キーとシークレット] をクリックして、認証情報として使用するコンシューマ キーとコンシューマ シークレットをコピーして保存します。
権限を構成する
コネクタを構成するユーザーが必要な最小限のデータ取得権限があることを確認する手順は次のとおりです。
- Salesforce アプリで、クイック検索ボックスに「Profiles 」と入力し、[プロファイル] を選択します。
- コネクタを実行しているユーザー プロファイルを選択します。
- [標準オブジェクト権限] セクションに移動して、権限を確認します。
- 選択したユーザーに必要な権限があることを確認します。このプロセスは、取り込むエンティティごとに繰り返す必要があります。
- オブジェクトへのアクセスを許可するには、権限セットを作成してユーザーと共有します。
- クイック検索ボックスに「Permission sets 」と入力し、[権限セット] を選択します。
- [New] をクリックします。
- 名前を入力して権限セットを保存します。
- 作成した権限セットを開き、[アプリ] セクションに移動します。
- [オブジェクトの設定] を選択します。
- [すべてのレコードを表示] チェックボックスをオンにします。
- [フィールドのアクセス権限] セクションで、同期するすべてのフィールドに読み取り アクセス権を付与します。
- 設定を保存して前に戻ります。
- システム権限を有効にします。
- [システム] セクションで、[システム権限] を選択します。
- 次の最小権限を有効にします。
- API が有効
- すべてのユーザーを表示
- ロールとロール階層を表示
- 設定と構成を表示
- ユーザーを権限セットに割り当てます。
- クイック検索ボックスに「Users 」と入力し、[ユーザー] を選択します。
- ユーザーを選択します。
- [権限セットの割り当て] セクションで、[割り当てを編集] を選択します。
- 先ほど作成した権限セットを [有効な権限セット] セクションに追加します。
詳細については、Salesforce のデータアクセスと組織全体の共有のデフォルト設定をご覧ください。
OAuth 2.0 - JWT Bearer 認証を設定する
次の認証情報を取得するには、Salesforce で Gemini Enterprise を外部クライアント アプリ(接続アプリ)として設定する必要があります。
- ユーザーキー
- 公開鍵
- ユーザー名
秘密鍵と公開証明書を生成する
- 次のコマンドを実行して、2,048 ビットの RSA 秘密鍵を生成します。
openssl genrsa -out server.key 2048
このコマンドにより、秘密鍵を含む server.key という名前のファイルが作成されます。このファイルは安全な場所に保存し、機密を保持してください。
- 次のコマンドを実行して、自己署名公開証明書を生成します。
openssl req -new -x509 -sha256 -days 3650 -key server.key -out server.crt
このコマンドにより、公開証明書である server.crt という名前のファイルが生成されます。この証明書は、外部クライアント アプリ(接続アプリ)の構成時に Salesforce にアップロードできます。
外部クライアント アプリを作成して構成する
- Salesforce アプリで、設定アイコンをクリックし、[設定] を選択します。
- クイック検索ボックスに「Apps 」と入力し、[アプリ マネージャー] を選択します。
- [新しい外部クライアント アプリ] を選択します。
- 外部クライアント アプリ(接続アプリ)に必要な基本情報(外部クライアント アプリ名、API 名、連絡先メールアドレスなど)を入力します。
- [API(OAuth 設定の有効化)] セクションで、次の OAuth 設定を構成します。詳細については、API 統合の OAuth 設定を有効にするをご覧ください。
- [OAuth を有効にする] チェックボックスをオンにします。
- [コールバック URL] に「
https://vertexaisearch.cloud.google.com/oauth-redirect」と入力します。 - [選択した OAuth スコープ] セクションで、[フルアクセス(full)]、[API を介してユーザーデータを管理する(api)]、[リクエストを随時実行する(refresh_token、offline_access)] を追加します。詳細については、OAuth トークンとスコープをご覧ください。
- [フローの有効化] セクションで、次の操作を行います。
- [JWT Bearer フローを有効にする] を選択します。
- 秘密鍵と公開証明書を生成するセクションで生成した server.crt をアップロードします。
ログイン URL を取得する
Salesforce インスタンスのログイン URL を取得するには、次の操作を行います。
- Salesforce アプリで、クイック検索ボックスに「My domain 」と入力し、[My domain] を選択します。
- my.salesforce.com で終わるドメインをコピーします。
- コピーしたドメインの先頭に https:// を追加します。これは、Gemini Enterprise で Salesforce コネクタを作成するときに必要なインスタンス URL です。インスタンス URL は https://DOMAIN_NAME.my.salesforce.com の形式にする必要があります。
OAuth 接続アプリをインストールする
作成した外部クライアント アプリをインストールする必要があります。Salesforce アカウントの [接続アプリケーションの OAuth の利用状況] ページに移動して、アプリをインストールします。詳細については、接続アプリケーションの使用制限変更をご覧ください。
ユーザー名とパスワードの認証を設定する
ユーザー名とパスワードによる認証を行う場合は、既存のセキュリティ トークンを使用するか、セキュリティ トークンをリセットして登録済みのメールアドレスに新しいトークンを送信します。
セキュリティ トークンをリセットするには:
- Salesforce アプリで、プロファイル アイコンをクリックし、[設定] を選択します。
[Settings ] - [セキュリティ トークンをリセットする] に移動し、[セキュリティ トークンをリセット] をクリックします。
![[Reset Security Token] ボタン](https://docs.cloud.google.com/static/gemini/enterprise/docs/images/salesforce-v2/resetsecuritytoken.png?hl=ja)
[セキュリティ トークンをリセット ]