Salesforce 配置

为数据注入数据存储区配置 Salesforce

如需为数据注入数据存储区配置 Salesforce，请按照本部分中的步骤操作。

支持的版本

Salesforce V2 连接器支持 SOAP API 30.0 版或更高版本。

生成服务连接

如需生成服务连接，请执行以下步骤：

• 对于公共端点：如果 Salesforce 数据中心的目标类型为公共，则无需创建服务连接设置。您可以改为在 Google Cloud 控制台的网域网址字段中使用您的公开网址。
• 对于专用端点：
  1. 使用 PSC 实现从私有实例到 Google Cloud之间的连接。
  2. 创建虚拟私有云网络和所需的子网。
  3. 创建虚拟机 (VM) 实例并安装后端服务。
  4. 可选：设置健康检查探测以监控后端的健康状况。
  5. 添加负载均衡器以将流量路由到虚拟机或后端。
  6. 定义防火墙规则，以允许 PSC 端点与后端之间的流量。
  7. 通过创建 PSC 服务连接来发布端点。

生成身份验证凭据

数据注入数据存储区可以使用以下任何受支持的身份验证类型：

• OAuth 2.0 - 客户端凭据
• OAuth 2.0 - JWT 不记名
• 用户名和密码

设置 OAuth 2.0 - 客户端凭证身份验证

您必须在 Salesforce 中将 Gemini Enterprise 设置为外部客户端应用（关联的应用），才能获取以下身份验证信息：

• 使用方 ID 或客户端 ID
• 使用方 Secret 或客户端密钥

创建和配置外部客户端应用

1. 在 Salesforce 应用中，点击“设置”图标，然后选择设置。
2. 在快速查找框中输入应用，然后选择应用管理器。
3. 选择新建外部客户端应用。
4. 输入所需的基本信息（名称、API 名称和联系人邮箱）。
5. 在 API（启用 OAuth 设置）部分，配置以下 OAuth 设置。如需了解详情，请参阅为 API 集成启用 OAuth 设置。
   1. 选中启用 OAuth 复选框。
   2. 将回调网址输入为 https://vertexaisearch.cloud.google.com/oauth-redirect。
   3. 在选定的 OAuth 范围部分，添加完全访问权限 (full)、通过 API 管理用户数据 (api) 和随时执行请求（refresh_token、offline_access）范围。如需了解详情，请参阅 OAuth 令牌和范围。
   4. 在启用流程部分中，选中启用客户端凭证流程复选框。
6. 点击创建。

预先授权外部客户端应用访问权限

创建外部客户端应用后，授权特定用户或授予相应的权限集，才能访问该应用。

1. 在 Salesforce 应用中，在快速查找框中输入外部客户端应用，然后选择外部客户端应用管理器。
2. 点击您创建的外部客户端应用的名称。
3. 选择政策标签页，然后点击修改。
4. 在 OAuth 政策部分中：
   1. 在许可的用户字段中，选择管理员批准的用户已获得预先授权。
   2. 在 OAuth 流程和外部客户端增强下，选择启用客户端凭证流程，然后输入用户的电子邮件 ID。
   3. 在刷新令牌政策字段中，选择刷新令牌在被撤消之前一直有效。
5. 在应用政策部分中，选择已获授权可使用此连接的个人资料或权限集。
6. 点击保存。
7. 前往设置 > OAuth 设置，点击使用方密钥和 Secret，然后复制并存储使用方密钥和使用方 Secret，以用作身份验证凭据。

配置权限

如需验证配置连接器的用户是否拥有提取数据所需的最低权限，请完成以下步骤：

1. 在 Salesforce 应用中，在“快速查找”框中输入个人资料，然后选择个人资料。
2. 选择运行连接器的用户个人资料。
3. 前往标准对象权限部分，然后验证权限。
4. 验证所选用户是否拥有所需的权限。您必须针对要注入的每个实体重复此流程。
5. 如需允许用户访问该对象，请创建权限集并与用户共享：
   1. 在“快速查找”框中输入权限集，然后选择权限集。
   2. 点击 New（新建）。
   3. 输入名称，然后保存权限集。
   4. 打开创建的权限集，然后前往应用部分。
   5. 选择对象设置。
   6. 选中查看所有记录复选框。
   7. 在字段权限部分中，授予对您要同步的所有字段的读取权限。
   8. 保存设置并返回。
6. 启用系统权限：
   1. 在系统部分中，选择系统权限。
   2. 启用以下最低权限：
      • 已启用 API
      • 查看所有用户
      • 查看角色和角色层次结构
      • 查看设置和配置
7. 将用户分配给权限集：
   1. 在“快速查找”框中输入用户，然后选择用户。
   2. 选择用户。
   3. 在权限集分配部分中，选择修改分配。
   4. 将最近创建的权限集添加到已启用的权限集部分。

如需了解详情，请参阅 Salesforce 中的数据访问权限和在组织范围共享默认设置。

设置 OAuth 2.0 - JWT 不记名身份验证

您必须在 Salesforce 中将 Gemini Enterprise 设置为外部客户端应用（关联的应用），才能获取以下身份验证信息：

• 客户自己的密钥
• 公钥
• 用户名

生成私钥和公共证书

1. 执行以下命令，生成 2048 位 RSA 私钥： openssl genrsa -out server.key 2048

   此命令会创建一个名为 server.key 的文件，其中包含您的私钥。请确保此文件的安全性和保密性。

2. 执行以下命令，生成自签名公共证书： openssl req -new -x509 -sha256 -days 3650 -key server.key -out server.crt

   此命令会生成一个名为 server.crt 的文件，即您的公共证书。您可以在外部客户端应用（关联的应用）配置期间将此证书上传到 Salesforce。

创建和配置外部客户端应用

1. 在 Salesforce 应用中，点击“设置”图标，然后选择设置。
2. 在快速查找框中输入应用，然后选择应用管理器。
3. 选择新建外部客户端应用。
4. 输入外部客户端应用（关联的应用）所需的基本信息，例如外部客户端应用名称、API 名称和联系人邮箱。
5. 在 API（启用 OAuth 设置）部分，配置以下 OAuth 设置。如需了解详情，请参阅为 API 集成启用 OAuth 设置。
   1. 选中启用 OAuth 复选框。
   2. 将回调网址输入为 https://vertexaisearch.cloud.google.com/oauth-redirect。
   3. 在选定的 OAuth 范围部分，添加完全访问权限 (full)、通过 API 管理用户数据 (api) 和随时执行请求（refresh_token、offline_access）等设置。如需了解详情，请参阅 OAuth 令牌和范围。
   4. 在“启用流程”部分：
      1. 选择启用 JWT 不记名令牌流程。
      2. 上传在生成私钥和公共证书部分中生成的 server.crt。

获取登录网址

如需获取 Salesforce 实例的登录网址，请执行以下操作：

1. 在 Salesforce 应用中，在快速查找框中输入我的网域，然后选择我的网域。
2. 复制以 my.salesforce.com 结尾的网域。
3. 在复制的网域开头添加 https://。这是在 Gemini Enterprise 中创建 Salesforce 连接器时所需的实例网址。实例网址必须采用以下格式：https://DOMAIN_NAME.my.salesforce.com。

安装 OAuth 关联的应用

您必须安装您创建的外部客户端应用。前往 Salesforce 账号中的关联的应用 OAuth 用量页面，然后安装该应用。如需了解详情，请参阅关联的应用使用限制变更。

设置用户名和密码身份验证

对于用户名和密码身份验证，您可以使用现有的安全令牌，也可以重置安全令牌以通过您的注册邮箱接收一个新令牌。

如需重置安全令牌，请执行以下操作：

1. 在 Salesforce 应用中，点击您的个人资料图标，然后选择设置。

   

2. 前往重置我的安全令牌，然后点击重置安全令牌。