Salesforce 設定

事前準備

使用 Salesforce Enterprise 或 Salesforce Developer 版本。不支援試用帳戶。

設定 Salesforce 聯邦資料儲存庫

如要為同盟資料儲存庫設定 Salesforce,您必須使用 OAuth 2.0 網頁伺服器流程驗證方式取得驗證憑證。以下各節將逐步說明如何設定必要元件及取得這些憑證。

建立及設定外部用戶端應用程式

  1. 在 Salesforce 應用程式中點選設定圖示,然後選取「Setup」
  2. 在快速搜尋方塊中輸入「應用程式」,然後選取「應用程式管理員」
  3. 選取「New external client app」
  4. 輸入必要基本資訊 (名稱API 名稱聯絡人電子郵件地址)。
  5. 在「API (Enable OAuth settings)」部分,調整下列 OAuth 設定。詳情請參閱「啟用 OAuth 設定來整合 API」。
    1. 勾選「Enable OAuth」核取方塊
    2. 在「Callback URL」部分輸入 https://vertexaisearch.cloud.google.com/oauth-redirect
    3. 在「Selected OAuth scopes」(選取的 OAuth 範圍) 部分,新增「Manage user data via APIs (api)」(透過 API 管理使用者資料 (api)) 和「Perform requests at any time (refresh_token, offline_access)」(隨時執行要求 (refresh_token, offline_access)) 範圍。詳情請參閱「OAuth 權杖和範圍」。
    4. 在「Flow enablement」部分,選取下列核取方塊:
      1. 啟用授權碼和憑證流程
      2. 在授權碼和憑證流程的 POST 內文中要求使用者憑證
    5. 在「安全性」部分中,勾選下列核取方塊:
      1. 要求 Web 伺服器流程的密鑰
      2. 更新權杖流程需要密鑰
  6. 點選「建立」

預先授予外部用戶端應用程式存取權

建立外部用戶端應用程式後,請授權特定使用者或權限集存取該應用程式。

  1. 在 Salesforce 應用程式的快速搜尋方塊中輸入「外部用戶端應用程式」,然後選取「外部用戶端應用程式管理員」
  2. 按一下您建立的外部用戶端應用程式名稱。
  3. 選取「政策」分頁,然後按一下「編輯」
  4. 在「OAuth policies」部分:
    1. 在「Permitted users」 欄位中,選取「Admin approved users are pre-authorized」
    2. 在「應用程式授權」部分的「更新權杖政策」欄位,選取「更新權杖在撤銷前皆有效」
  5. 在「App policies」部分,選取這個連線的授權設定檔或權限集。
  6. 按一下 [儲存]
  7. 依序前往「Settings」>「OAuth settings」,點選「Consumer key and secret」,然後複製並儲存消費者金鑰和消費者密鑰,做為驗證憑證。

找出 Salesforce 基本網址

  1. 在 Salesforce 應用程式中點選設定圖示,然後選取「Setup」
  2. 在快速搜尋方塊中,搜尋並選取「我的網域」
  3. 從「目前的我的網域網址」欄位複製並儲存網址。這是 Salesforce 執行個體的基礎網址,建立資料儲存庫時需要這個網址做為驗證憑證。

設定權限

請完成下列步驟,來確認設定連結器的使用者具備最低資料擷取權限:

  1. 在 Salesforce 應用程式的「快速尋找」方塊中輸入「Profiles」,然後選取「Profiles」
  2. 選取執行連接器的使用者個人資料。
  3. 前往「Standard object permissions」部分確認權限。

  4. 請確認所選使用者具備必要權限。務必對要擷取的每個實體,重複這項檢查程序,

    • 注意:檢查使用者個人資料層級的預設存取權是否設為「私人」。如果實體的存取權設為「私人」, Google Cloud 連接器就無法存取必要物件,且會記錄錯誤。

  5. 如要允許存取物件,請建立權限集並與使用者共用:

    1. 在「快速尋找」方塊中輸入「權限集」,然後選取「權限集」
    2. 點選「New」(新增)
    3. 輸入名稱並儲存權限集。
    4. 開啟建立的權限集,然後前往「Apps」部分。
    5. 選取「Object settings」
    6. 勾選「View all records」核取方塊。
    7. 在「Field permissions」部分,對要同步處理的所有欄位授予「Read」存取權。
    8. 儲存設定並返回。

  6. 啟用系統權限:

    1. 在「System」(系統) 部分,選取「System permissions」(系統權限)
    2. 啟用「已啟用 API」權限。

  7. 將使用者指派至權限集:

    1. 在「快速搜尋」方塊中輸入「使用者」,然後選取「使用者」
    2. 選取使用者。
    3. 在「Permission set assignments」部分,選取「Edit assignments」
    4. 將最近建立的權限集新增至「Enabled permission sets」部分。

詳情請參閱「Salesforce 的資料存取權」和「全組織共用預設值」。

設定 Salesforce,以便擷取資料儲存庫的資料

如要為資料擷取資料儲存庫設定 Salesforce,請按照本節步驟操作。

支援的版本

Salesforce V2 連接器支援 SOAP API 30.0 以上版本。

產生服務連結

如要產生服務連結,請執行下列步驟:

  • 公開端點:如果 Salesforce 資料中心的目的地類型公開,就不需設定服務連結。請改在 Google Cloud 控制台的「Domain URL」(網域網址) 欄位中輸入公開網址。
  • 私人端點:
    1. 透過 PSC 啟用私人執行個體與 Google Cloud之間的連線。
    2. 建立虛擬私有雲網路和必要的子網路。
    3. 建立虛擬機器 (VM) 執行個體,並安裝後端服務。
    4. 選用:設定健康狀態檢查探測,來監控後端健康狀態。
    5. 新增負載平衡器,將流量導向 VM 或後端。
    6. 定義防火牆規則,允許 PSC 端點與後端之間的流量。
    7. 建立 PSC 服務連結來發布端點

產生驗證憑證

資料擷取資料存放區可以使用下列任一支援的驗證類型:

設定 OAuth 2.0 - 用戶端憑證驗證

您必須在 Salesforce 中將 Gemini Enterprise 設為外部用戶端應用程式 (連結的應用程式),才能取得下列驗證資訊:

  • 用戶 ID 或用戶端 ID
  • 用戶密鑰或用戶端金鑰

建立及設定外部用戶端應用程式

  1. 在 Salesforce 應用程式中點選設定圖示,然後選取「Setup」
  2. 在快速搜尋方塊中輸入「應用程式」,然後選取「應用程式管理員」
  3. 選取「New external client app」
  4. 輸入必要基本資訊 (名稱API 名稱聯絡人電子郵件地址)。
  5. 在「API (Enable OAuth settings)」部分,調整下列 OAuth 設定。詳情請參閱「啟用 OAuth 設定來整合 API」。
    1. 勾選「Enable OAuth」核取方塊
    2. 在「Callback URL」部分輸入 https://vertexaisearch.cloud.google.com/oauth-redirect
    3. 在「Selected OAuth scopes」(選取的 OAuth 範圍) 部分,新增「Full access (full)」(完整存取權 (full))、「Manage user data via APIs (api)」(透過 API 管理使用者資料 (api)) 和「Perform requests at any time (refresh_token, offline_access)」(隨時執行要求 (refresh_token, offline_access)) 範圍。詳情請參閱「OAuth 權杖和範圍」。
    4. 在「Flow enablement」部分,勾選「Enable client credentials flow」核取方塊。
  6. 點選「建立」

預先授予外部用戶端應用程式存取權

建立外部用戶端應用程式後,請授權特定使用者或權限集存取該應用程式。

  1. 在 Salesforce 應用程式的快速搜尋方塊中輸入「外部用戶端應用程式」,然後選取「外部用戶端應用程式管理員」
  2. 按一下您建立的外部用戶端應用程式名稱。
  3. 選取「政策」分頁,然後按一下「編輯」
  4. 在「OAuth policies」部分:
    1. 在「Permitted users」 欄位中,選取「Admin approved users are pre-authorized」
    2. 在「OAuth flow and external client enhancement」下方,選取「Enable client credentials flow」,然後輸入使用者的電子郵件 ID。
    3. 在「Refresh token policy」欄位,選取「Refresh token is valid until revoked」
  5. 在「App policies」部分,選取這個連線的授權設定檔或權限集。
  6. 按一下 [儲存]
  7. 依序前往「Settings」>「OAuth settings」,點選「Consumer key and secret」,然後複製並儲存消費者金鑰和消費者密鑰,做為驗證憑證。

設定權限

請完成下列步驟,來確認設定連結器的使用者具備最低資料擷取權限:

  1. 在 Salesforce 應用程式的「快速尋找」方塊中輸入「Profiles」,然後選取「Profiles」
  2. 選取執行連接器的使用者個人資料。
  3. 前往「Standard object permissions」部分確認權限。
  4. 請確認所選使用者具備必要權限。務必對要擷取的每個實體,重複這項檢查程序。
  5. 如要允許存取物件,請建立權限集並與使用者共用:
    1. 在「快速尋找」方塊中輸入「權限集」,然後選取「權限集」
    2. 點選「New」(新增)
    3. 輸入名稱並儲存權限集。
    4. 開啟建立的權限集,然後前往「Apps」部分。
    5. 選取「Object settings」
    6. 勾選「View all records」核取方塊。
    7. 在「Field permissions」部分,對要同步處理的所有欄位授予「Read」存取權。
    8. 儲存設定並返回。
  6. 啟用系統權限:
    1. 在「System」(系統) 部分,選取「System permissions」(系統權限)
    2. 啟用下列最低權限:
      • 已啟用 API
      • 查看所有使用者
      • 查看角色和角色階層
      • 查看設定和配置
  7. 將使用者指派給權限集:
    1. 在「快速搜尋」方塊中輸入「使用者」,然後選取「使用者」
    2. 選取使用者。
    3. 在「Permission set assignments」部分,選取「Edit assignments」
    4. 將最近建立的權限集新增至「Enabled permission sets」部分。

詳情請參閱「Salesforce 的資料存取權」和「全組織共用預設值」。

設定 OAuth 2.0 - JWT 不記名驗證

請先在 Salesforce 將 Gemini Enterprise 設為外部用戶端應用程式 (連結的應用程式),才能取得下列驗證資訊:

  • 客戶自己的金鑰
  • 公開金鑰
  • 使用者名稱

產生私密金鑰和公開憑證

  1. 執行下列指令,產生 2048 位元的 RSA 私密金鑰: openssl genrsa -out server.key 2048

    這個指令會建立名為 server.key 的檔案,其中包含您的私密金鑰。請妥善保管這個檔案,避免外洩。

  2. 執行下列指令,產生自行簽署的公開憑證: openssl req -new -x509 -sha256 -days 3650 -key server.key -out server.crt

    這個指令會產生名為 server.crt 的檔案,也就是您的公開憑證。您可以在設定外部用戶端應用程式 (連結的應用程式) 時,將這個憑證上傳至 Salesforce。

建立及設定外部用戶端應用程式

  1. 在 Salesforce 應用程式中點選設定圖示,然後選取「Setup」
  2. 在快速搜尋方塊中輸入「應用程式」,然後選取「應用程式管理員」
  3. 選取「New external client app」
  4. 輸入外部用戶端應用程式 (連結的應用程式) 的必要基本資訊,例如「External client app name」(外部用戶端應用程式名稱)、「API name」(API 名稱) 和「Contact email」(聯絡人電子郵件地址)
  5. 在「API (Enable OAuth settings)」部分,調整下列 OAuth 設定。詳情請參閱「啟用 OAuth 設定來整合 API」。
    1. 勾選「Enable OAuth」核取方塊
    2. 在「Callback URL」部分輸入 https://vertexaisearch.cloud.google.com/oauth-redirect
    3. 在「Selected OAuth scopes」(選取的 OAuth 範圍) 部分,新增「Full access (full)」(完整存取權 (full))、「Manage user data via APIs (api)」(透過 API 管理使用者資料 (api)) 和「Perform requests at any time (refresh_token, offline_access)」(隨時執行要求 (refresh_token, offline_access))。詳情請參閱「OAuth 權杖和範圍」。
    4. 在「Flow enablement」部分:
      1. 選取「Enable JWT bearer flow」
      2. 上傳「產生私密金鑰和公開憑證」一節中產生的 server.crt

取得登入網址

請按照下列步驟,取得 Salesforce 執行個體的登入網址:

  1. 在 Salesforce 應用程式的快速搜尋方塊中輸入「我的網域」,然後選取「我的網域」
  2. 複製結尾為 my.salesforce.com 的網域。
  3. 在複製的網域開頭新增 https://。這是您在 Gemini Enterprise 建立 Salesforce 連接器時需要的執行個體網址。執行個體網址的格式必須為 https://DOMAIN_NAME.my.salesforce.com

安裝 OAuth 連結的應用程式

請務必安裝您建立的外部用戶端應用程式。前往 Salesforce 帳戶中的「Connected Apps OAuth Usage」頁面,然後安裝應用程式。詳情請參閱連結的應用程式使用限制異動相關說明。

設定使用者名稱和密碼驗證

設定使用者名稱和密碼驗證時,您可以使用現有的安全權杖,也可以透過重設,在註冊的電子郵件地址中接收新安全權杖。

如要重設安全權杖,請按照下列步驟操作:

  1. 在 Salesforce 應用程式中,按一下個人資料圖示,然後選取「設定」
    設定
    設定
  2. 前往「Reset my security token」,然後點選「Reset security token」
    「重設安全權杖」按鈕
    重設安全權杖