Salesforce verbinden

Auf dieser Seite wird beschrieben, wie Sie Salesforce mit Gemini Enterprise verbinden.

Wir empfehlen, den Salesforce V2-Connector (empfohlen) zu verwenden, um Salesforce-Daten in Gemini Enterprise aufzunehmen. Der vorhandene Salesforce-Connector wird eingestellt. Wenn Sie einen vorhandenen Datenspeicher mit dem Salesforce-Connector verwenden, erstellen Sie einen neuen Datenspeicher mit dem Salesforce V2-Connector.

Unterstützte Versionen

Der Salesforce V2-Connector unterstützt die SOAP API-Versionen 30.0 oder höher.

Hinweise

Führen Sie vor dem Einrichten der Verbindung folgende Schritte aus:

  1. Sie benötigen entweder einen Salesforce Enterprise- oder einen Salesforce Entwickler-Plan. Testkonten werden nicht unterstützt.

  2. Konfigurieren Sie Salesforce für die Verbindung, wobei Sie den von Ihnen gewählten Authentifizierungstyp berücksichtigen müssen. Folgende Authentifizierungstypen werden unterstützt:

Dienstanhang generieren

So generieren Sie einen Dienstanhang:

  • Für einen öffentlichen Endpunkt: Ist der Zieltyp des Salesforce-Rechenzentrums Öffentlich, ist für den Dienstanhang keine gesonderte Einrichtung erforderlich. Stattdessen können Sie Ihre öffentliche URL im Feld Domain-URL der Google Cloud Konsole verwenden.

  • Für einen privaten Endpunkt:

    1. Verwenden Sie PSC, um Verbindungen von privaten Instanzen zu Google Cloudzu ermöglichen.
    2. Erstellen Sie ein Virtual Private Cloud-Netzwerk und die erforderlichen Subnetze.
    3. Erstellen Sie eine VM-Instanz und installieren Sie den Backend-Dienst.
    4. Optional: Richten Sie eine Systemdiagnose ein, um den Zustand des Backends zu überwachen.
    5. Fügen Sie einen Load Balancer hinzu, um Traffic an die VM oder das Backend weiterzuleiten.
    6. Definieren Sie Firewallregeln, um Traffic zwischen dem PSC-Endpunkt und dem Backend zuzulassen.
    7. Veröffentlichen Sie den Endpunkt, indem Sie einen PSC-Dienstanhang erstellen.

Salesforce zur Verbindung konfigurieren

Wenn Sie eine Salesforce-Datenquelle mit Gemini Enterprise verbinden möchten, sind bestimmte Konfigurationen in Salesforce erforderlich. Diese Konfigurationen variieren je nach gewähltem Authentifizierungstyp.

Authentifizierung mit Nutzername und Passwort einrichten

Verwenden Sie für die Authentifizierung mit Nutzername und Passwort ein vorhandenes Sicherheitstoken oder setzen Sie das Sicherheitstoken zurück, um ein neues an Ihre registrierte E-Mail-Adresse senden zu lassen.

So setzen Sie Ihr Sicherheitstoken zurück:

  1. Klicken Sie auf Ihr Profilsymbol und wählen Sie Einstellungen aus.

    Einstellungen
    Einstellungen

  2. Gehen Sie zum Tab Mein Sicherheitstoken zurücksetzen und klicken Sie auf Sicherheitstoken zurücksetzen.

    Sicherheitstoken zurücksetzen
    Sicherheitstoken zurücksetzen

    Salesforce sendet das neue Sicherheitstoken an Ihre registrierte E‑Mail-Adresse.

Authentifizierung des Typs „OAuth 2.0 – JWT Bearer“ einrichten

Sie müssen Gemini Enterprise als verbundene App in Salesforce für die API-Einbindung einrichten.

Nachdem Sie Gemini Enterprise als verbundene App eingerichtet haben, können Sie die folgenden, zum Erstellen eines Salesforce-Connectors in Gemini Enterprise erforderlichen Authentifizierungsinformationen abrufen.

  • Kundenschlüssel
  • Öffentlicher Schlüssel
  • Nutzername (vorab für die Nutzung der Anwendung autorisiert)

Privaten Schlüssel und öffentliches Zertifikat generieren

  1. Führen Sie folgenden OpenSSL-Befehl aus, um einen privaten RSA-Schlüssel mit 2.048 Bit zu generieren.

    openssl genrsa -out server.key 2048

    Mit diesem Befehl wird eine Datei mit dem Namen server.key erstellt, die Ihren privaten Schlüssel enthält. Bewahren Sie diese Datei sicher und vertraulich auf.

  2. Führen Sie den folgenden OpenSSL-Befehl aus, um mit dem privaten Schlüssel ein selbst signiertes öffentliches Zertifikat zu generieren.

    openssl req -new -x509 -sha256 -days 3650 -key server.key -out server.crt

    Mit diesem Befehl wird eine Datei mit dem Namen server.crt generiert, die Ihr öffentliches Zertifikat darstellt. Sie können dieses Zertifikat während der Konfiguration der verbundenen App in Salesforce hochladen.

Verbundene App in Salesforce erstellen und konfigurieren

  1. Klicken Sie in Ihrer Salesforce-App auf das Symbol für die Einrichtung und wählen Sie dann Einrichtung aus.

    Einrichtung
    Einrichtung

  2. Geben Sie Apps in das Feld für die Schnellsuche ein und wählen Sie App Manager aus.

  3. Wählen Sie Neue externe Client-App aus.

    Neue externe Client-App
    Neue externe Client-App

  4. Geben Sie die erforderlichen grundlegenden Informationen für Ihre verbundene App ein, z. B. den Name der externen Client-App, den API-Name und die E-Mail-Adresse des Ansprechpartners.

  5. Konfigurieren Sie im Abschnitt API (OAuth-Einstellungen aktivieren) die folgenden OAuth-Einstellungen. Weitere Informationen finden Sie unter OAuth-Einstellungen für die API-Einbindung aktivieren.

    1. Markieren Sie das Kästchen OAuth aktivieren.
    2. Geben Sie https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html als Callback-URL ein.
    3. Fügen Sie im Abschnitt Ausgewählte OAuth-Bereiche die folgenden Bereiche hinzu: Vollzugriff (full), Nutzerdaten über APIs verwalten (api) und Jederzeit Anfragen ausführen (refresh_token, offline_access). Weitere Informationen finden Sie unter OAuth-Tokens und -Bereiche.

    4. Im Abschnitt „Flow-Aktivierung“:

    5. Markieren Sie das Kästchen JWT-Bearer-Flow aktivieren.

    6. Laden Sie das öffentliche Zertifikat hoch, das Sie unter Privaten Schlüssel und öffentliches Zertifikat generieren erstellt haben.

      OAuth-Einstellungen aktivieren – OAuth2-JWT-Token
      OAuth-Einstellungen aktivieren – OAuth2-JWT

    7. Klicken Sie auf Erstellen.

Zugriff durch externe Client-Apps vorab autorisieren

Nachdem Sie die verbundene App erstellt haben, müssen Sie bestimmten Nutzern oder Berechtigungssätzen den Zugriff darauf explizit gewähren.

  1. Geben Sie External client app in das Feld für die Schnellsuche ein und wählen Sie Manager für externe Client-Apps aus.
  2. Suchen und öffnen Sie die externe Client-App, die Sie zuvor erstellt haben.
  3. Klicken Sie auf dem Tab Richtlinien auf Bearbeiten, um die App-Details anzupassen.

  4. Führen Sie im Abschnitt OAuth-Richtlinien folgende Schritte aus:

    1. Wählen Sie im Feld Berechtigte Nutzer die Option Vom Administrator genehmigte Nutzer sind vorautorisiert aus.
    2. Wählen Sie im Feld Richtlinie für Aktualisierungstoken die Option Aktualisierungstoken ist bis zum Widerruf gültig aus.
    3. Wählen Sie im Feld IP-Lockerung die Option IP-Einschränkungen lockern aus.
      Richtlinien – OAuth2-JWT-Inhaber
      OAuth-Richtlinien – OAuth2-JWT-Inhaber

    Mit der Option „IP-Lockerung“ wird gesteuert, ob der Zugriff der verbundenen App durch IP-Bereiche eingeschränkt wird. IP-Einschränkungen werden auf Grundlage der Einstellungen des Nutzerprofils erzwungen. Sie müssen prüfen, ob in den Nutzereinstellungen eine organisationsweite Erzwingung von IP-Bereichen aktiv ist. Wenn IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen aktiviert ist, werden die vorhandenen IP-Einschränkungen durch die Einstellung IP-Lockerung zur Lockerung der IP-Einschränkungen nicht überschrieben. Weitere Informationen finden Sie unter IP-Lockerung für verbundene Apps und kontinuierliche IP-Durchsetzung.

  5. Wählen Sie im Bereich App-Richtlinien die Profile und Berechtigungssätze aus, für die dieser Authentifizierungstyp autorisiert werden muss.

    App-Richtlinien
    App-Richtlinien

  6. Klicken Sie auf Speichern.

  7. Gehen Sie zum Tab Einstellungen.

  8. Klicken Sie im Bereich OAuth-Einstellungen auf Consumer-Key und ‑Secret und kopieren Sie Consumer key und Consumer secret.

OAuth 2.0-Einrichtung – Authentifizierung mit Clientanmeldedaten

Sie müssen Gemini Enterprise als verbundene App in Salesforce für die API-Einbindung einrichten.

Nachdem Sie Gemini Enterprise als verbundene App eingerichtet haben, können Sie die folgenden, zum Erstellen eines Salesforce-Connectors in Gemini Enterprise erforderlichen Authentifizierungsinformationen abrufen.

  • Nutzer-ID oder Client-ID
  • Consumer-Secret oder Clientschlüssel

Externe Client-App erstellen und konfigurieren

  1. Klicken Sie in Ihrer Salesforce-App auf das Symbol für die Einrichtung und wählen Sie dann Einrichtung aus.

  2. Geben Sie Apps in das Feld für die Schnellsuche ein und wählen Sie App Manager aus.

  3. Wählen Sie Neue externe Client-App aus.

  4. Geben Sie die erforderlichen grundlegenden Informationen für Ihre verbundene App ein, z. B. den Name der externen Client-App, den API-Name und die E-Mail-Adresse des Ansprechpartners.

  5. Konfigurieren Sie im Abschnitt API (OAuth-Einstellungen aktivieren) die folgenden OAuth-Einstellungen. Weitere Informationen finden Sie unter OAuth-Einstellungen für die API-Einbindung aktivieren.

    1. Markieren Sie das Kästchen OAuth aktivieren.
    2. Geben Sie https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html als Callback-URL ein.
    3. Wählen Sie im Abschnitt Ausgewählte OAuth-Bereiche die folgenden Bereiche: Vollzugriff (full), Nutzerdaten über APIs verwalten (api) und Jederzeit Anfragen ausführen (refresh_token, offline_access). Weitere Informationen finden Sie unter OAuth-Tokens und -Bereiche.
    4. Markieren Sie im Abschnitt „Flow-Aktivierung“ das Kästchen Clientanmeldedaten-Flow aktivieren.
      OAuth-Einstellungen aktivieren – OAuth2-Client-Anmeldedaten
      OAuth-Einstellungen aktivieren – OAuth2-Clientanmeldedaten

  6. Klicken Sie auf Erstellen.

Zugriff durch externe Client-Apps vorab autorisieren

Nachdem Sie die externe Client-App erstellt haben, müssen Sie bestimmten Nutzern oder Berechtigungssätzen die Berechtigung zum Zugriff auf diese explizit erteilen.

  1. Geben Sie External client app in das Feld für die Schnellsuche ein und wählen Sie Manager für externe Client-Apps aus.
  2. Klicken Sie auf den Namen der externen Client-App, die Sie erstellt haben.
  3. Klicken Sie auf dem Tab Richtlinien auf Bearbeiten, um die App-Details anzupassen.

  4. Führen Sie im Abschnitt OAuth-Richtlinien folgende Schritte aus:

    1. Wählen Sie im Feld Berechtigte Nutzer die Option Vom Administrator genehmigte Nutzer sind vorautorisiert aus.

    2. Im Abschnitt OAuth-Flow und externe Client-Erweiterung:

      1. Markieren Sie das Kästchen Ablauf der Clientanmeldedaten aktivieren.
      2. Geben Sie die E‑Mail-ID des Nutzers ein.

    3. Wählen Sie im Feld Richtlinie für Aktualisierungstoken die Option Aktualisierungstoken ist bis zum Widerruf gültig aus.

    4. Wählen Sie im Feld IP-Lockerung die Option IP-Einschränkungen lockern aus.

      Richtlinien – OAuth2-Clientanmeldedaten
      OAuth-Richtlinien – OAuth2-Clientanmeldedaten

    Mit der Option „IP-Lockerung“ wird gesteuert, ob der Zugriff der verbundenen App durch IP-Bereiche eingeschränkt wird. IP-Einschränkungen werden auf Grundlage der Einstellungen des Nutzerprofils erzwungen. Sie müssen prüfen, ob in den Nutzereinstellungen eine organisationsweite Erzwingung von IP-Bereichen aktiv ist. Wenn IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen aktiviert ist, werden die vorhandenen IP-Einschränkungen durch die Einstellung IP-Lockerung zur Lockerung der IP-Einschränkungen nicht überschrieben. Weitere Informationen finden Sie unter IP-Lockerung für verbundene Apps und kontinuierliche IP-Durchsetzung.

  5. Wählen Sie im Bereich App-Richtlinien die Profile und Berechtigungssätze aus, für die dieser Authentifizierungstyp autorisiert werden muss.

    App-Richtlinien
    App-Richtlinien

  6. Klicken Sie auf Speichern.

  7. Gehen Sie zum Tab Einstellungen.

  8. Klicken Sie im Bereich OAuth-Einstellungen auf Consumer-Key und -Secret und kopieren Sie dann Consumer key und Consumer secret.

Anmelde-URL abrufen

So rufen Sie die Anmelde-URL für Ihre Salesforce-Instanz ab:

  1. Geben Sie My domain in das Feld für die Schnellsuche ein und wählen Sie Meine Domain aus.
  2. Kopieren Sie die Domain, die auf my.salesforce.com endet.
  3. Fügen Sie https:// am Anfang der kopierten Domain hinzu. Dies ist die Instanz-URL, die Sie benötigen, wenn Sie den Salesforce-Connector in Gemini Enterprise erstellen. Die Instanz-URL muss das folgende Format haben: https://DOMAIN_NAME.my.salesforce.com.

Mindestberechtigungen für Nutzer konfigurieren

So prüfen Sie, ob der den Connector konfigurierende Nutzer die erforderlichen Mindestberechtigungen zum Abrufen von Daten hat:

  1. Geben Sie Profiles in das Feld für die Schnellsuche ein und wählen Sie Profile aus.
  2. Wählen Sie das Nutzerprofil aus, unter dem der Connector ausgeführt wird.
  3. Gehen Sie zum Abschnitt Standardberechtigungen für Objekte und prüfen Sie die Berechtigungen.

Prüfen Sie, ob der ausgewählte Nutzer Zugriff auf die Berechtigungen hat. Dieser Vorgang muss für jede aufzunehmende Entität wiederholt werden. Dazu müssen Sie prüfen, ob der Standardzugriff auf der Profilebene des Nutzers auf Private festgelegt ist. Wenn der Zugriff einer Identität auf Private festgelegt ist, kann Ihr Google Cloud -Connector nicht auf das erforderliche Objekt zugreifen und registriert einen Fehler in Cloud Logging. So gewähren Sie Zugriff:

  1. Einen Berechtigungssatz erstellen und für den Nutzer freigeben

    1. Geben Sie Permission sets in das Feld für die Schnellsuche ein und wählen Sie Berechtigungssätze aus.

    2. Klicken Sie auf Neu.

    3. Geben Sie einen Namen ein und speichern Sie den Berechtigungssatz.

    4. Öffnen Sie den erstellten Berechtigungssatz und rufen Sie den Bereich Apps auf.

    5. Wählen Sie Objekteinstellungen aus.

    6. Markieren Sie das Kästchen Alle Einträge ansehen.

    7. Gewähren Sie im Bereich Feldberechtigungen Lesezugriff auf alle Felder, die Sie synchronisieren möchten.

      Objekteinstellungen – Berechtigungen
      Objekteinstellungen

    8. Speichern Sie die Einstellungen und kehren Sie zurück.

    9. Wählen Sie im Abschnitt „System“ die Option Systemberechtigungen aus.

    10. Aktivieren Sie folgende Mindestberechtigungen:

      • API enabled

      • View all users

      • View roles and role hierarchy

      • View setup and configuration

  2. Fügen Sie den Nutzer dem Berechtigungssatz hinzu:

    1. Geben Sie Users in das Feld für die Schnellsuche ein und wählen Sie Nutzer aus.

    2. Wählen Sie den Nutzer aus.

    3. Wählen Sie im Abschnitt Zuweisungen des Berechtigungssatz die Option Zuweisungen bearbeiten aus.

    4. Fügen Sie den neu erstellten Berechtigungssatz dem Bereich Aktivierte Berechtigungssätze hinzu.

Weitere Informationen finden Sie unter Datenzugriff in Salesforce und Organization-Wide Sharing Defaults.

Salesforce V2-Datenspeicher erstellen

Console

So synchronisieren Sie über die Google Cloud Console Salesforce-Daten mit Gemini Enterprise:

  1. Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.

    Gemini Enterprise

  2. Klicken Sie im Navigationsmenü auf Datenspeicher.

  3. Klicken Sie auf Datenspeicher erstellen.

  4. Scrollen Sie auf der Seite Datenquelle auswählen zu Salesforce V2 oder lassen Sie es suchen, um die Drittanbieterquelle zu verbinden.

  5. Wählen Sie im Bereich Authentifizierungen die Authentifizierungsmethode aus und geben Sie die Authentifizierungsinformationen ein.

  6. Wählen Sie im Bereich Ziele eine der Optionen Öffentlich oder Privat aus.

    1. Für den Zieltyp Öffentlich ist keine Einrichtung für den Dienstanhang erforderlich. Geben Sie im Feld Log-in-URL Ihre Log-in-URL für den Salesforce-Server ein.

    2. Geben Sie für den Zieltyp Privat alle erforderlichen Informationen ein:

      1. Dienstanhang: Geben Sie Ihren Dienstanhang ein.
      2. Basisdomainname: Geben Sie Ihre Basisdomain ein.
      3. Log-in-URL: Geben Sie Ihre Log-in-URL für den Salesforce-Server ein.

  7. Klicken Sie auf Weiter.

  8. Führen Sie im Abschnitt Zu synchronisierende Entitäten folgende Schritte aus:

    1. Wählen Sie die Entitäten aus, die Sie synchronisieren möchten.

      • Optional: URL-Feldname: Geben Sie einen Spaltennamen ein, um die Standard-Entitäts-URL mit einer benutzerdefinierten URL aus der Salesforce-Tabelle zu überschreiben. Bei diesem Feld wird zwischen Groß- und Kleinschreibung unterschieden.

        Beispiel: Wenn die Salesforce-Tabelle „Accounts“, die Sie synchronisieren, eine website-Spalte mit einer bestimmten Websiteadresse für jedes Konto enthält, können Sie hier website eingeben. Wenn ein Nutzer ein Konto in seinen Suchergebnissen aufruft und auf den Link klickt, wird er zur URL in der Spalte website weitergeleitet und nicht zur Standard-URL der Salesforce-Datensatzseite.

    2. Optional: Wenn Sie benutzerdefinierte Einheiten hinzufügen möchten, klicken Sie auf Einheiten manuell hinzufügen. Der Name der benutzerdefinierten Entität muss folgendes Format haben: custom_object_name__c. Beispiel: MyObject__c.

      Zu synchronisierende Connector-Entitäten
      Zu synchronisierende Entitäten

    3. Wählen Sie die Häufigkeit der Synchronisierung für die vollständige Synchronisierung und die Häufigkeit der inkrementellen Synchronisierung für die inkrementelle Datensynchronisierung aus. Weitere Informationen finden Sie unter Synchronisierungszeitpläne.

      Häufigkeit der Synchronisierung festlegen
      Synchronisierungshäufigkeit festlegen
      • Optional: Wenn Sie separate vollständige Synchronisierungen von Entitäten und Identitäten planen möchten, maximieren Sie das Menü unter „Vollständige Synchronisierung“. Wählen Sie Benutzerdefinierte Optionen aus. Legen Sie im Dialogfeld Benutzerdefinierte Synchronisierungsoption die Häufigkeit für Entitäten und Identitäten fest.
      Benutzerdefinierte Optionen für die vollständige Datensynchronisierung.
      Separate Zeitpläne für die vollständige Synchronisierung von Entitäten und Identitäten festlegen.

  9. Klicken Sie auf Weiter.

  10. Führen Sie im Abschnitt Daten-Connector konfigurieren folgende Schritte aus:

    1. Wählen Sie eine Region für Ihren Datenspeicher aus.
    2. Geben Sie einen Namen für den Datenspeicher ein.
    3. Klicken Sie auf Erstellen. Gemini Enterprise erstellt den Datenspeicher und zeigt ihn auf der Seite Datenspeicher an.
      Connector Daten-Connector konfigurieren
      Daten-Connector konfigurieren

  11. Wenn Sie den Status der Aufnahme prüfen möchten, rufen Sie die Seite Datenspeicher auf und klicken auf den Namen des Datenspeichers, um entsprechende Details auf der Seite Daten anzeigen zu lassen. Der Connector-Status ändert sich von Wird erstellt zu Wird ausgeführt, wenn mit der Synchronisierung von Daten begonnen wird. Wenn die Datenaufnahme abgeschlossen ist, ändert sich der Status zu Aktiv. Das bedeutet, dass die Verbindung zu Ihrer Datenquelle eingerichtet ist und auf die nächste geplante Synchronisierung gewartet wird.

    Je nach Größe der Daten kann die Datenaufnahme einige Minuten oder mehrere Stunden dauern.

OAuth-verbundene App installieren

Wenn Sie die OAuth-Authentifizierung verwenden, müssen Sie die externe Client-App installieren, die Sie im Abschnitt Verbundene App in Salesforce erstellen und konfigurieren erstellt haben. Rufen Sie in Ihrem Salesforce-Konto die Seite verbundene Apps OAuth-Nutzung auf und installieren Sie die App. Weitere Informationen finden Sie unter Änderung der Nutzungseinschränkungen verbundener Apps.

Ratenlimits

Das standardmäßige Ratenlimit für den Salesforce-Connector beträgt 5 Anfragen pro Sekunde.

Fehlermeldungen

Die folgende Tabelle listet die Fehlermeldungen auf, die beim Verwenden des Salesforce-Connectors angezeigt werden können:

Fehlermeldung Beschreibung Fehlerbehebung
Die Initialisierung des Connectors ist aufgrund eines Pipelinefehlers fehlgeschlagen. Löschen Sie den Connector und versuchen Sie noch einmal, ihn zu erstellen. Der Connector konnte aufgrund eines Pipelinefehlers nicht initialisiert werden. Dies ist auf einen internen Dienstfehler zurückzuführen. Löschen Sie den vorhandenen Connector und erstellen Sie ihn neu.
Der Connector ist gesperrt, weil das Projekt dem VPC-SC-Perimeter hinzugefügt wurde. Erstellen Sie den Datenspeicher neu. Nachdem der Datenspeicher erstellt wurde, wurde dieses Projekt dem VPC Service Controls-Perimeter hinzugefügt. Löschen Sie den vorhandenen Datenspeicher und erstellen Sie ihn neu. So wird sichergestellt, dass der Datenspeicher für den Betrieb innerhalb des VPC Service Controls-Perimeters korrekt konfiguriert ist.
Die Verbindung ist nicht aktiv. Verbindungsstatus: FEHLER und Beschreibung: Fehler beim Abrufen von OAuth-Tokeninformationen. [INVALID_GRANT] Es sind keine Client-Anmeldedaten für den Nutzer aktiviert. Bei der Authentifizierung mit JWT-Clientanmeldedaten ist die Verbindung nicht aktiv, da das OAuth-Token nicht abgerufen werden kann.
  • Rufen Sie in der Salesforce-Instanz die externe Client-App auf und suchen Sie nach der Client-App, die für den Datenspeicher verwendet wird. Fügen Sie im Bereich Vorgang für Clientanmeldedaten die E‑Mail-Adresse eines Nutzers mit den erforderlichen Berechtigungen in das Feld Als Nutzer ausführen ein. Klicken Sie auf „Speichern“.
  • Löschen Sie den Datenspeicher in der Google Cloud -Console und erstellen Sie ihn dann neu.
Die Verbindung ist nicht aktiv. Verbindungsstatus: FEHLER und Beschreibung: INVALID_LOGIN: Ungültiger Nutzername, ungültiges Passwort, ungültiges Sicherheitstoken oder Nutzer gesperrt. Die Verbindung ist aufgrund nicht korrekter Anmeldedaten fehlgeschlagen. Die Verbindung ist aufgrund eines ungültigen Nutzernamens, Passworts oder Sicherheitstokens nicht aktiv.
  • Prüfen Sie, ob Nutzername und Passwort korrekt sind. Der Nutzername ist in der Regel eine E‑Mail-Adresse, z. B. nutzer@unternehmen.de.
  • Prüfen Sie, ob das Sicherheitstoken korrekt und aktuell ist. Jedes Mal, wenn Sie Ihr Passwort zurücksetzen, wird Ihr Sicherheitstoken ungültig. Wenn Ihr Sicherheitstoken ungültig ist, können Sie es zurücksetzen.
Die Verbindung ist nicht aktiv. Verbindungsstatus: FEHLER und Beschreibung: Fehler beim Abrufen von OAuth-Tokeninformationen. [INVALID_GRANT] Die Zielgruppe ist ungültig. Die Verbindung ist fehlgeschlagen, weil beim Abrufen des OAuth-Tokens für die JWT-Authentifizierung eine ungültige Zielgruppe zurückgegeben wurde. Das liegt wahrscheinlich an nicht korrekten Nutzeranmeldedaten. Prüfen Sie, ob Nutzername und Passwort korrekt sind. Der Nutzername ist in der Regel eine E‑Mail-Adresse, z. B. nutzer@unternehmen.de.
[INVALID_SESSION_ID] Ungültige oder abgelaufene Sitzung. Versuchen Sie erneut, eine Verbindung herzustellen. Besteht das Problem weiterhin, kann das folgende Gründe haben: A) Sie haben Ihre Sitzungslimits für diesen Nutzer überschritten. B) Möglicherweise ist für Ihr Konto die 2‑Faktor-Authentifizierung erforderlich. C) „Sitzungen an die IP-Adresse binden, von der sie generiert werden“ ist in den Salesforce-Sicherheitskontrollen aktiviert und Ihre IP-Adresse ändert sich zwischen Anfragen. Die Sitzung ist nicht mehr gültig. Das kann passieren, wenn Sie Ihre Sitzungslimits überschritten haben oder für Ihr Konto die Multi-Faktor-Authentifizierung (MFA) erforderlich ist. Der Fehler kann auch auftreten, wenn eine Sicherheitseinstellung aktiviert ist, die Ihre Sitzung an eine bestimmte IP-Adresse bindet und sich Ihre IP-Adresse geändert hat.
  • Rufen Sie die Salesforce-Einstellungen auf und prüfen Sie, ob Sitzungen an die IP-Adresse binden, von der sie stammen auf Aus steht.
  • Prüfen Sie in den Profileinstellungen des Nutzers, ob Sicherheitsstufe für Sitzung bei Anmeldung erforderlich auf Keine festgelegt ist.

Bekannte Einschränkungen

  • Kategoriebasierte Zugriffssteuerungslisten für Wissensartikelversionen werden nicht unterstützt.

  • Aufgaben sind nur für Nutzer mit der Berechtigung Alle Daten ansehen, für Aufgabeninhaber und für Nutzer mit Zugriff über die Hierarchie sichtbar.

  • Wenn Sie einem VPC Service Controls-Perimeter (VPC-SC) ein Projekt hinzufügen, nachdem Sie eine Verbindung erstellt haben, schlägt der Connector-Synchronisierungslauf fehl.

  • Beim manuellen Hinzufügen von Einheiten werden nur Salesforce-Objekte vom Typ Custom Object__c (benutzerdefinierte Objekte mit Variablennamen, die auf __c enden) unterstützt.

Salesforce (V1) verbinden

Hinweise

Führen Sie vor dem Einrichten der Verbindung folgende Schritte aus:

  1. Sie benötigen entweder einen Enterprise- oder einen Developer-Plan. Testkonten werden nicht unterstützt.
  2. Zugriffssteuerung für Ihre Datenquelle einrichten Informationen zum Einrichten der Zugriffssteuerung finden Sie unter Zugriffssteuerung für Datenquellen verwenden.
  3. Prüfen Sie, ob die Salesforce-CORS-Zulassungsliste Google Cloudenthält.
    1. Informationen zum Konfigurieren der Zulassungsliste finden Sie unter CORS für OAuth-Endpunkte aktivieren.
    2. Wenn Sie Google Cloudeinbeziehen möchten, fügen Sie https://console.cloud.google.com/ als Quell-URL hinzu und speichern die Konfiguration.

Verbundene App in Salesforce erstellen

Sie müssen Vertex AI Search als verbundene App in Salesforce für die API-Einbindung einrichten.

Nachdem Sie Vertex AI Search als verbundene App eingerichtet haben, können Sie die folgenden Authentifizierungsinformationen abrufen, die zum Erstellen eines Salesforce-Connectors in Gemini Enterprise erforderlich sind.

  • Instanz-URL
  • Nutzer-ID oder Client-ID
  • Consumer-Secret oder Clientschlüssel

So aktivieren Sie OAuth 2.0 und rufen die Authentifizierungsinformationen ab:

  1. Klicken Sie in Ihrer Salesforce-App auf das Symbol für die Einrichtung und wählen Sie dann Einrichtung aus.

    Wählen Sie die Einrichtung für Ihre Salesforce-App aus.
    Einrichtung für Ihre Salesforce-App auswählen

  2. Geben Sie External Client App in das Feld Schnellsuche ein und wählen Sie Manager für externe Client-Apps aus.

  3. Klicke im Menü auf Einstellungen.

  4. Stellen Sie den Schalter Erstellung verbundener Apps zulassen auf „Ein“ und klicken Sie auf Neue verbundene App.

    Dazu benötigen Sie die entsprechenden Berechtigungen für externe Client-Apps. Prüfen Sie, ob Sie die folgenden Berechtigungen haben:

    • Externe Client-Apps erstellen, bearbeiten und löschen
    • Alle externen Client-Apps ansehen
    • Alle externen Client-Apps, ihre Einstellungen und ihre Richtlinien ansehen und bearbeiten
    App-Manager aufrufen und neue verbundene App erstellen
    App-Manager aufrufen und neue verbundene App erstellen

  5. Fügen Sie auf der Seite zum Erstellen der neuen verbundenen App die grundlegenden Informationen für Ihre App hinzu, z. B. den Namen der App, Ihre Kontaktdaten und ein Logo zur Identifizierung Ihrer App. Weitere Informationen finden Sie unter Allgemeine Einstellungen für verbundene Apps konfigurieren.

  6. Konfigurieren Sie im Abschnitt API (OAuth-Einstellungen aktivieren) die folgenden OAuth-Einstellungen. Weitere Informationen finden Sie unter OAuth-Einstellungen für die API-Einbindung aktivieren.

    OAuth-Einstellungen aktivieren und konfigurieren
    OAuth-Einstellungen aktivieren und konfigurieren

    1. Wählen Sie OAuth-Einstellungen aktivieren aus.

    2. Geben Sie die Callback-URL als https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html an.

    3. Fügen Sie im Abschnitt Ausgewählte OAuth-Bereiche die folgenden Bereiche hinzu: Vollzugriff(full) und Jederzeit Anfragen ausführen (refresh_token, offline_access). Weitere Informationen finden Sie unter OAuth-Tokens und -Bereiche.

    4. Wählen Sie Clientanmeldedaten-Flow aktivieren aus.

    5. Wählen Sie Autorisierungscode- und Anmeldedaten-Flow aktivieren aus.

    6. Wählen Sie Nutzeranmeldedaten im POST-Text für Autorisierungscode- und Anmeldedaten-Flow erforderlich aus.

    7. Geben Sie unter Benutzerdefinierter Handler für verbundene Apps einen Ausführen als-Nutzer an. Dieser Nutzer muss Leseberechtigungen für alle Entitäten haben, die der Connector für ihn extrahieren soll.

      „Ausführen als“ im benutzerdefinierten Handler für verbundene Apps angeben
      Als Nutzer ausführen, der Leseberechtigungen hat

  7. Klicken Sie auf Speichern, um die verbundene App zu erstellen.

  8. Geben Sie Manage connected apps in das Feld für die Schnellsuche ein und wählen Sie Verbundene Apps verwalten aus.

  9. Suchen Sie in der Liste nach Ihrer App, wählen Sie Bearbeiten aus und klicken Sie dann auf der Seite mit den Details der verbundenen App auf Richtlinien bearbeiten, um die folgenden Details zu konfigurieren:

    Verbundene Apps verwalten und Richtlinien bearbeiten
    Verbundene App verwalten und Richtlinien bearbeiten

    1. Legen Sie IP-Lockerung auf IP-Einschränkungen lockern fest.

      Verbundene App konfigurieren und Ablauf der Clientanmeldedaten hinzufügen
      Zusätzliche Einrichtung für die verbundene App und den Clientanmeldedatenfluss

      Mit dieser Option wird festgelegt, ob der Zugriff auf die verbundene App durch IP-Bereiche eingeschränkt wird. IP-Einschränkungen werden entsprechend der Einstellungen im Nutzerprofil durchgesetzt. Sie müssen prüfen, ob in den Nutzereinstellungen die Erzwingung von organisationsweiten IP-Adressbereichen konfiguriert ist. Wenn IP-Bereiche für die Anmeldung bei jeder Anfrage erzwingen aktiviert ist, werden die IP-Einschränkungen durch die Einstellung der Option IP-Lockerung auf IP-Einschränkungen lockern nicht entfernt. Weitere Informationen finden Sie unter IP-Lockerung für verbundene Apps und kontinuierliche IP-Durchsetzung. Wenn Sie IP-Einschränkungen in der verbundenen App erzwingen möchten, richten Sie eine vertrauenswürdige IP-Adresse ein. Weitere Informationen finden Sie unter Einschränken des Zugriffs auf vertrauenswürdige IP-Bereiche für eine verbundene App. Wenn Sie keine Einschränkungen für den IP-Zugriff haben möchten, darf IP-Anmeldebereiche bei jeder Anfrage erzwingen nicht ausgewählt sein.

    2. Legen Sie Richtlinie für Aktualisierungstoken auf Aktualisierungstoken ist bis zum Widerruf gültig fest.

    3. Setzen Sie Berechtigte Nutzer auf Alle Nutzer können sich selbst autorisieren.

    4. Geben Sie im Abschnitt Clientanmeldedaten-Flow einen Ausführen als-Nutzer an. Der angegebene Nutzer muss Leseberechtigungen für alle Entitäten haben, die vom Connector extrahiert werden sollen. So prüfen Sie, ob der ausgewählte Nutzer alle erforderlichen Berechtigungen hat:

      1. Klicken Sie in Ihrer Salesforce-App auf das Symbol für die Einrichtung und wählen Sie dann Einrichtung aus.
      2. Klicken Sie im Hauptmenü auf Nutzer und dann auf den Nutzernamen, dessen Berechtigungen Sie prüfen möchten.
      3. Klicken Sie auf Profile, gehen Sie zum Abschnitt Standardberechtigungen für Objekte und prüfen Sie die Berechtigungen.
        Leseberechtigungen des Nutzers prüfen
        Berechtigungen des Nutzers überprüfen

    5. Prüfen Sie, ob der ausgewählte Nutzer Zugriff auf die Berechtigungen hat. Dazu müssen Sie prüfen, ob der Standardzugriff auf der Profilebene des Nutzers auf Private festgelegt ist. Wenn der Zugriff einer Identität auf Private festgelegt ist, kann Ihr Google Cloud -Connector nicht auf das erforderliche Objekt zugreifen und registriert einen Fehler in Cloud Logging. So gewähren Sie Zugriff:

      • Ändern Sie die Standardberechtigung für das Profil in Public.
      • Konfigurieren Sie den Zugriff auf jede Einheit separat in den Freigabeeinstellungen.
        Freigabeeinstellungen für Entitäten
        Freigabeeinstellungen für Einheiten konfigurieren
      • Erstellen Sie einen Berechtigungssatz und geben Sie ihn für den Nutzer frei:
        1. Geben Sie Permission sets in das Feld für die Schnellsuche ein und wählen Sie Berechtigungssätze aus.
        2. Klicken Sie auf Neu.
        3. Geben Sie einen Namen ein und speichern Sie den Berechtigungssatz.
        4. Klicken Sie unter System auf Systemberechtigungen.
        5. Klicken Sie auf Bearbeiten, wählen Sie Einrichtung und Konfiguration ansehen aus und speichern Sie die Änderungen.
        6. Klicken Sie auf der Seite Berechtigungssätze auf Zuweisungen verwalten.
        7. Klicken Sie auf Zuweisungen hinzufügen, wählen Sie den Nutzer aus, dem Sie das Berechtigungssatz zuweisen möchten, und klicken Sie dann auf Zuweisen.
      • Weitere Informationen finden Sie unter Datenzugriff in Salesforce und Organization-Wide Sharing Defaults.

  10. Klicken Sie auf Speichern.

  11. Geben Sie OAuth and openID connect settings in das Feld „Schnellsuche“ ein, wählen Sie OAuth- und OpenID Connect-Einstellungen aus und aktivieren Sie dann Autorisierungscode- und Anmeldedaten-Flows zulassen.

    OAuth- und OpenID Connect-Einstellungen festlegen
    OAuth- und OpenID Connect-Einstellungen festlegen

  12. Instanz-URL abrufen:

    1. Geben Sie My domain in das Feld für die Schnellsuche ein und wählen Sie Meine Domain aus.
      App-Domainnamen kopieren
      Domainname Ihrer App kopieren
    2. Kopieren Sie die Domain, die auf my.salesforce.com endet.
    3. Fügen Sie https:// am Anfang der kopierten Domain hinzu. Dies ist die Instanz-URL, die Sie benötigen, wenn Sie den Salesforce-Connector in Gemini Enterprise erstellen. Die Instanz-URL muss das folgende Format haben: https://<var>DOMAIN_NAME</var>.my.salesforce.com</var>.

  13. Rufen Sie die Consumer-ID und den Consumer-Key ab.

    1. Rufen Sie den App Manager auf, suchen Sie Ihre App und wählen Sie in den Optionen Anzeigen aus.
      App-Details im App-Manager ansehen
      App-Details ansehen
    2. Klicken Sie auf Kundendetails verwalten.
      Klicken Sie auf „Consumer-Details verwalten“.
      Auf die Schaltfläche „Consumer-Details verwalten“ klicken
    3. Bestätigen Sie Ihre Identität, wenn Sie dazu aufgefordert werden.

    4. Kopieren Sie die Verbraucherdetails.

      Consumer-Key und -Secret kopieren
      Consumer-Key und Secret kopieren

      Dies ist die Instanz-URL, die Sie benötigen, wenn Sie den Salesforce-Connector in Gemini Enterprise erstellen.

      Wenn Aktualisierungstoken aktiviert ist, achten Sie darauf, dass das Token aktualisiert wird und Sie das aktuelle Token kopieren, wenn Sie den Salesforce-Connector in Gemini Enterprise erstellen.

Salesforce-Datenspeicher (V1) erstellen

Console

So synchronisieren Sie über die Google Cloud Console Salesforce-Daten mit Gemini Enterprise:

  1. Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.

    Gemini Enterprise

  2. Klicken Sie im Navigationsmenü auf Datenspeicher.

  3. Klicken Sie auf Datenspeicher erstellen.

  4. Scrollen Sie auf der Seite Datenquelle auswählen zu Salesforce oder suchen Sie danach, um die Drittanbieterquelle zu verbinden.

  5. Geben Sie Ihre Salesforce-Authentifizierungsinformationen ein.

  6. Wählen Sie aus, welche Entitäten synchronisiert werden sollen, und klicken Sie auf Weiter.

  7. Wählen Sie die Häufigkeit der Synchronisierung für die vollständige Synchronisierung und die Häufigkeit der inkrementellen Synchronisierung für die inkrementelle Datensynchronisierung aus. Weitere Informationen finden Sie unter Synchronisierungszeitpläne.

    Wenn Sie separate vollständige Synchronisierungen von Entitäts- und Identitätsdaten planen möchten, maximieren Sie das Menü unter Vollständige Synchronisierung und wählen Sie Benutzerdefinierte Optionen aus.

    Benutzerdefinierte Optionen für die vollständige Datensynchronisierung.
    Separate Zeitpläne für die vollständige Synchronisierung von Entitäten und Identitäten festlegen.

  8. Wählen Sie eine Region für Ihren Datenspeicher aus.

  9. Geben Sie einen Namen für den Datenspeicher ein.

  10. Klicken Sie auf Erstellen. Gemini Enterprise erstellt den Datenspeicher und zeigt ihn auf der Seite Datenspeicher an.

  11. Wenn Sie den Status der Aufnahme prüfen möchten, rufen Sie die Seite Datenspeicher auf und klicken auf den Namen des Datenspeichers, um entsprechende Details auf der Seite Daten anzeigen zu lassen. Der Connector-Status ändert sich von Wird erstellt zu Wird ausgeführt, wenn mit der Synchronisierung von Daten begonnen wird. Wenn die Datenaufnahme abgeschlossen ist, ändert sich der Status zu Aktiv. Das bedeutet, dass die Verbindung zu Ihrer Datenquelle eingerichtet ist und auf die nächste geplante Synchronisierung gewartet wird.

    Je nach Größe der Daten kann die Datenaufnahme einige Minuten oder mehrere Stunden dauern.

Nächste Schritte