Connecter Salesforce

Cette page explique comment connecter Salesforce à Gemini Enterprise.

Nous vous recommandons d'utiliser le connecteur Salesforce V2 (recommandé) pour ingérer les données Salesforce dans Gemini Enterprise. Le connecteur Salesforce existant sera obsolète. Si vous utilisez un data store existant qui utilise le connecteur Salesforce, créez-en un avec le connecteur Salesforce V2.

Versions compatibles

Le connecteur Salesforce V2 est compatible avec la version 30.0 ou ultérieure de l'API SOAP.

Avant de commencer

Avant de configurer votre connexion, procédez comme suit :

  1. Utilisez un forfait Salesforce dédié aux entreprises ou aux développeurs. Les comptes d'essai ne sont pas acceptés.

  2. Configurez Salesforce pour la connectivité en fonction du type d'authentification choisi. Les types d'authentification compatibles sont les suivants :

Générer un rattachement de service

Pour générer un rattachement de service, procédez comme suit :

  • Pour un point de terminaison public : si le type de destination du centre de données Salesforce est public, vous n'avez pas besoin de configurer le rattachement de service. À la place, vous pouvez utiliser votre URL publique dans le champ URL de domaine de la console Google Cloud .

  • Pour le point de terminaison privé :

    1. Utilisez PSC pour activer les connexions des instances privées à Google Cloud.
    2. Créez un réseau cloud privé virtuel et les sous-réseaux requis.
    3. Créez une instance de machine virtuelle (VM) et installez le service de backend.
    4. Facultatif : Configurez une vérification d'état pour surveiller l'état du backend.
    5. Ajoutez un équilibreur de charge pour acheminer le trafic vers la VM ou le backend.
    6. Définissez des règles de pare-feu pour autoriser le trafic entre le point de terminaison PSC et le backend.
    7. Publiez le point de terminaison en créant un rattachement de service PSC.

Configurer Salesforce pour la connectivité

Pour associer une source de données Salesforce à Gemini Enterprise, vous devez effectuer des configurations spécifiques dans Salesforce. Ces configurations varient en fonction du type d'authentification que vous choisissez.

Configurer l'authentification par nom d'utilisateur et mot de passe

Pour l'authentification par nom d'utilisateur et mot de passe, utilisez un jeton de sécurité existant ou réinitialisez-le pour en recevoir un nouveau à l'adresse e-mail que vous avez enregistrée.

Pour réinitialiser votre jeton de sécurité :

  1. Cliquez sur l'icône de votre profil, puis sélectionnez Settings (Paramètres).

    Paramètres
    Paramètres

  2. Accédez à l'onglet Reset my security token (Réinitialiser mon jeton de sécurité), puis cliquez sur Reset security token (Réinitialiser le jeton de sécurité).

    Réinitialiser le jeton de sécurité
    Réinitialiser le jeton de sécurité

    Salesforce envoie le nouveau jeton de sécurité à votre adresse e-mail enregistrée.

Configurer l'authentification OAuth 2.0 avec un jeton de support JWT

Vous devez configurer Gemini Enterprise en tant qu'application connectée dans Salesforce pour l'intégration de l'API.

Une fois que vous avez connecté Gemini Enterprise en tant qu'application connectée, vous pouvez obtenir les informations d'authentification suivantes, nécessaires pour créer un connecteur Salesforce dans Gemini Enterprise.

  • Clé client
  • Clé publique
  • Nom d'utilisateur (pré-autorisé à utiliser l'application)

Générer une clé privée et un certificat public

  1. Exécutez la commande OpenSSL suivante pour générer une clé privée RSA de 2 048 bits.

    openssl genrsa -out server.key 2048

    Cette commande crée un fichier nommé server.key, qui contient votre clé privée. Conservez ce fichier de manière sécurisée et confidentielle.

  2. Exécutez la commande OpenSSL suivante pour générer un certificat public autosigné à l'aide de la clé privée.

    openssl req -new -x509 -sha256 -days 3650 -key server.key -out server.crt

    Cette commande génère un fichier nommé server.crt, qui est votre certificat public. Vous pouvez importer ce certificat dans Salesforce lors de la configuration de l'application connectée.

Créer et configurer une application connectée dans Salesforce

  1. Dans votre application Salesforce, cliquez sur l'icône de configuration, puis sélectionnez Setup (Configuration).

    Configuration
    Configuration

  2. Saisissez Apps dans la zone de recherche rapide, puis sélectionnez App manager (Gestionnaire d'applications).

  3. Sélectionnez New external client app (Nouvelle application cliente externe).

    Nouvelle application cliente externe
    Nouvelle application cliente externe

  4. Saisissez les informations de base requises pour votre application connectée, telles que le nom de l'application cliente externe, le nom de l'API et l'adresse e-mail de contact.

  5. Dans la section API (Enable OAuth settings) (API [Activer les paramètres OAuth]), configurez les paramètres OAuth suivants. Pour en savoir plus, consultez Activer les paramètres OAuth pour l'intégration de l'API.

    1. Cochez la case Enable OAuth (Activer OAuth).
    2. Saisissez l'URL de rappel au format https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html.
    3. Dans la section Selected OAuth scopes (Habilitations OAuth sélectionnées), ajoutez Full access(full) (Accès complet), Manage user data via APIs (api) (Gérer les données utilisateur via les API) et Perform requests at any time (refresh_token, offline_access) (Exécuter des requêtes à tout moment). Pour en savoir plus, consultez Jetons et habilitations OAuth.

    4. Dans la section "Flow enablement" (Activation du flux) :

    5. Cochez la case Enable JWT bearer flow (Activer le flux du jeton de support JWT).

    6. Importez le certificat public créé dans Générer une clé privée et un certificat public.

      Activer les paramètres OAuth : jeton OAuth2 JWT
      Activer les paramètres OAuth : OAuth2 JWT

    7. Cliquez sur Créer.

Pré-autoriser l'accès à l'application cliente externe

Après avoir créé l'application connectée, vous devez autoriser explicitement certains utilisateurs ou ensembles d'autorisations à y accéder.

  1. Saisissez External client app dans la zone de recherche rapide, puis sélectionnez External client app manager (Gestionnaire d'applications clientes externes).
  2. Recherchez et ouvrez l'application cliente externe que vous avez créée précédemment.
  3. Dans l'onglet Policies (Règles), cliquez sur Edit (Modifier) pour modifier les informations sur l'application.

  4. Dans la section OAuth policies (Règles OAuth), procédez comme suit :

    1. Dans le champ Permitted users (Utilisateurs autorisés), sélectionnez Admin approved users are pre-authorized (Les utilisateurs approuvés par l'administrateur sont pré-autorisés).
    2. Dans le champ Refresh token policy (Règle du jeton d'actualisation), sélectionnez Refresh token is valid until revoked (Le jeton d'actualisation est valide jusqu'à sa révocation).
    3. Dans le champ IP relaxation (Assouplissement des restrictions d'adresses IP), sélectionnez Relax IP restrictions (Assouplir les restrictions d'adresses IP).
      Règles : support JWT OAuth2
      Règles OAuth – Jeton de support JWT OAuth2

    L'option d'assouplissement des restrictions d'adresses IP permet de contrôler si l'accès de l'application connectée est limité par des plages d'adresses IP. Les restrictions d'adresses IP sont appliquées en fonction des paramètres du profil utilisateur. Vous devez vérifier si l'application d'une plage d'adresses IP à l'échelle de l'organisation est active dans les paramètres utilisateur. Si l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) est activée, la définition de IP Relaxation (Assouplissement des restrictions d'adresses IP) sur "Relax IP restrictions" (Assouplir les restrictions d'adresses IP) ne remplace pas les restrictions d'adresses IP existantes. Pour en savoir plus, consultez Assouplissement et application continue des restrictions d'adresses IP pour les applications connectées.

    • Si vous souhaitez appliquer des restrictions d'adresses IP dans l'application connectée, configurez une adresse IP approuvée. Pour en savoir plus, consultez Configurer des plages d'adresses IP approuvées pour une application connectée.
    • Si vous ne souhaitez pas appliquer de restrictions d'accès par adresse IP, vérifiez que l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) n'est pas sélectionnée.

  5. Dans la section App policies (Règles relatives à l'application), sélectionnez les profils et les ensembles d'autorisations pour lesquels ce type d'authentification doit être autorisé.

    Règles relatives aux applications
    Règles relatives aux applications

  6. Cliquez sur Enregistrer.

  7. Accédez à l'onglet Settings (Paramètres).

  8. Dans la section OAuth settings (Paramètres OAuth), cliquez sur Consumer key and secret (Clé et code secret du client), puis copiez Consumer key et Consumer secret.

Configurer l'authentification OAuth 2.0 avec des identifiants client

Vous devez configurer Gemini Enterprise en tant qu'application connectée dans Salesforce pour l'intégration de l'API.

Une fois que vous avez connecté Gemini Enterprise en tant qu'application connectée, vous pouvez obtenir les informations d'authentification suivantes, nécessaires pour créer un connecteur Salesforce dans Gemini Enterprise.

  • Numéro ou ID client
  • Code secret ou clé du client

Créer et configurer une application cliente externe

  1. Dans votre application Salesforce, cliquez sur l'icône de configuration, puis sélectionnez Setup (Configuration).

  2. Saisissez Apps dans la zone de recherche rapide, puis sélectionnez App manager (Gestionnaire d'applications).

  3. Sélectionnez New external client app (Nouvelle application cliente externe).

  4. Saisissez les informations de base requises pour votre application connectée, telles que le nom de l'application cliente externe, le nom de l'API et l'adresse e-mail de contact.

  5. Dans la section API (Enable OAuth settings) (API [Activer les paramètres OAuth]), configurez les paramètres OAuth suivants. Pour en savoir plus, consultez Activer les paramètres OAuth pour l'intégration de l'API.

    1. Cochez la case Enable OAuth (Activer OAuth).
    2. Saisissez l'URL de rappel au format https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html.
    3. Dans la section Selected OAuth scopes (Habilitations OAuth sélectionnées), sélectionnez Full access(full) (Accès complet), Manage user data via APIs (api) (Gérer les données utilisateur via les API) et Perform requests at any time (refresh_token, offline_access) (Exécuter des requêtes à tout moment). Pour en savoir plus, consultez Jetons et habilitations OAuth.
    4. Dans la section "Flow enablement" (Activation du flux), cochez la case Enable client credentials flow (Activer le flux des identifiants client).
      Activer les paramètres OAuth : identifiants client OAuth2
      Activer les paramètres OAuth : identifiants client OAuth2

  6. Cliquez sur Créer.

Pré-autoriser l'accès à l'application cliente externe

Après avoir créé l'application cliente externe, vous devez autoriser explicitement certains utilisateurs ou ensembles d'autorisations à y accéder.

  1. Saisissez External client app dans la zone de recherche rapide, puis sélectionnez External client app manager (Gestionnaire d'applications clientes externes).
  2. Cliquez sur le nom de l'application cliente externe que vous avez créée.
  3. Dans l'onglet Policies (Règles), cliquez sur Edit (Modifier) pour modifier les informations sur l'application.

  4. Dans la section OAuth policies (Règles OAuth), procédez comme suit :

    1. Dans le champ Permitted users (Utilisateurs autorisés), sélectionnez Admin approved users are pre-authorized (Les utilisateurs approuvés par l'administrateur sont pré-autorisés).

    2. Dans la section OAuth flow and external client enhancement (Amélioration du flux OAuth et du client externe) :

      1. Cochez la case Enable client credentials flow (Activer le flux des identifiants client).
      2. Saisissez l'adresse e-mail de l'utilisateur.

    3. Dans le champ Refresh token policy (Règle du jeton d'actualisation), sélectionnez Refresh token is valid until revoked (Le jeton d'actualisation est valide jusqu'à sa révocation).

    4. Dans le champ IP relaxation (Assouplissement des restrictions d'adresses IP), sélectionnez Relax IP restrictions (Assouplir les restrictions d'adresses IP).

      Règles : identifiants client OAuth2
      Règles OAuth : identifiants client OAuth2

    L'option d'assouplissement des restrictions d'adresses IP permet de contrôler si l'accès de l'application connectée est limité par des plages d'adresses IP. Les restrictions d'adresses IP sont appliquées en fonction des paramètres du profil utilisateur. Vous devez vérifier si l'application d'une plage d'adresses IP à l'échelle de l'organisation est active dans les paramètres utilisateur. Si l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) est activée, la définition de IP Relaxation (Assouplissement des restrictions d'adresses IP) sur "Relax IP restrictions" (Assouplir les restrictions d'adresses IP) ne remplace pas les restrictions d'adresses IP existantes. Pour en savoir plus, consultez Assouplissement et application continue des restrictions d'adresses IP pour les applications connectées.

    • Si vous souhaitez appliquer des restrictions d'adresses IP dans l'application connectée, configurez une adresse IP approuvée. Pour en savoir plus, consultez Configurer des plages d'adresses IP approuvées pour une application connectée.
    • Si vous ne souhaitez pas appliquer de restrictions d'accès par adresse IP, vérifiez que l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) n'est pas sélectionnée.

  5. Dans la section App policies (Règles relatives à l'application), sélectionnez les profils et les ensembles d'autorisations pour lesquels ce type d'authentification doit être autorisé.

    Règles relatives aux applications
    Règles relatives aux applications

  6. Cliquez sur Enregistrer.

  7. Accédez à l'onglet Settings (Paramètres).

  8. Dans la section OAuth settings (Paramètres OAuth), cliquez sur Consumer key and secret (Clé et code secret du client), puis copiez Consumer key et Consumer secret.

Obtenir l'URL de connexion

Pour obtenir l'URL de connexion de votre instance Salesforce, procédez comme suit :

  1. Saisissez My domain dans la zone de recherche rapide, puis sélectionnez My domain (Mon domaine).
  2. Copiez le domaine qui se termine par my.salesforce.com.
  3. Ajoutez https:// au début du domaine copié. Il s'agit de l'URL de l'instance dont vous avez besoin lorsque vous créez le connecteur Salesforce dans Gemini Enterprise. L'URL de l'instance doit être au format suivant : https://DOMAIN_NAME.my.salesforce.com.

Configurer les autorisations minimales des utilisateurs

Pour vérifier que l'utilisateur qui configure le connecteur dispose des autorisations minimales requises pour l'extraction des données, procédez comme suit :

  1. Saisissez Profiles dans la zone de recherche rapide, puis sélectionnez Profiles (Profils).
  2. Sélectionnez le profil utilisateur qui exécute le connecteur.
  3. Accédez à la section Standard object permissions (Autorisations des objets standards) et vérifiez les autorisations.

Vérifiez que l'utilisateur sélectionné a accès aux autorisations. Vous devez répéter cette procédure pour chaque entité que vous souhaitez ingérer. Cela implique de vérifier si l'accès par défaut au niveau du profil de l'utilisateur est défini sur Private. Lorsque l'accès d'une entité est défini sur Private, votre connecteur Google Cloud ne peut pas accéder à l'objet requis et enregistre une erreur dans Cloud Logging. Pour autoriser l'accès, procédez comme suit :

  1. Créez un ensemble d'autorisations et partagez-le avec l'utilisateur :

    1. Saisissez Permission sets dans la zone de recherche rapide, puis sélectionnez Permission sets (Ensembles d'autorisations).

    2. Cliquez sur Nouveau.

    3. Saisissez un nom et enregistrez l'ensemble d'autorisations.

    4. Ouvrez l'ensemble d'autorisations créé et accédez à la section Apps (Applications).

    5. Sélectionnez Object settings (Paramètres de l'objet).

    6. Cochez la case View all records (Afficher tous les enregistrements).

    7. Dans la section Field permissions (Autorisations des champs), accordez l'accès en lecture à tous les champs que vous souhaitez synchroniser.

      Paramètres d'objet : autorisations
      Paramètres de l'objet

    8. Enregistrez les paramètres et revenez à la page précédente.

    9. Dans la section "System" (Système), sélectionnez System permissions (Autorisations système).

    10. Activez les autorisations minimales suivantes :

      • API enabled

      • View all users

      • View roles and role hierarchy

      • View setup and configuration

  2. Ajoutez l'utilisateur à l'ensemble d'autorisations :

    1. Saisissez Users dans la zone de recherche rapide, puis sélectionnez Users (Utilisateurs).

    2. Sélectionnez l'utilisateur.

    3. Dans la section Permission set assignments (Attributions d'ensembles d'autorisations), sélectionnez Edit assignments (Modifier les attributions).

    4. Ajoutez l'ensemble d'autorisations récemment créé à la section Enabled permission sets (Ensembles d'autorisations activés).

Pour en savoir plus, consultez Accès aux données dans Salesforce et Paramètres de partage par défaut à l'échelle de l'organisation.

Créer un datastore Salesforce V2

Console

Pour synchroniser les données de Salesforce avec Gemini Enterprise à l'aide de la console Google Cloud , procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Gemini Enterprise.

    Gemini Enterprise

  2. Dans le menu de navigation, cliquez sur Datastores.

  3. Cliquez sur  Créer un datastore.

  4. Sur la page Sélectionner une source de données, faites défiler la page ou recherchez Salesforce V2 pour connecter votre source tierce.

  5. Dans la section Authentification, sélectionnez la méthode d'authentification et saisissez les informations d'authentification.

  6. Dans la section Destinations, sélectionnez Public ou Privé.

    1. Pour le type de destination Public, vous n'avez pas besoin de configurer le rattachement de service. Dans le champ URL de connexion, saisissez l'URL de connexion au serveur Salesforce.

    2. Pour le type de destination Privé, saisissez toutes les informations requises :

      1. Rattachement de service : saisissez votre rattachement de service.
      2. Nom de domaine de base : saisissez votre domaine de base.
      3. URL de connexion : saisissez l'URL de connexion au serveur Salesforce.

  7. Cliquez sur Continuer.

  8. Dans la section Entités à synchroniser, procédez comme suit :

    1. Sélectionnez les entités que vous souhaitez synchroniser.

      • Facultatif : Nom du champ URL : saisissez un nom de colonne pour remplacer l'URL d'entité par défaut par une URL personnalisée de la table Salesforce. Ce champ est sensible à la casse.

        Par exemple, si le tableau des comptes Salesforce que vous synchronisez comporte une colonne website contenant une adresse de site Web spécifique pour chaque compte, vous pouvez saisir website ici. Lorsqu'un utilisateur consulte un compte dans ses résultats de recherche et clique sur le lien, il est redirigé vers l'URL stockée dans la colonne website au lieu de l'URL standard de la page d'enregistrement Salesforce.

    2. Facultatif : Pour ajouter des entités personnalisées, cliquez sur Ajouter des entités manuellement. Le nom d'entité personnalisée doit être au format suivant : custom_object_name__c. Par exemple : MyObject__c.

      Entités du connecteur à synchroniser
      Entités à synchroniser

    3. Sélectionnez la fréquence de synchronisation pour la synchronisation complète et la fréquence de synchronisation incrémentielle pour la synchronisation incrémentielle des données. Pour en savoir plus, consultez Planification de synchronisation.

      Définir la fréquence de synchronisation
      Définition de la fréquence de synchronisation.
      • Facultatif : Pour planifier des synchronisations complètes distinctes pour les entités et les identités, développez le menu sous "Synchronisation complète". Sélectionnez Options personnalisées. Dans la boîte de dialogue Option de synchronisation personnalisée, définissez la fréquence pour les entités et les identités.
      Options personnalisées pour la synchronisation complète des données.
      Définir des plannings distincts pour la synchronisation complète des entités et la synchronisation complète des identités.

  9. Cliquez sur Continuer.

  10. Dans la section Configurer votre connecteur de données, procédez comme suit :

    1. Sélectionnez une région pour votre datastore.
    2. Attribuez un nom à votre datastore
    3. Cliquez sur Créer. Gemini Enterprise crée votre datastore et l'affiche sur la page Datastores.
      Connecteur Configurer votre connecteur de données
      Configurer votre connecteur de données

  11. Pour vérifier l'état de l'ingestion, accédez à la page Datastores, puis cliquez sur le nom de votre datastore pour afficher des informations détaillées sur la page Données. L'état du connecteur passe de Création à Exécution lorsqu'il commence à synchroniser les données. Une fois l'ingestion terminée, l'état devient Actif pour indiquer que la connexion à votre source de données est configurée et qu'elle attend la prochaine synchronisation planifiée.

    Selon la taille de vos données, l'ingestion peut prendre de quelques minutes à plusieurs heures.

Installer l'application connectée OAuth

Si vous utilisez l'authentification OAuth, vous devez installer l'application cliente externe que vous avez créée dans la section Créer et configurer une application connectée dans Salesforce. Accédez à la page Connected Apps OAuth Usage (Utilisation d'OAuth pour les applications connectées) dans votre compte Salesforce et installez l'application. Pour en savoir plus, consultez Modification apportée aux restrictions d'utilisation des applications connectées.

Limites de débit

La limite de débit par défaut pour le connecteur Salesforce est de cinq requêtes par seconde.

Messages d'erreur

Le tableau suivant liste les messages d'erreur que vous pouvez recevoir lorsque vous utilisez le connecteur Salesforce :

Message d'erreur Description Dépannage
Échec de l'initialisation du connecteur en raison de l'échec d'un pipeline. Veuillez supprimer le connecteur et réessayer de le créer. Le connecteur n'a pas pu être initialisé en raison de l'échec d'un pipeline. Cela est dû à une erreur de service interne. Supprimez le connecteur existant et recréez-le.
Le connecteur est bloqué, car le projet a été ajouté au périmètre VPC-SC. Veuillez recréer le datastore. Ce projet a été ajouté au périmètre VPC Service Controls une fois le datastore créé. Supprimez le datastore existant et recréez-le. Cela permet de s'assurer que le datastore est correctement configuré pour fonctionner dans le périmètre VPC Service Controls.
La connexion n'est pas active. État de la connexion : ERREUR. Description : Échec de la récupération des informations sur le jeton OAuth. [INVALID_GRANT] Aucun identifiant client n'est activé pour l'utilisateur. Lorsque vous utilisez l'authentification par identifiants client JWT, la connexion n'est pas active, car le jeton OAuth ne peut pas être récupéré.
  • Dans l'instance Salesforce, accédez à l'application cliente externe et recherchez celle utilisée pour le datastore. Dans la section Client credentials flow (Flux d'identifiants client), ajoutez l'adresse e-mail d'un utilisateur disposant des autorisations nécessaires dans le champ Run as user (Exécuter en tant qu'utilisateur). Cliquez sur "Enregistrer".
  • Dans la console Google Cloud , supprimez le datastore, puis recréez-le.
La connexion n'est pas active. État de la connexion : ERREUR. Description : INVALID_LOGIN : nom d'utilisateur, mot de passe ou jeton de sécurité non valide, ou utilisateur bloqué. La connexion a échoué en raison d'informations de connexion incorrectes. La connexion n'est pas active en raison d'un nom d'utilisateur, d'un mot de passe ou d'un jeton de sécurité non valide.
  • Vérifiez que le nom d'utilisateur et le mot de passe sont corrects. Le nom d'utilisateur est généralement une adresse e-mail, par exemple utilisateur@entreprise.com.
  • Vérifiez que le jeton de sécurité est correct et à jour. Chaque fois que vous réinitialisez votre mot de passe, votre jeton de sécurité n'est plus valide. Si votre jeton de sécurité n'est pas valide, vous pouvez le réinitialiser.
La connexion n'est pas active. État de la connexion : ERREUR. Description : Échec de la récupération des informations sur le jeton OAuth. [INVALID_GRANT] L'audience n'est pas valide. La connexion a échoué, car la récupération du jeton OAuth pour l'authentification JWT a renvoyé une audience non valide, probablement en raison d'identifiants utilisateur incorrects. Vérifiez que le nom d'utilisateur et le mot de passe sont corrects. Le nom d'utilisateur est généralement une adresse e-mail, par exemple utilisateur@entreprise.com.
[INVALID_SESSION_ID] Session non valide ou expirée. Veuillez essayer de vous reconnecter. Si le problème persiste, il peut être dû aux raisons suivantes : A) Vous avez dépassé vos limites de session pour cet utilisateur. B) Il peut s'agir d'un problème lié à l'authentification multifacteur requise pour votre compte. C) L'option "Lock sessions to the IP they are generated from" (Verrouiller les sessions sur l'adresse IP à partir de laquelle elles ont été générées) est activée dans les contrôles de sécurité Salesforce et votre adresse IP change entre les requêtes. La session n'est plus valide. Cela peut se produire si vous avez dépassé vos limites de session ou si votre compte nécessite une authentification multifacteur (MFA). Cela peut également se produire si un paramètre de sécurité est activé et verrouille votre session sur une adresse IP spécifique, et que votre adresse IP change.
  • Accédez aux paramètres Salesforce et assurez-vous que l'option Lock sessions to the IP address from which they originated (Verrouiller les sessions sur l'adresse IP à partir de laquelle elles ont été lancées) est définie sur Off (Désactivé).
  • Dans les paramètres du profil de l'utilisateur, vérifiez que l'option Session Security Level Required at Login (Niveau de sécurité de la session requis à la connexion) est définie sur None (Aucun).

Limitations connues

  • Les listes de contrôle des accès basées sur les catégories pour les versions d'articles de connaissances ne sont pas prises en charge.

  • Les tâches ne sont visibles que par les utilisateurs disposant de l'autorisation Afficher toutes les données, les propriétaires des tâches et les utilisateurs ayant accès à la tâche via la hiérarchie.

  • Lorsque vous ajoutez un projet à un périmètre VPC Service Controls (VPC-SC) après avoir créé une connexion, l'exécution de la synchronisation du connecteur échoue.

  • Lorsque vous ajoutez manuellement des entités, seuls les objets Custom Object__c Salesforce (objets personnalisés dont le nom de variable se termine par __c) sont acceptés.

Associer Salesforce (V1)

Avant de commencer

Avant de configurer votre connexion, procédez comme suit :

  1. Utilisez un forfait Enterprise ou Developer. Les comptes d'essai ne sont pas acceptés.
  2. Configurez le contrôle des accès pour votre source de données. Pour savoir comment configurer le contrôle des accès, consultez Utiliser le contrôle des accès aux sources de données.
  3. Vérifiez que la liste d'autorisation CORS de Salesforce contient Google Cloud.
    1. Pour configurer la liste d'autorisation, consultez Activer CORS pour les points de terminaison OAuth.
    2. Pour inclure Google Cloud, ajoutez https://console.cloud.google.com/ comme URL source, puis enregistrez votre configuration.

Créer une application connectée dans Salesforce

Vous devez configurer Vertex AI Search en tant qu'application connectée dans Salesforce pour l'intégration de l'API.

Une fois que vous avez associé Vertex AI Search en tant qu'application connectée, vous pouvez obtenir les informations d'authentification suivantes, nécessaires pour créer un connecteur Salesforce dans Gemini Enterprise.

  • URL d'instance
  • Numéro ou ID client
  • Code secret ou clé du client

Pour activer OAuth 2.0 et obtenir les informations d'authentification, procédez comme suit :

  1. Dans votre application Salesforce, cliquez sur l'icône de configuration, puis sélectionnez Setup (Configuration).

    Sélectionnez "Configurer" pour votre application Salesforce.
    Sélectionnez "Setup" (Configuration) pour votre application Salesforce.

  2. Saisissez External Client App dans la zone Recherche rapide, puis sélectionnez Gestionnaire d'applications clientes externes.

  3. Dans le menu, accédez à Paramètres.

  4. Activez l'option Autoriser la création d'applications connectées, puis cliquez sur Nouvelle application connectée.

    Pour ce faire, vous devez disposer des autorisations appropriées pour les applications clientes externes. Vérifiez que vous disposez des autorisations suivantes :

    • Créer, modifier et supprimer des applications clientes externes
    • Afficher toutes les applications clientes externes
    • Afficher toutes les applications clientes externes, leurs paramètres et modifier leurs règles
    Accéder au gestionnaire d'applications et créer une application connectée
    Rechercher le Gestionnaire d'applications et créer une application connectée

  5. Sur la page de création de la nouvelle application connectée, ajoutez les informations de base de votre application, telles que son nom, vos coordonnées et un logo pour l'identifier. Pour en savoir plus, consultez Configurer les paramètres de base des applications connectées.

  6. Dans la section API (Enable OAuth Settings) (API [Activer les paramètres OAuth]), configurez les paramètres OAuth suivants. Pour en savoir plus, consultez Activer les paramètres OAuth pour l'intégration de l'API.

    Activer et configurer les paramètres OAuth
    Activer et configurer les paramètres OAuth

    1. Sélectionnez Enable OAuth Settings (Activer les paramètres OAuth).

    2. Spécifiez l'URL de rappel sous la forme https://vertexaisearch.cloud.google.com/console/oauth/salesforce_oauth.html.

    3. Dans la section Selected OAuth scopes (Habilitations OAuth sélectionnées), ajoutez Full Access(full) (Accès complet) et Perform request at any time (refresh_token, offline_access) (Exécuter des requêtes à tout moment). Pour en savoir plus, consultez Jetons et habilitations OAuth.

    4. Sélectionnez Enable Client Credentials Flow (Activer le flux des identifiants client).

    5. Sélectionnez Enable Authorization Code and Credentials Flow (Activer le flux des identifiants et du code d'autorisation).

    6. Cochez la case Require user credentials in the POST body for Authorization Code and Credentials Flow (Exiger les identifiants utilisateur dans le corps POST pour le flux du code d'autorisation et des identifiants).

    7. Dans Gestionnaire d'application connectée personnalisée, spécifiez un utilisateur Exécuter en tant que. Cet utilisateur doit disposer d'autorisations de lecture pour toutes les entités que le connecteur doit extraire.

      Spécifier "Exécuter en tant que" dans le gestionnaire d'application connectée personnalisée
      Spécifiez un utilisateur "Exécuter en tant que" disposant d'autorisations de lecture.

  7. Cliquez sur Enregistrer pour créer l'application associée.

  8. Saisissez Manage connected apps dans la zone de recherche rapide, puis sélectionnez Gérer les applications connectées.

  9. Recherchez votre application dans la liste, sélectionnez Modifier, puis sur la page d'informations de l'application connectée, sélectionnez Modifier les règles pour configurer les informations suivantes :

    gérer les applications associées et modifier les règles ;
    Gérer l'application connectée et modifier ses règles

    1. Définissez Assouplissement des restrictions d'adresses IP sur Assouplir les restrictions d'adresses IP.

      Configurer l'application connectée et ajouter le flux d'identifiants client
      Configuration supplémentaire pour l'application connectée et le flux d'identifiants client

      Cette option détermine si l'accès à l'application connectée est limité par des plages d'adresses IP. Les restrictions d'adresses IP sont appliquées en fonction de la façon dont elles sont définies dans le profil utilisateur. Vous devez vérifier si l'application des plages d'adresses IP à l'échelle de l'organisation est configurée dans les paramètres utilisateur. Si l'option Enforce login IP ranges on every request (Appliquer les plages d'adresses IP de connexion à chaque requête) est activée, la définition de l'option IP Relaxation (Assouplissement des restrictions d'adresses IP) sur Relax IP restrictions (Assouplir les restrictions d'adresses IP) ne supprime pas les restrictions d'adresses IP. Pour en savoir plus, consultez Assouplissement et application continue des restrictions d'adresses IP pour les applications connectées. Si vous souhaitez appliquer des restrictions d'adresses IP dans l'application connectée, configurez une adresse IP approuvée. Pour en savoir plus, consultez Configurer des plages d'adresses IP approuvées pour une application connectée. Si vous ne souhaitez pas appliquer de restrictions d'accès par adresse IP, vérifiez que l'option Appliquer les plages d'adresses IP de connexion à chaque requête n'est pas sélectionnée.

    2. Définissez Refresh Token Policy (Règle du jeton d'actualisation) sur Refresh token is valid until revoked (Le jeton d'actualisation est valide jusqu'à sa révocation).

    3. Définissez Permitted Users (Utilisateurs autorisés) sur All users may self-authorize (Tous les utilisateurs peuvent s'autoriser eux-mêmes).

    4. Dans la section Client Credentials Flow (Flux d'identifiants client), spécifiez un utilisateur Exécuter en tant que. L'utilisateur spécifié doit disposer des autorisations de lecture pour toutes les entités que le connecteur doit extraire. Pour vérifier si l'utilisateur sélectionné dispose de toutes les autorisations requises, procédez comme suit :

      1. Dans votre application Salesforce, cliquez sur l'icône de configuration, puis sélectionnez Configuration.
      2. Dans le menu principal, cliquez sur Utilisateurs, puis sur le nom d'utilisateur dont vous souhaitez vérifier les autorisations.
      3. Cliquez sur Profiles (Profils), accédez à la section Standard object permissions (Autorisations des objets standards) et vérifiez les autorisations.
        Vérifier les autorisations de lecture des utilisateurs
        Vérifier les autorisations de l'utilisateur

    5. Vérifiez que l'utilisateur sélectionné a accès aux autorisations. Cela implique de vérifier si l'accès par défaut au niveau du profil de l'utilisateur est défini sur Private. Lorsque l'accès d'une entité est défini sur Private, votre connecteur Google Cloud ne peut pas accéder à l'objet requis et enregistre une erreur dans Cloud Logging. Pour autoriser l'accès, effectuez l'une des opérations suivantes :

      • Définissez l'autorisation par défaut du profil sur Public.
      • Configurez l'accès à chaque entité séparément dans les paramètres de partage.
        Paramètres de partage pour les entités
        Configurer les paramètres de partage pour les entités
      • Créez un ensemble d'autorisations et partagez-le avec l'utilisateur :
        1. Saisissez Permission sets dans la zone de recherche rapide, puis sélectionnez Ensembles d'autorisations.
        2. Cliquez sur New (Nouveau).
        3. Saisissez un nom et enregistrez l'ensemble d'autorisations.
        4. Sous Système, cliquez sur Autorisations système.
        5. Cliquez sur Modifier, sélectionnez Afficher la configuration, puis enregistrez.
        6. Sur la page Ensembles d'autorisations, cliquez sur Gérer les attributions.
        7. Cliquez sur Ajouter des attributions, sélectionnez l'utilisateur auquel vous souhaitez attribuer l'ensemble d'autorisations, puis cliquez sur Attribuer.
      • Pour en savoir plus, consultez Accès aux données dans Salesforce et Paramètres de partage par défaut à l'échelle de l'organisation.

  10. Cliquez sur Enregistrer.

  11. Saisissez OAuth and openID connect settings dans la zone de recherche rapide, sélectionnez Paramètres OAuth et OpenID Connect, puis activez Autoriser les flux de code d'autorisation et d'identifiants.

    Définir les paramètres OAuth et OpenID Connect
    Définir les paramètres OAuth et OpenID Connect

  12. Obtenez l'URL de l'instance :

    1. Saisissez My domain dans la zone de recherche rapide, puis sélectionnez My Domain (Mon domaine).
      Copier le nom de domaine de l'application
      Copiez le nom de domaine de votre application.
    2. Copiez le domaine qui se termine par my.salesforce.com.
    3. Ajoutez https:// au début du domaine copié. Il s'agit de l'URL de l'instance dont vous avez besoin lorsque vous créez le connecteur Salesforce dans Gemini Enterprise. L'URL de l'instance doit être au format suivant : https://<var>DOMAIN_NAME</var>.my.salesforce.com</var>.

  13. Obtenez l'ID et la clé client.

    1. Accédez à Gestionnaire d'applications, recherchez votre application, puis sélectionnez Afficher dans les options.
      Afficher les détails d&#39;une application dans le gestionnaire d&#39;applications
      Afficher les détails de l'application
    2. Cliquez sur Gérer les informations client.
      Cliquez sur &quot;Gérer les informations du client&quot;.
      Cliquez sur le bouton "Gérer les détails du client".
    3. Validez votre identité, le cas échéant.

    4. Copiez les informations sur le consommateur.

      Copiez la clé et le code secret du client.
      Copiez la clé client et le secret.

      Il s'agit de l'URL de l'instance dont vous avez besoin lorsque vous créez le connecteur Salesforce dans Gemini Enterprise.

      Si l'option Actualiser le jeton est activée, assurez-vous que le jeton est actualisé et que vous copiez le dernier jeton lorsque vous créez le connecteur Salesforce dans Gemini Enterprise.

Créer un data store Salesforce (V1)

Console

Pour synchroniser les données de Salesforce avec Gemini Enterprise à l'aide de la console Google Cloud , procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Gemini Enterprise.

    Gemini Enterprise

  2. Dans le menu de navigation, cliquez sur Datastores.

  3. Cliquez sur  Créer un datastore.

  4. Sur la page Sélectionner une source de données, faites défiler la page ou recherchez Salesforce pour connecter votre source tierce.

  5. Saisissez vos informations d'authentification Salesforce.

  6. Sélectionnez les entités à synchroniser, puis cliquez sur Continuer.

  7. Sélectionnez la fréquence de synchronisation pour la synchronisation complète et la fréquence de synchronisation incrémentielle pour la synchronisation incrémentielle des données. Pour en savoir plus, consultez Planification de synchronisation.

    Si vous souhaitez planifier des synchronisations complètes distinctes pour les données d'entité et d'identité, développez le menu sous Synchronisation complète, puis sélectionnez Options personnalisées.

    Options personnalisées pour la synchronisation complète des données.
    Définir des plannings distincts pour la synchronisation complète des entités et la synchronisation complète des identités.

  8. Sélectionnez une région pour votre datastore.

  9. Attribuez un nom à votre datastore

  10. Cliquez sur Créer. Gemini Enterprise crée votre datastore et l'affiche sur la page Datastores.

  11. Pour vérifier l'état de l'ingestion, accédez à la page Datastores, puis cliquez sur le nom de votre datastore pour afficher des informations détaillées sur la page Données. L'état du connecteur passe de Création à Exécution lorsqu'il commence à synchroniser les données. Une fois l'ingestion terminée, l'état devient Actif pour indiquer que la connexion à votre source de données est configurée et qu'elle attend la prochaine synchronisation planifiée.

    Selon la taille de vos données, l'ingestion peut prendre de quelques minutes à plusieurs heures.

Étapes suivantes