SSO und die Anforderung der Multi-Faktor-Authentifizierung

Sprechen Sie mit Ihrem SSO-Anbieter über die Verwendung seines MFA-Service.

Für Produkte, die auf der Salesforce Platform basieren, können Sie die in Salesforce bereitgestellte kostenlose Funktion für die Multi-Faktor-Authentifizierung verwenden, statt die Multi-Faktor-Authentifizierung auf SSO-Ebene zu aktivieren. Details finden Sie in der Salesforce-Hilfe unter Verwenden der Multi-Faktor-Authentifizierung von Salesforce für SSO-Anmeldungen.

Beachten Sie, dass alle Ihre Salesforce-Benutzer die Multi-Faktor-Authentifizierung verwenden müssen. Wenn Sie über Benutzer wie Salesforce-Administratoren verfügen, die sich direkt bei Ihren Produkten anmelden, aktivieren Sie die Multi-Faktor-Authentifizierung von Salesforce, um diese Accounts zu schützen. Weitere Informationen finden Sie in diesem Video. 

Mit einer gut implementierten SSO-Strategie können Sie einige der Risiken durch schwache oder mehrfach verwendete Kennwörter reduzieren und Ihren Benutzern das Anmelden bei häufig verwendeten Anwendungen erleichtern. Aber wenn Sie sich bei Ihrer SSO-Implementierung nur auf Benutzeranmeldeinformationen verlassen, könnten Benutzeraccounts anfällig für häufige Angriffe wie Phishing oder Credential-Stuffing sein.

Als Verantwortlicher für die Sicherheit Ihrer Organisation spielen Sie eine entscheidende Rolle beim Schutz von sensiblen Geschäfts- und Kundendaten wie Namen, E-Mail-Adressen oder anderen personenbezogenen Daten. Vor dem Hintergrund zunehmender Bedrohungen wie Phishing-Angriffen, Credential-Stuffing und Accountübernahmen ist die Multi-Faktor-Authentifizierung eine der effektivsten Möglichkeiten, nicht autorisierte Accountzugriffe zu verhindern. Wir empfehlen Ihnen, die Anforderung der Multi-Faktor-Authentifizierung zusammen mit Ihren Sicherheits- und IT-Teams an den allgemeinen Sicherheitszielen Ihres Unternehmens auszurichten und deren Hilfe einzuholen, wenn es darum geht, wie diese Anforderung erfüllt werden kann.

Wenn Sie die Multi-Faktor-Authentifizierung für Benutzer, die über SSO auf Salesforce zugreifen, nicht implementieren, sind Sie einem erhöhten Risiko von Cyberangriffen ausgesetzt, die Ihrem Unternehmen und den Kunden schaden könnten.

Nein. Wenn die Multi-Faktor-Authentifizierung für Ihren SSO-Identitätsanbieter aktiviert ist, müssen Sie die Multi-Faktor-Authentifizierung von Salesforce für Benutzer, die sich über SSO anmelden, nicht zusätzlich aktivieren. Wenn sich jedoch Administratoren oder andere privilegierte Benutzer direkt bei Ihren Salesforce-Produkten anmelden, müssen Sie die Multi-Faktor-Authentifizierung von Salesforce für diese Benutzer einrichten.

Der entscheidende Punkt bei der erforderlichen Multi-Faktor-Authentifizierung ist, dass alle Ihre Salesforce-Benutzer bei jeder Anmeldung zusätzlich zu ihrem Kennwort eine sichere Überprüfungsmethode angeben müssen, wenn sie auf Salesforce-Produkte zugreifen möchten. Dies können Sie bei Bedarf durch die Bereitstellung mehrerer MFA-Lösungen erreichen. Wenn Sie beispielsweise eine Mischung aus SSO- und Nicht-SSO-Benutzern haben, sollten Sie sicherstellen, dass die Multi-Faktor-Authentifizierung für Ihre SSO-Benutzer aktiviert ist, und die MFA-Funktion Ihres Salesforce-Produkts für die Benutzer aktivieren, die sich direkt anmelden.

Hier folgt ein gängiges Beispielszenario:  Es wird empfohlen, für die meisten Salesforce-Benutzer die Anmeldung mit SSO und Multi-Faktor-Authentifizierung einzurichten. Für Administrator-Accounts, die kein SSO verwenden, können Sie die Multi-Faktor-Authentifizierung jedoch in Ihren Salesforce-Produkten aktivieren, damit Administratoren bei der direkten Anmeldung mit Benutzername und Kennwort zusätzlich geschützt werden.

Für Produkte, die auf der Salesforce Platform basieren, können Sie die in Salesforce bereitgestellte Funktion für die Multi-Faktor-Authentifizierung anstelle des MFA-Service Ihres SSO-Anbieters verwenden. Bei dieser Vorgehensweise melden sich die Benutzer über Ihre SSO-Anmeldeseite an. Anschließend werden sie zu Salesforce weitergeleitet, wo sie aufgefordert werden, ihre Überprüfungsmethode für die Multi-Faktor-Authentifizierung anzugeben, um ihre Identität zu bestätigen.

Hinweis: Diese Option ist für andere Salesforce-Produkte nicht verfügbar.

Weitere Informationen finden Sie in der Salesforce-Hilfe unter Verwenden der Multi-Faktor-Authentifizierung für SSO-Anmeldungen.

Beginnen wir mit den Überprüfungsmethoden, die die Anforderung nicht erfüllen, unabhängig davon, ob Sie die Services der Multi-Faktor-Authentifizierung Ihres SSO-Identitätsanbieters oder die Multi-Faktor-Authentifizierung von Salesforce für direkte Anmeldungen verwenden.

• Die Übermittlung von Einmal-Kenncodes über die folgenden Optionen ist nicht zulässig, da diese Methoden inhärent anfällig für Abfangen, Spoofing und andere Angriffe sind.
• Sicherheitsfragen
• Vertrauenswürdige Geräte oder Netzwerke allein stellen keine angemessenen Überprüfungsmethoden für die Anforderung der Multi-Faktor-Authentifizierung dar. (Aber wenn sie in Kombination verwendet werden, können diese Methoden die Multi-Faktor-Authentifizierung erreichen und der Anforderung gerecht werden. Weitere Einzelheiten finden Sie unter "Erfüllen vertrauenswürdige Firmengeräte die Anforderung der Multi-Faktor-Authentifizierung?" und "Wird die Anforderung der Multi-Faktor-Authentifizierung durch die Beschränkung von Anmeldungen auf vertrauenswürdige Netzwerke erfüllt?" sowie "Erfüllt die Nutzung des VPN- oder Zero-Trust-Netzwerkzugriffs die MFA-Anforderung?" in den häufig gestellten Fragen zur Multi-Faktor-Authentifizierung.)

Damit die Anforderung der Multi-Faktor-Authentifizierung erfüllt werden, müssen Sie Überprüfungsmethoden verwenden, die widerstandsfähiger gegenüber Cyberangriffen sind (z. B. Phishing und Man-in-the-Middle-Angriffen). Diese Methoden bieten eine hohe Sicherheit, dass Benutzer, die auf Salesforce-Produkte zugreifen, diejenigen sind, die zu sein sie vorgeben. Verwenden Sie für SSO mit Ausnahme der oben aufgeführten Optionen jede Methode, die von der Lösung der Multi-Faktor-Authentifizierung Ihres Identitätsanbieters unterstützt wird oder in diese integriert ist.

Bei der risikobasierten Authentifizierung, die auch als adaptive Authentifizierung oder CARTA (Continuous Adaptive Risk and Trust Assessment) bezeichnet wird, handelt es sich um ein Authentifizierungssystem, das kontinuierlich das mit einem Benutzer verbundene Risiko bewertet, indem mehrere vom Benutzer stammende Signale sowie das Gerät des Benutzers überwacht werden und wie und wann der Benutzer auf Services zugreift. Wenn es das Risikoniveau in einer bestimmten Situation rechtfertigt, verlangt der Identitätsanbieter oder der Authentifizierungsdienst automatisch, dass der Benutzer zusätzliche Sicherheitsabfragen erfüllt. Weitere Informationen finden Sie in diesem Artikel. 

Wenn Sie bereits ein risikobasiertes Authentifizierungssystem in Ihre SSO-Lösung integriert haben, erfüllt Ihre Implementierung die Anforderung der Multi-Faktor-Authentifizierung. Wenn Sie diese Art der Lösung in Betracht ziehen möchten, können Sie mit einer Vielzahl von Technologieanbietern zusammenarbeiten.

Es wird dringend empfohlen, dass Sie den Service der Multi-Faktor-Authentifizierung auch für Ihren SSO-Identitätsanbieter konfigurieren, damit Benutzer bei jeder Anmeldung zusätzlich zu ihrem Benutzernamen und Kennwort eine sichere Überprüfungsmethode angeben müssen.

Wenn Sie einen Identitäts-Drittanbieter für den Zugriff auf Ihre Salesforce-Produkte verwenden, hat Salesforce nur begrenzten Einblick in Ihre Implementierung der Multi-Faktor-Authentifizierung. Damit sichergestellt wird, dass die nötigen Informationen zur Verwaltung der Anforderung der Multi-Faktor-Authentifizierung vorliegen, ist geplant, auf standardbasierte Attribute in SSO-Protokollen zurückzugreifen, die die bei einer SSO-Anmeldung verwendete Authentifizierungsmethode beschreiben.

Die meisten SSO-Anbieter unterstützen zwei primäre Attribute: OpenID Connect (OIDC) verwendet die Authentication Method Reference (AMR) und SAML den Authentication Context (AuthnContext). Derzeit ist OIDC amr in Produkten verfügbar, die auf der Salesforce Platform basieren. Sie sehen die Werte in LoginHistory, wenn Sie die Daten exportieren. In zukünftigen Versionen soll OIDC amr auf weitere Salesforce-Produkte ausgeweitet und SAML AuthnContext für alle Produkte unterstützt werden.

Beachten Sie, dass das Aktivieren der Multi-Faktor-Authentifizierung eine vertragliche Anforderung gemäß der Dokumentation zu Salesforce Trust und der Einhaltung von Vorschriften ist.

Salesforce ergreift in Ihrem Namen keine Maßnahmen zur Aktivierung der Multi-Faktor-Authentifizierung für Ihren SSO-Identitätsanbieter. Und es ist auch nicht geplant, den Zugriff auf Salesforce-Produkte zu blockieren oder Abfragen für die Multi-Faktor-Authentifizierung auszulösen, wenn für Ihren SSO-Service keine Multi-Faktor-Authentifizierung erforderlich ist. Diese Richtlinie könnte sich künftig ändern.

Aber denken Sie daran, dass die vertragliche Anforderung der Multi-Faktor-Authentifizierung gemäß der Dokumentation zu Salesforce Trust und der Einhaltung von Vorschriften für alle internen Salesforce-Benutzer gilt, die per SSO auf Ihre Salesforce-Produkte zugreifen. Wenn Sie die Multi-Faktor-Authentifizierung nicht bis 1. Februar 2022 aktivieren konnten, sprechen Sie mit Ihrer Rechtsabteilung, um die Auswirkungen der Nichteinhaltung zu verstehen.

Mit der Anforderung der Multi-Faktor-Authentifizierung möchten wir Anreize schaffen und Ihnen Tools an die Hand geben, um die Verstärkung der Sicherheitsmaßnahmen für Ihre Salesforce-Umgebungen zu priorisieren. Wir empfehlen Ihnen, die Anforderung der Multi-Faktor-Authentifizierung zusammen mit Ihren Sicherheits- und IT-Teams an den allgemeinen Sicherheitszielen Ihres Unternehmens auszurichten und deren Hilfe einzuholen, wenn es darum geht, wie diese Anforderung erfüllt werden kann. Und wenn Sie Bedenken haben, die Anforderung zu erfüllen, wenden Sie sich an Ihren Ansprechpartner bei Salesforce. Wir arbeiten zusammen mit Ihnen an einer Lösung.

Administratoren sollten sich immer direkt mithilfe ihres Benutzernamens und Kennworts bei Ihren Salesforce-Produkten anmelden können. Es wird nicht empfohlen, SSO für Salesforce-Administratoren zu aktivieren, da sie sich nicht anmelden können, falls Ihre SSO-Implementierung ausfällt oder bei ihr ein anderes Problem auftritt. Falls bei Ihrem SSO-Drittanbieter beispielsweise ein dauerhafter Ausfall auftritt, können sich Administratoren über die Standardanmeldeseite Ihres Salesforce-Produkts mithilfe ihres Benutzernamens und Kennworts anmelden und SSO dann deaktivieren, bis das Problem behoben ist. Es wird empfohlen, die Multi-Faktor-Authentifizierung für Administrator-Accounts direkt in Ihren Salesforce-Produkten zu verwenden, statt für Salesforce-Administratoren SSO zu verwenden.

Wenn Ihr Unternehmen für den Zugriff auf Salesforce SSO verwendet, empfehlen wir, direkte Anmeldungen für alle Standardbenutzer zu deaktivieren. Durch das Verhindern von Anmeldungen mit einem Salesforce-Benutzernamen und -Kennwort wird sichergestellt, dass Benutzer Ihr SSO-System nicht umgehen können. Stellen Sie sicher, dass die betroffenen Benutzer den URL kennen, unter dem sie auf Ihre SSO-Anmeldeseite zugreifen können. Eine schrittweise Anleitung finden Sie im Thema zum Deaktivieren von Anmeldungen mit Salesforce-Anmeldeinformationen für SSO-Benutzer in der Salesforce-Hilfe.