SSO y el requisito de MFA

Póngase en contacto con su proveedor de SSO para usar su servicio de MFA.

En el caso de productos construidos sobre Salesforce Platform, puede utilizar la función MFA disponible en Salesforce en vez de utilizar el servicio de MFA de su proveedor de SSO. Consulte Utilizar MFA Salesforce para los inicios de sesión con SSO en la Ayuda de Salesforce para obtener detalles.

Tenga en cuenta que todos los usuarios de Salesforce deberán utilizar MFA. Si tiene usuarios, como los administradores de Salesforce, que inicien sesión directamente en sus productos, active MFA de Salesforce para proteger estas cuentas. Vea este vídeo. 

Con una estrategia de SSO bien implementada, podrá reducir algunos de los riesgos asociados con contraseñas débiles o reutilizadas, y facilitar a sus usuarios iniciar sesión en aplicaciones utilizadas con frecuencia. Pero si su implementación de SSO recae solo en las credenciales de usuario, las cuentas de usuarios pueden quedar vulnerables ante ataques comunes como el phishing o el robo de credenciales.

Como garante de la seguridad de su organización, la suya es una función vital en la salvaguarda de sus datos confidenciales de negocio y de clientes, incluidos los nombres, direcciones de email y otra información de identificación personal. Dado el aumento de amenazas como los ataques de phishing, el robo de credenciales y robos de cuentas, MFA es una de las formas más efectivas de evitar el acceso no autorizado a las cuentas. Le instamos a que trabaje con sus equipos de seguridad y TI para poner en sintonía la obligatoriedad de usar MFA con los objetivos de seguridad generales de su empresa, así como para obtener su ayuda sobre la satisfacción de dicha obligatoriedad.

Si no implementa MFA para los usuarios que acceden a Salesforce a través de SSO, estará expuesto a los ciberataques que podrían dañar su negocio y a sus clientes.

No. Si MFA está activada para su proveedor de identidad de SSO, no necesita activar MFA de Salesforce para usuarios que inician sesión a través de SSO. No obstante, si tiene administradores u otros usuarios con privilegios que inicien sesión directamente en sus productos de Salesforce, no tiene que configurar MFA de Salesforce para esos usuarios.

La base de la obligatoriedad de MFA es que todos sus usuarios de Salesforce deban proporcionar un método de verificación fiable, además de sus contraseñas, cuando accedan a productos de Salesforce. Si es necesario, puede cumplir este punto implementando múltiples soluciones de MFA. Por ejemplo, si tiene una combinación de usuarios con SSO y sin SSO, garantice que MFA esté activada para sus usuarios con SSO y active la función de MFA de su producto de Salesforce para los usuarios que inician sesión directamente.

Esta es una situación común:  Recomendamos configurar la mayoría de los usuarios de Salesforce para que inicien sesión con SSO y MFA. Pero para cuentas de administrador que no utilizan SSO, puede activar MFA en sus productos de Salesforce de modo que los administradores tengan una capa adicional de protección cuando inicien sesión directamente con sus nombres de usuario y contraseñas.

Para productos que están construidos sobre Salesforce Platform, puede utilizar la función MFA proporcionada en Salesforce en vez de utilizar el servicio de MFA de su proveedor de SSO. Con este enfoque, los usuarios inician sesión a través de su página de inicio de sesión de SSO. Luego, se dirigen a Salesforce, donde se les solicita que proporcionen su método de verificación de MFA para confirmar su identidad.

Nota: Esta opción no está disponible para otros productos de Salesforce.

Para obtener más información, consulte Utilizar MFA de Salesforce para SSO en la Ayuda de Salesforce.

Empecemos con los métodos de verificación que no satisfacen el requisito, independientemente de que esté utilizando los servicios de MFA de su proveedor de identidad de SSO o MFA de Salesforce para los inicios de sesión directos.

• No se permite la entrega de códigos de aprobación simultáneos a través de mensajes de correo electrónico, mensajes de texto o llamadas telefónicas debido a que estos métodos son inherentemente vulnerables a la intercepción, la suplantación y otros ataques.
• Preguntas sobre la seguridad
• Empleados por sí solos, los dispositivos de confianza o las redes de confianza no son métodos de verificación adecuados para el requisito de MFA. (Pero empleados conjuntamente, estos métodos pueden alcanzar MFA y satisfacer el requisito. Consulte "¿Cumplen los dispositivos corporativos de confianza el requisito de MFA?", "¿Cumplen el requisito de MFA las restricciones de inicios de sesión en redes de confianza?" y "¿Satisface el requisito de MFA el uso de VPN o el acceso de red con confianza cero?" en las Preguntas frecuentes sobre MFA para obtener más detalles.)

Para satisfacer el requisito de MFA, debe utilizar métodos de verificación que sean más resistentes a ciberataques (como ataques de phishing y man-in-the-middle). Estos tipos de métodos ayudan a proporcionar una alta garantía de que los usuarios que acceden a los productos de Salesforce son quienes dicen ser. Para las implementaciones de SSO, con la excepción de las opciones enumeradas anteriormente, utilice cualquier método que sea admitido o esté integrado con la solución de MFA de su proveedor de identidad.

La autenticación basada en riesgos, también conocida como autenticación adaptativa o Evaluación de la confianza y del riesgo adaptativo continuo (CARTA), es un sistema de autenticación que analiza de forma continua el riesgo asociado con un usuario monitoreando múltiples señales procedentes del usuario y del dispositivo del usuario, y cómo y cuándo accede el usuario a los servicios. Si el nivel de riesgo en una situación específica lo justifica, el proveedor de identidad o el servicio de autenticación requiere automáticamente al usuario satisfacer retos de seguridad adicionales. Para conocer más detalles, consulte este artículo. 

Si ya integró un sistema de autenticación basado en riesgos con su solución de SSO, su implementación cumple el requisito de MFA. Si desea considerar este tipo de solución, hay un número de proveedores de tecnología con los que puede trabajar.

Recomendamos encarecidamente configurar el servicio de MFA para su proveedor de identidad de SSO de modo que se obligue a los usuarios a proporcionar un método de verificación seguro además de sus nombres de usuario y contraseñas cada vez que inicien sesión.

Si utiliza un proveedor de identidad externo (IdP) para acceder a sus productos de Salesforce, Salesforce tiene visibilidad limitada de su implementación de MFA. Para garantizar que tengamos la perspectiva necesaria para gestionar el requisito de MFA, estamos planificando aprovechar atributos basados en estándares en protocolos SSO que describen el método de autenticación utilizado durante un inicio de sesión con SSO.

La mayoría de los proveedores de SSO admiten dos atributos principales: OpenID Connect (OIDC) utiliza la Referencia de método de autenticación (amr) y SAML utiliza el Contexto de autenticación (AuthnContext). En estos momentos, amr de OIDC está disponible en productos construidos sobre Salesforce Platform, y puede ver los valores en LoginHistory cuando exporte los datos. En versiones futuras estamos buscando ampliar amr de OIDC a otros productos de Salesforce, y agregar compatibilidad para AuthnContext de SAML para todos los productos.

Recuerde que la activación de MFA es un requisito contractual, conforme a la Documentación de confianza y cumplimento normativo de Salesforce.

No realizaremos ninguna acción en su nombre para activar MFA para su proveedor de identidad de SSO. Tampoco tenemos planes de bloquear el acceso a productos de Salesforce o desencadenar retos de MFA si su servicio SSO no requiere MFA. Esta política podría cambiar en el futuro.

No obstante, recuerde que el requisito contractual de MFA, según la Documentación de confianza y cumplimento normativo de Salesforce, se aplica a todos los usuarios internos de Salesforce que acceden a sus productos de Salesforce a través de SSO. Si no pudo activar MFA antes de la fecha límite de 1 de febrero de 2022 para el requisito de MFA, hable con su equipo legal para comprender las implicaciones de su incumplimiento.

Nuestro objetivo al requerir MFA es darle incentivos y herramientas para dar prioridad al fortalecimiento de la seguridad de sus entornos de Salesforce. Le instamos a que trabaje con sus equipos de seguridad y TI para poner en sintonía la obligatoriedad de usar MFA con los objetivos de seguridad generales de su empresa, así como para obtener su ayuda sobre la satisfacción de dicha obligatoriedad. Si está preocupado sobre el cumplimiento del requisito, póngase en contacto con su representante de Salesforce. Trabajaremos con usted para encontrar una solución.

Los administradores deberían siempre poder iniciar sesión directamente en sus productos de Salesforce empleando sus nombres de usuario y contraseñas. No recomendamos activar SSO para los administradores de Salesforce porque no podrán iniciar sesión si se produce una interrupción u otro problema con su implementación de SSO. Por ejemplo, si su proveedor de SSO externo tiene una interrupción sostenida, los administradores podrán utilizar la página de inicio de sesión estándar de su producto de Salesforce para iniciar sesión con sus nombres de usuario y contraseñas, para luego desactivar SSO hasta que se resuelva el problema. En vez de utilizar SSO para administradores de Salesforce, recomendamos activar MFA para cuentas de administrador directamente en sus productos de Salesforce.

Si su empresa utiliza SSO para acceder a Salesforce, recomendamos que desactive los inicios de sesión directos para todos los usuarios estándar. Evitar los inicios de sesión con un nombre de usuario y contraseña de Salesforce garantiza que sus usuarios no omitirán su sistema de SSO. Asegúrese de que los usuarios afectados conocen la URL donde pueden acceder a su página de inicio de sesión con SSO. Para consultar los pasos para ello, consulte Desactivar los inicios de sesión con credenciales de Salesforce para usuarios con SSO en la Ayuda de Salesforce para obtener más información.