Vérifiez que votre implémentation répond à l’exigence de la MFA

Image

Vous voulez vous assurer que vous répondez à l’exigence d’authentification multifacteur (MFA) de Salesforce qui est entrée en vigueur le 1er février 2022 ? Consultez cette page. Si vous n’y êtes pas encore, nous décrivons les étapes à suivre pour que vous soyez prêt dans le délai prévu. L’exigence contractuelle complète est définie dans la Documentation sur la confiance et la conformité de Salesforce.

Vérificateur de l’exigence de la MFA

Pour savoir si votre implémentation actuelle ou planifiée répond à l’exigence de la MFA, répondez à quelques questions...

  • Question 1 : Comment vos utilisateurs accèdent-ils à vos produits Salesforce ?

    En se connectant à un site SSO Passez à la Question 2
    En se connectant directement Passez à la Question 3


    Remarque : si vos utilisateurs sont autorisés à accéder aux produits Salesforce via la SSO ainsi qu’en se connectant directement, nous vous recommandons de
    modifier votre configuration pour que vos utilisateurs ne puissent pas contourner votre système SSO. Autrement, vous devez activer la MFA à la fois pour la SSO et les connexions directes, donc passez aux Questions 2 et 3.xxx

  • Question 2 : Vos utilisateurs Salesforce se connectent-ils à un site SSO avec un nom d’utilisateur et un mot de passe, puis avec une méthode de vérification forte ?

    Votre réponse Ce que cela signifie
    Oui

    Splendide ! D’après vos réponses, vous répondez à l’exigence de la MFA car vous utilisez la SSO et la MFA avec des méthodes de vérification fortes pour accéder aux produits Salesforce.

    Remarque : si vos utilisateurs sont invités à fournir une méthode de vérification à chaque connexion car vous avez implémenté un système d’authentification CARTA (évaluation adaptative continue du risque et de la confiance numérique) ou système d’authentification basée sur le risque, votre implémentation répond à l’exigence de la MFA.

    Vous pouvez ignorer les questions restantes.

    Non

    Vos utilisateurs Salesforce doivent recevoir un défi MFA lorsqu’ils se connectent à votre site SSO et doivent vérifier leur identité avec une méthode de vérification forte. Les codes secrets à usage unique via e-mails, sms et appels téléphoniques ne sont pas autorisés. Considérez les options suivantes pour répondre à l’exigence de la MFA :

    • Contactez votre fournisseur SSO pour en savoir plus sur l’utilisation de son service MFA.
    • Intégrez un système d’authentification CARTA (évaluation adaptative continue du risque et de la confiance numérique) ou système d’authentification basée sur le risque, à votre solution SSO.
    • Pour les produits élaborés sur Salesforce Platform, vous pouvez utiliser la fonctionnalité MFA gratuite fournie dans Salesforce plutôt que d’activer la MFA au niveau de la SSO. Consultez Utilisation de l’authentification multifacteur Salesforce pour l’authentification unique dans l’Aide de Salesforce pour plus de détails.

    Remarque : Si vous utilisez des appareils d’entreprise de confiance avec des certificats ou des réseaux fiables (via VPN, Zero Trust Network Access, des listes IP autorisées, des plages IP de confiance ou des plages IP de connexion) pour l’accès SSO, passez à la Question 4.

  • Question 3 : Vos utilisateurs se connectent-ils directement à l’interface utilisateur pour vos produits Salesforce avec un nom d’utilisateur et mot de passe, puis une méthode de vérification prise en charge qu’ils doivent fournir à chaque connexion ?

    Votre réponse Ce que cela signifie
    Oui

    Formidable ! D’après vos réponses, vous répondez à l’exigence de la MFA car vous utilisez la MFA de Salesforce pour chaque connexion.

    Vous pouvez ignorer les questions restantes.

    Non

    Si une méthode de vérification prise en charge est nécessaire uniquement lorsque les utilisateurs se connectent à partir de nouveaux navigateurs ou appareils, vous utilisez l’activation d’appareil ou la vérification d’identité au lieu de la MFA. C’est bien mais cela ne répond pas à l’exigence de la MFA. Vous devez activer la MFA pour vos produits Salesforce.

    Si les utilisateurs ne sont jamais invités à fournir une méthode de vérification après avoir saisi leur nom d’utilisateur et mot de passe, vous devez activer la MFA pour vos produits Salesforce.

    Remarque : Si votre produit Salesforce ne demande pas aux utilisateurs de fournir une méthode de vérification car vous contrôlez les connexions directes en utilisant des appareils de confiance avec des certificats ou des réseaux de confiance (via VPN, Zero Trust Network Access, des listes IP autorisées, des plages IP de confiance ou des plages IP de connexion), passez à la Question 4.

  • Question 4 : Utilisez-vous des appareils d’entreprise de confiance ou des réseaux de confiance pour octroyer l’accès aux produits Salesforce ?

    Votre réponse Ce que cela signifie
    Oui

    Lorsque vous utilisez des appareils d’entreprise avec des certificats ou des réseaux d’entreprise (de confiance) seuls, ils ne répondent pas à l’exigence de la MFA.

    Si vous utilisez l’un de ces mécanismes pour contrôler l’accès SSO ou les connexions Salesforce directes, activez la MFA pour votre fournisseur d’identité SSO ou vos produits Salesforce. Cependant, si cela n’est pas possible, vous pouvez répondre aux exigences de la MFA en utilisant des appareils de confiance avec des certificats en conjonction avec un réseau d’entreprise de confiance. Pour en savoir plus, consultez « Les appareils d'entreprise de confiance répondent-ils à l’exigence de la MFA ? », « Les restrictions de connexion aux réseaux de confiance répondent-elles à l’exigence de la MFA ? » et « L’utilisation d’un VPN ou de Zero Trust Network Access répond-elle à l’exigence de la MFA » dans la FAQ sur la MFA .)

    Non

    Désolé, nous n’avons plus d’options. Essayez de recommencer et de répondre à nouveau aux questions. Si vous n’avez toujours pas de réponse et ne savez pas si vous répondez à l’exigence de la MFA, contactez votre représentant Salesforce pour obtenir de l’aide.

Que dois-je faire de ces informations ?

Découvrez si vous répondez à l’exigence de la MFA ou si vous devez accomplir des tâches

Si les réponses que vous obtenez ici indiquent que votre implémentation répond à l’exigence de la MFA, vos utilisateurs ne seront pas affectés lorsque Salesforce commencera à activer et à appliquer automatiquement la MFA.

Autrement, consultez la FAQ sur la MFA pour comprendre les détails complets de l’exigence contractuelle, et reportez-vous à la documentation recommandée pour implémenter une solution conforme.

Suivez les conseils de votre équipe informatique ou de cybersécurité, le cas échéant.

Et vous pouvez toujours transmettre vos questions au groupe Trailblazer Community Premiers pas avec la MFA, où des experts de la sécurité Salesforce sont là pour vous aider.

Une fois que vous savez que vous répondez à l’exigence de la MFA, vous n’avez pas besoin de certifier la conformité à Salesforce

Salesforce n’exige pas que les clients certifient la conformité à leurs obligations contractuelles. En accord avec cette pratique, Salesforce n’exige pas que les clients obtiennent une certification formelle ni qu’ils attestent qu’ils répondent à l’exigence de la MFA contractuelle.

Que se passe-t-il si vous ne pouvez pas respecter le délai d’application automatique de l’exigence ? 

Maintenant que l’exigence de la MFA est en vigueur, voici ce à quoi vous devez vous attendre.

  • Pour les clients qui utilisent la SSO : Consultez « Comment Salesforce saura-t-elle que nous avons activé l’authentification multifacteur pour notre fournisseur d’identité SSO et que nous répondons à l’exigence ? » et « Salesforce appliquera-t-elle la MFA pour l’authentification unique ? » dans la FAQ sur la MFA.