Vérifiez que votre implémentation répond à l’exigence de la MFA

Astro tenant un bouclier dans la forêt

Vous voulez vous assurer que vous respectez les exigences contractuelles concernant l’utilisation de l’authentification multifacteur (MFA) lors de la connexion à vos produits Salesforce ? Consultez cette page pour vérifier si vous êtes en ordre. Si vous n’êtes pas encore en ordre, nous décrivons les étapes à suivre pour vous mettre en conformité. Les conditions complètes de l’exigence sont définies dans les Notices and Licenses Information (NLI) de vos produits, dans la Documentation sur la confiance et la conformité Salesforce.

Vérificateur de l’exigence de la MFA

Pour savoir si votre implémentation actuelle ou planifiée répond à l’exigence de la MFA, répondez à quelques questions...

  • Question 1 : Comment vos utilisateurs accèdent-ils à vos produits Salesforce ?

    En se connectant à un site SSO Passer à la Question 2
    En se connectant directement avec leur nom d’utilisateur Salesforce et leur mot de passe Passer à la Question 3


    Remarque : si vos utilisateurs sont autorisés à accéder aux produits Salesforce via la SSO ainsi qu’en se connectant directement, nous vous recommandons de
    modifier votre configuration pour que vos utilisateurs ne puissent pas contourner votre système SSO. Autrement, vous devez activer la MFA à la fois pour la SSO et les connexions directes, donc passez aux Questions 2 et 3.xxx

  • Question 2 : Vos utilisateurs Salesforce se connectent-ils à un site SSO avec un nom d’utilisateur et un mot de passe, puis avec une méthode de vérification forte ?

    Votre réponse Ce que cela signifie
    Oui

    Splendide ! D’après vos réponses, vous répondez à l’exigence de la MFA car vous utilisez la SSO et la MFA avec des méthodes de vérification fortes pour accéder aux produits Salesforce.

    Remarque : si vos utilisateurs sont invités à fournir une méthode de vérification à chaque connexion car vous avez implémenté un système d’authentification CARTA (évaluation adaptative continue du risque et de la confiance numérique) ou système d’authentification basée sur le risque, votre implémentation répond à l’exigence de la MFA.

    Vous pouvez ignorer les questions restantes.

    Non

    Vos utilisateurs Salesforce doivent recevoir un défi MFA lorsqu’ils se connectent à votre site SSO et doivent vérifier leur identité avec une méthode de vérification forte. Les codes secrets à usage unique via e-mails, sms et appels téléphoniques ne sont pas autorisés. Considérez les options suivantes pour répondre à l’exigence de la MFA :

    • Contactez votre fournisseur SSO pour en savoir plus sur l’utilisation de son service MFA.
    • Intégrez un système d’authentification CARTA (évaluation adaptative continue du risque et de la confiance numérique) ou système d’authentification basée sur le risque, à votre solution SSO.
    • Pour les produits élaborés sur Salesforce Platform, vous pouvez utiliser la fonctionnalité MFA gratuite fournie dans Salesforce plutôt que d’activer la MFA au niveau de la SSO. Consultez Utilisation de l’authentification multifacteur Salesforce pour l’authentification unique dans l’Aide de Salesforce pour plus de détails.

    Remarque : Si vous utilisez des appareils d’entreprise de confiance avec des certificats ou des réseaux fiables (via VPN, Zero Trust Network Access, des listes IP autorisées, des plages IP de confiance ou des plages IP de connexion) pour l’accès SSO, passez à la Question 4.

  • Question 3 : Vos utilisateurs se connectent-ils directement à l’interface utilisateur pour vos produits Salesforce avec un nom d’utilisateur et un mot de passe, puis une méthode de vérification prise en charge qu’ils doivent fournir à chaque connexion ?

    Votre réponse Ce que cela signifie
    Oui

    Formidable ! D’après vos réponses, vous répondez à l’exigence de la MFA car vous utilisez la MFA de Salesforce pour chaque connexion.

    Vous pouvez ignorer les questions restantes.

    Non

    Si une méthode de vérification prise en charge est nécessaire uniquement lorsque les utilisateurs se connectent à partir de nouveaux navigateurs ou appareils, vous utilisez l’activation d’appareil ou la vérification d’identité au lieu de la MFA. C’est bien mais cela ne répond pas à l’exigence de la MFA. Vous devez activer la MFA pour vos produits Salesforce.

    Si les utilisateurs ne sont jamais invités à fournir une méthode de vérification après avoir saisi leur nom d’utilisateur et mot de passe, vous devez activer la MFA pour vos produits Salesforce.

    Consultez la section « Aide MFA pour vos produits Salesforce » sur le site client MFA pour Salesforce.

    Remarque : Si votre produit Salesforce ne demande pas aux utilisateurs de fournir une méthode de vérification car vous contrôlez les connexions directes en utilisant des appareils de confiance avec des certificats ou des réseaux de confiance (via VPN, Zero Trust Network Access, des listes IP autorisées, des plages IP de confiance ou des plages IP de connexion), passez à la Question 4.

  • Question 4 : Utilisez-vous des appareils d’entreprise de confiance ou des réseaux de confiance pour octroyer l’accès aux produits Salesforce ?

    Votre réponse Ce que cela signifie
    Oui

    Lorsque vous utilisez des appareils d’entreprise avec des certificats ou des réseaux d’entreprise (de confiance) seuls, ils ne répondent pas à l’exigence de la MFA.

    Si vous utilisez l’un de ces mécanismes pour contrôler l’accès SSO ou les connexions Salesforce directes, activez la MFA pour votre fournisseur d’identité SSO ou vos produits Salesforce. Cependant, si cela n’est pas possible, vous pouvez répondre aux exigences de la MFA en utilisant des appareils de confiance avec des certificats en conjonction avec un réseau d’entreprise de confiance. Pour en savoir plus, consultez « Les appareils d'entreprise de confiance répondent-ils à l’exigence de la MFA ? », « Les restrictions de connexion aux réseaux de confiance répondent-elles à l’exigence de la MFA ? » et « L’utilisation d’un VPN ou de Zero Trust Network Access répond-elle à l’exigence de la MFA » dans la FAQ sur la MFA .)

    Non

    Désolé, nous n’avons plus d’options. Essayez de recommencer et de répondre à nouveau aux questions. Si vous n’avez toujours pas de réponse et ne savez pas si vous répondez à l’exigence de la MFA, contactez votre représentant Salesforce pour obtenir de l’aide.

Que dois-je faire de ces informations ?

Découvrez si vous répondez à l’exigence de la MFA ou si vous devez accomplir des tâches

Si les réponses obtenues ici indiquent que votre implémentation satisfait à l’exigence de la MFA, félicitations ! 

Autrement, consultez la FAQ sur la MFA pour comprendre les détails complets de l’exigence contractuelle, et reportez-vous à la documentation recommandée pour implémenter une solution conforme.

Suivez les conseils de votre équipe informatique ou de cybersécurité, le cas échéant.

Et vous pouvez toujours transmettre vos questions au groupe Trailblazer Community Premiers pas avec la MFA, où des experts de la sécurité Salesforce sont là pour vous aider.

Lorsque vous estimez avoir satisfait à l’exigence de la MFA, vous n’avez pas besoin de certifier la conformité à Salesforce

Salesforce n’exige pas que les clients certifient la conformité à leurs obligations contractuelles. En accord avec cette pratique, Salesforce n’exige pas que les clients obtiennent une certification formelle ni qu’ils attestent qu’ils répondent à l’exigence de la MFA.

À quoi vous attendre si vous ne remplissez pas l’exigence de la MFA pour le moment 

L’exigence de la MFA est en vigueur depuis le 1er février 2022. Si vous n’utilisez pas la MFA pour les connexions directes ou l’accès SSO à vos produits, consultez « Que se passe-t-il si nous ne satisfaisons pas à l’exigence de la MFA ? » dans la FAQ sur la MFA.