SSO et l’exigence de la MFA

Contactez votre fournisseur SSO pour en savoir plus sur l’utilisation de son service MFA.

Pour les produits élaborés sur Salesforce Platform, vous pouvez utiliser la fonctionnalité MFA gratuite fournie dans Salesforce plutôt que d’activer la MFA au niveau de la SSO. Consultez Utilisation de l’authentification multifacteur Salesforce pour l’authentification unique dans l’Aide de Salesforce pour plus de détails.

Gardez à l’esprit que tous vos utilisateurs Salesforce doivent utiliser la MFA. Si vous avez des utilisateurs (tels que des administrateurs Salesforce), qui se connectent directement à vos produits, activez la MFA de Salesforce pour sécuriser ces comptes. Regardez cette vidéo. 

Avec une stratégie SSO correctement implémentée, vous pouvez réduire certains risques liés aux mots de passe faibles ou réutilisés, et permettez à vos utilisateurs de se connecter à des applications fréquemment utilisées. Néanmoins, si votre implémentation SSO repose uniquement sur des identifiants, les comptes utilisateur peuvent être vulnérables aux attaques courantes comme le hameçonnage ou le bourrage d’identifiants (credential stuffing).

En tant que responsable de la sécurité de votre organisation, vous jouez un rôle essentiel dans la protection de vos données clients et commerciales confidentielles, notamment des noms, des adresses e-mail et des autres données à caractère personnel. Face aux menaces courantes telles que les attaques par hameçonnage, le bourrage d'identifiants et le piratage de compte, la MFA est une méthode efficace pour empêcher l’accès non autorisé à un compte. Nous vous encourageons à travailler avec votre équipe informatique et de sécurité pour aligner l’exigence de la MFA sur les objectifs de sécurité généraux de votre entreprise, et vous aider à répondre à l’exigence.

Si vous ne mettez pas en œuvre la MFA pour les utilisateurs qui accèdent à Salesforce via l’authentification unique, vous courez un risque accru d’attaques informatiques qui pourraient nuire à votre entreprise et à vos clients.

Non. Si la MFA est activée pour votre fournisseur d’identité SSO, vous ne devez pas activer la MFA de Salesforce pour les utilisateurs qui se connectent via l’authentification unique. Mais si vous avez des administrateurs ou d’autres utilisateurs privilégiés qui se connectent directement à vos produits Salesforce, vous devez configurer la MFA de Salesforce pour ces utilisateurs.

Le point crucial de l’exigence de la MFA est que tous vos utilisateurs Salesforce doivent fournir une méthode de vérification solide en plus de leur mot de passe lorsqu’ils accèdent aux produits Salesforce. Si nécessaire, vous pouvez accomplir cela en déployant plusieurs solutions MFA. Par exemple, si vous avez à la fois des utilisateurs SSO et non SSO, assurez-vous que la MFA est activée pour vos utilisateurs SSO et activez la fonctionnalité MFA de votre produit Salesforce pour les utilisateurs qui se connectent directement.

Voici un scénario courant :  Nous recommandons de configurer la plupart des utilisateurs Salesforce pour qu’ils se connectent avec la SSO et la MFA. Néanmoins, pour les comptes d’administrateur qui n’utilisent pas la SSO, vous pouvez activer la MFA dans vos produits Salesforce afin que les administrateurs bénéficient d’un niveau de protection supplémentaire lorsqu’ils se connectent directement avec leur nom d’utilisateur et mot de passe.

Pour les produits élaborés sur Salesforce Platform, vous pouvez utiliser la fonctionnalité MFA fournie dans Salesforce au lieu d’utiliser le service MFA de votre fournisseur SSO. Avec cette approche, les utilisateurs se connectent via votre page de connexion SSO. Ils sont ensuite dirigés vers Salesforce, où ils sont invités à fournir leur méthode de vérification par MFA pour confirmer leur identité.

Remarque : cette option n’est pas disponible pour les autres produits Salesforce.

Pour en savoir plus, consultez Utilisation de l’authentification multifacteur Salesforce pour l’authentification unique dans l’Aide de Salesforce.

Commençons par les méthodes de vérification qui ne répondent pas à l'exigence, que vous utilisiez les services MFA de votre fournisseur d'identité SSO ou la MFA Salesforce pour les connexions directes.

• L'envoi de codes secrets à usage unique via e-mails, sms ou appels téléphoniques n'est pas autorisé, car avec ces méthodes, les codes peuvent être interceptés, usurpés ou compromis par d'autres attaques.
• Questions de sécurité
• Utilisés seuls, les appareils de confiance ou les réseaux de confiance sont pas des méthodes de vérification adaptées à l'exigence de la MFA. (Cependant, lorsque les appareils de confiance et les réseaux de confiance sont combinés,ces méthodes peuvent permettre d’atteindre la MFA et de satisfaire à l'exigence. Pour en savoir plus, consultez « Les appareils d'entreprise de confiance répondent-ils à l’exigence de la MFA ? », « Les restrictions de connexion aux réseaux de confiance répondent-elles à l’exigence de la MFA ? » et « L’utilisation d’un VPN ou d’un dans Zero Trust Network Access répond-elle aux exigences de la MFA » dans la FAQ sur la MFA .)

Pour satisfaire à l'exigence de la MFA, vous devez utiliser des méthodes de vérification plus résistantes aux cyberattaques (de type hameçonnage et intercepteur ou man-in-the-middle). Ces méthodes doivent valider l'identité des utilisateurs qui accèdent aux produits Salesforce. Pour la SSO, à l'exception des options répertoriées ci-dessus, utilisez n'importe quelle méthode prise en charge par ou intégrée à la solution MFA de votre fournisseur d'identité.

L'authentification basée sur le risque, également appelée authentification adaptative ou CARTA (évaluation adaptative continue du risque et de la confiance numérique), est un système d'authentification qui analyse en permanence le risque associé à un utilisateur en surveillant plusieurs signaux provenant de l'utilisateur, de l'appareil de l'utilisateur, et de l'heure et de la méthode avec lesquelles l'utilisateur accède aux services. Si le niveau de risque d'une solution donnée le permet, le fournisseur d'identité ou le service d'authentification demande automatiquement à l'utilisateur de répondre à des défis de sécurité supplémentaires. Pour en savoir plus, lisez cet article. 

Si vous avez déjà intégré un système d'authentification basée sur le risque à votre solution SSO, votre implémentation répond à l'exigence de la MFA. Si vous souhaitez envisager ce type de solution, plusieurs fournisseurs de technologies peuvent l'implémenter.

Nous recommandons vivement de configurer le service MFA pour votre fournisseur d'identité SSO afin de demander aux utilisateurs de fournir une méthode de vérification forte, en plus de leur nom d'utilisateur et de leur mode passe, chaque fois qu'ils se connectent.

Si vous utilisez un fournisseur d’identité tiers (IdP) pour accéder à vos produits Salesforce, Salesforce a une visibilité limitée sur votre implémentation MFA. Afin de nous assurer de disposer des informations nécessaires pour gérer l’exigence de la MFA, nous prévoyons de tirer parti des attributs s’appuyant sur des normes dans les protocoles SSO qui décrivent la méthode d’authentification utilisée lors d’une connexion SSO.

La plupart des fournisseurs SSO prennent en charge deux attributs principaux : OpenID Connect (OIDC) utilise la Référence de la méthode d’authentification (amr) et SAML utilise le Contexte d’authentification (AuthnContext). Actuellement, OIDC amr est disponible dans les  produits élaborés sur Salesforce Platform, et vous pouvez afficher les valeurs dans  LoginHistory lorsque vous exportez les données. Dans les prochaines versions, nous souhaitons étendre OIDC amr à d’autres produits Salesforce et ajouter la prise en charge de SAML AuthnContext à tous les produits.

Gardez à l’esprit que l’activation de la MFA est une exigence contractuelle, conformément à la Documentation sur la confiance et la conformité de Salesforce.

Salesforce n’agira pas en votre nom afin d’activer la MFA pour votre fournisseur d’identité SSO. Et nous ne bloquerons pas l’accès aux produits Salesforce ni ne déclencherons les défis de la MFA si votre service SSO n'exige pas la MFA. Cette politique pourrait changer à l’avenir.

Néanmoins, retenez que l'exigence contractuelle de la MFA, conformément à la Documentation sur la confiance et la conformité Salesforce, s'applique à tous les utilisateurs Salesforce internes qui accèdent à vos produits Salesforce via la SSO. Si vous ne pouvez pas activer la MFA d'ici le 1^er février 2022, date limite pour l’exigence de la MFA, contactez votre équipe juridique pour comprendre les implications de la non-conformité.

En exigeant la MFA, notre objectif est de vous donner les avantages et les outils pour privilégier le renforcement de la sécurité de vos environnements Salesforce. Nous vous encourageons à travailler avec votre équipe informatique et de sécurité pour aligner l’exigence de la MFA sur les objectifs de sécurité généraux de votre entreprise, et vous aider à répondre à l’exigence. En cas de doute sur la satisfaction de cette exigence, contactez votre représentant Salesforce. Nous vous aiderons à trouver une solution.

Les administrateurs doivent toujours être en mesure de se connecter directement à vos produits Salesforce en utilisant leur nom d'utilisateur et leur mot de passe. Nous recommandons de ne pas activer la SSO pour les administrateurs Salesforce, car ils risquent de ne pas pouvoir se connecter en cas de panne ou d'un autre problème avec votre implémentation SSO. Par exemple, si votre fournisseur SSO tiers subit une panne prolongée, les administrateurs peuvent utiliser la page de connexion standard de votre produit Salesforce pour se connecter avec leur nom d'utilisateur et leur mot de passe, puis désactiver la SSO jusqu'à ce que le problème soit résolu. Au lieu d’utiliser la SSO pour les administrateurs Salesforce, nous vous recommandons d’activer la MFA pour les comptes d’administrateur directement dans vos produits Salesforce.

Si votre entreprise utilise l’authentification unique pour accéder à Salesforce, nous vous recommandons de désactiver les connexions directes pour tous les utilisateurs standard. Le fait d’empêcher les connexions avec un nom d'utilisateur et un mot de passe Salesforce garantit que les utilisateurs ne peuvent pas contourner votre système SSO. Assurez-vous que les utilisateurs concernés connaissent l’URL à laquelle ils peuvent accéder à votre page de connexion SSO. Pour obtenir plus d’informations et connaître les étapes à suivre, reportez-vous à Disable Logins with Salesforce Credentials for SSO Users (en anglais) dans l’Aide de Salesforce.