Da sola, una soluzione Single Sign-On (SSO) non soddisfa il requisito MFA. Se nei tuoi prodotti Salesforce è integrata una soluzione SSO, assicurati che la MFA sia abilitata per tutti gli utenti Salesforce. Per assistenza, leggi le risposte a queste domande frequenti su SSO e requisito MFA. Per i dettagli completi sul requisito, vedi tutte le domande frequenti sulla MFA.

Domande frequenti sulla MFA per l'accesso SSO a prodotti Salesforce

  • Rivolgetevi al vostro provider della funzionalità SSO per utilizzare il loro servizio MFA.

    Per i prodotti basati su Salesforce Platform, potete usufruire della funzionalità MFA gratuita disponibile in Salesforce anziché abilitare la MFA a livello di SSO. Per i dettagli, potete consultare Uso della MFA di Salesforce per l'SSO nella Guida di Salesforce.

    Tenete presente che tutti gli utenti Salesforce dovranno utilizzare la MFA. Se alcuni utenti, ad esempio gli amministratori Salesforce, effettuano l'accesso direttamente ai prodotti, abilitate la MFA Salesforce per proteggere questi account. Guardate questo video

  • Con una strategia SSO ben implementata, è possibile ridurre alcuni dei rischi associati all'uso di password troppo semplici o riutilizzate, rendendo più facile per gli utenti l'accesso alle applicazioni usate di frequente. Se tuttavia l'implementazione della funzione SSO si basa solo sulle credenziali utente, gli account utente possono essere vulnerabili ad attacchi frequenti, come phishing e credential stuffing.

    Come difensore della sicurezza dell'organizzazione, l'amministratore svolge un ruolo fondamentale nella salvaguardia dei dati riservati dell'azienda e dei clienti, come nomi, indirizzi email e altre informazioni personali. Con l'aumento delle minacce, ad esempio attacchi di phishing, credential stuffing e account takeover, l'autenticazione a più fattori è uno dei metodi più efficaci per impedire l'accesso non autorizzato agli account. Ti invitiamo a collaborare con i team di IT e sicurezza della tua azienda per allineare il requisito della MFA agli obiettivi generali della sicurezza aziendale e soddisfare il requisito stesso.

    Se la MFA per gli utenti che accedono a Salesforce tramite SSO non viene implementata, la tua azienda sarà maggiormente a rischio di subire attacchi informatici che potrebbero danneggiare le attività dell'azienda stessa e dei suoi clienti.

  • No. Se la MFA è abilitata per il provider di identità SSO, non è necessario abilitare la MFA Salesforce per gli utenti che accedono tramite SSO. Ma per gli amministratori o per altri utenti privilegiati che accedono ai prodotti Salesforce direttamente è invece necessario configurare la MFA Salesforce.

  • L'aspetto cruciale del requisito della MFA è che tutti gli utenti Salesforce devono utilizzare un metodo di verifica complesso in aggiunta alla password quando accedono ai prodotti Salesforce. È possibile raggiungere questo scopo implementando più soluzioni MFA, se necessario. Ad esempio, se alcuni utenti accedono tramite SSO e altri no, assicurati che la MFA sia abilitata per gli utenti che utilizzano l'accesso SSO e attiva la funzionalità MFA del prodotto Salesforce per gli utenti che accedono direttamente.

    Ecco uno scenario frequente:  consigliamo di configurare l'accesso mediante SSO e MFA per la maggior parte degli utenti Salesforce. Per gli account amministrativi che non utilizzano l'accesso tramite SSO, invece, puoi abilitare la MFA all'interno dei prodotti Salesforce. In questo modo gli amministratori usufruiranno di un ulteriore livello di protezione quando accederanno direttamente con nome utente e password.

  • Per i prodotti basati su Salesforce Platform, potete usufruire della funzionalità MFA disponibile in Salesforce anziché utilizzare il servizio MFA del vostro provider SSO. Con questo approccio, gli utenti accederanno attraverso la vostra pagina di accesso SSO. Verranno quindi indirizzati a Salesforce, dove dovranno utilizzare il proprio metodo di verifica per dimostrare la propria identità.

    Nota: questa opzione non è disponibile per altri prodotti Salesforce.

    Per ulteriori informazioni, potete consultare Uso della MFA di Salesforce per l'SSO nella Guida di Salesforce.

  • Iniziamo con i metodi di verifica che non soddisfano il requisito, sia che vengano utilizzati i servizi MFA del provider di identità SSO o la MFA Salesforce per l'accesso diretto.

    • I passcode monouso tramite email, SMS o telefono non sono consentiti perché questi metodi sono, per loro natura, suscettibili di intercettazione, spoofing e altri attacchi.
    • Utilizzati da soli, dispositivi o reti affidabili non rappresentano metodi di verifica adeguati per il requisito MFA. Se combinati, tuttavia, questi metodi consentono l'autenticazione a più fattori e soddisfano il requisito. Per ulteriori dettagli, vedere "I dispositivi aziendali affidabili rispettano il requisito della MFA?" e "Limitare gli accessi a reti affidabili rispetta il requisito della MFA?" nelle Domande frequenti sulla MFA.

    Per soddisfare il requisito MFA, dovete utilizzare metodi di verifica con una maggiore resistenza agli attacchi informatici, come gli attacchi di phishing e man-in-the-middle. I metodi di questo tipo possono dimostrare con un elevato livello di attendibilità che gli utenti che accedono ai prodotti Salesforce sono effettivamente chi affermano di essere. Per implementare l'accesso SSO, escluse le eccezioni indicate in precedenza, puoi utilizzare qualsiasi metodo supportato dalla soluzione MFA del provider di identità o integrato all'interno di essa.

  • L'autenticazione basata sul rischio, detta anche autenticazione adattiva o CARTA (Continuous Adaptive Risk and Trust Assessment), è un sistema di autenticazione che analizza in modo continuo il rischio associato a un utente mediante il monitoraggio di più segnali provenienti dall'utente stesso e dal dispositivo utilizzato, nonché mediante il monitoraggio del metodo di accesso ai servizi e del momento in cui l'utente effettua l'accesso. Se il livello di rischio in una situazione specifica lo giustifica, il provider di identità o il servizio di autenticazione richiede automaticamente all'utente di soddisfare sollecitazioni di sicurezza aggiuntive. Per saperne di più, leggere questo articolo

    Se avete già integrato un sistema di autenticazione basato sul rischio nella vostra soluzione SSO, l'implementazione è conforme al requisito MFA. Se desiderate prendere in considerazione questo tipo di soluzione, esistono diversi provider di tecnologia con cui potete collaborare.

  • Consigliamo vivamente di configurare il servizio MFA per il provider di identità SSO in modo che gli utenti debbano utilizzare un metodo complesso di verifica, oltre a nome utente e password, ogni volta che effettuano l'accesso.

  • Se per accedere ai prodotti Salesforce utilizzate un provider di identità di terze parti (IdP), Salesforce ha una visibilità limitata sulla vostra implementazione MFA. Per garantirci la visibilità necessaria a gestire il requisito MFA, stiamo pianificando di sfruttare gli attributi basati su standard dei protocolli SSO che descrivono il metodo di autenticazione utilizzato durante questo tipo di accesso.

    La maggior parte dei provider SSO supporta due attributi principali: OpenID Connect (OIDC), che utilizza l'attributo amr (Authentication Method Reference), e SAML, che utilizza l'attributo AuthnContext (Authentication Context). Attualmente, l'attributo OIDC amr è disponibile nei prodotti creati in Salesforce Platform, e puoi visualizzarne i valori in LoginHistory quando esporti i dati. Nei rilasci futuri intendiamo estendere l'attributo OIDC amr ad altri prodotti Salesforce e aggiungere il supporto dell'attributo SAML AuthnContext a tutti i prodotti.

    Tieni presente che l'abilitazione della MFA è un requisito contrattuale, in base alla Trust and Compliance Documentation di Salesforce.

  • Salesforce non prende iniziative per conto dei clienti per l'abilitazione della MFA per il provider di identità SSO, né prevede di bloccare l'accesso ai prodotti Salesforce o di attivare sollecitazioni MFA se il servizio SSO non richiede la MFA. Questa policy potrebbe cambiare in futuro.

    Ricorda tuttavia che il requisito contrattuale della MFA, secondo la Trust and Compliance Documentation di Salesforce, si applica a tutti gli utenti Salesforce interni che accedono ai vostri prodotti Salesforce via SSO. Se non siete in grado di abilitare la MFA entro il 1° febbraio 2022, rivolgetevi al vostro ufficio legale per comprendere le implicazioni della mancata conformità.

    L'obiettivo della nostra richiesta di abilitare la MFA è di offrirvi gli incentivi e gli strumenti che vi consentano di dare la priorità al rafforzamento della sicurezza del vostro ambiente Salesforce. Ti invitiamo a collaborare con i team di IT e sicurezza della tua azienda per allineare il requisito della MFA agli obiettivi generali della sicurezza aziendale e soddisfare il requisito stesso. E per qualsiasi dubbio sulla vostra capacità di soddisfare il requisito, puoi rivolgerti al vostro rappresentante Salesforce. Saremo al vostro fianco nella ricerca di una soluzione.

  • Gli amministratori devono sempre essere in grado di accedere direttamente ai prodotti Salesforce utilizzando nome utente e password. Sconsigliamo di abilitare l'accesso SSO per gli amministratori Salesforce, perché in caso di interruzione del servizio o altri problemi dell'implementazione SSO non sarebbero in grado di accedere. Ad esempio, se il provider del servizio SSO di terze parti subisce un'interruzione prolungata, gli amministratori possono accedere dalla pagina di accesso standard dei prodotti Salesforce mediante nome utente e password, quindi disabilitare l'SSO finché il problema non è risolto. Anziché utilizzare il servizio SSO per gli amministratori Salesforce, consigliamo di abilitare la MFA per gli account amministrativi direttamente nei prodotti Salesforce.

  • Se l'azienda utilizza il servizio SSO per l'accesso a Salesforce, consigliamo di disabilitare l'accesso diretto per tutti gli utenti standard. Impedendo l'accesso tramite nome utente e password, Salesforce garantisce che gli utenti non possano ignorare il sistema SSO. Assicurati che gli utenti interessati conoscano l'URL della pagina per l'accesso SSO. Per informazioni sulla procedura necessaria, vedi Impostazione dell'obbligo di accesso con SSO per gli utenti nella Guida di Salesforce.