SSO e requisito della MFA

Image

Da sola, una soluzione Single Sign-On (SSO) non soddisfa il requisito della MFA. Se nei tuoi prodotti Salesforce è integrata una soluzione SSO, assicurati che la MFA sia abilitata per tutti gli utenti Salesforce. Per assistenza, leggi le risposte a queste domande frequenti su SSO e il requisito della MFA. Per i dettagli completi sul requisito, vedi tutte le domande frequenti sull'autenticazione a più fattori (MFA).

Domande frequenti sulla MFA per l'accesso SSO a prodotti Salesforce

  • Per accedere ai prodotti Salesforce utilizziamo una soluzione Single Sign-On (SSO). Cosa è necessario fare per implementare la MFA?

    Rivolgiti al tuo provider della funzionalità SSO per utilizzarne il servizio MFA.

    Per i prodotti basati su Salesforce Platform, puoi usufruire della funzionalità MFA gratuita disponibile in Salesforce anziché abilitare la MFA a livello di SSO. Per i dettagli, puoi consultare Uso della MFA di Salesforce per l'SSO nella Guida di Salesforce.

    Tieni presente che tutti gli utenti Salesforce dovranno utilizzare la MFA. Se alcuni utenti, ad esempio gli amministratori Salesforce, effettuano l'accesso direttamente ai prodotti, abilita la MFA Salesforce per proteggere tali account. Guarda questo video

  • Perché Salesforce richiede la MFA per l'accesso SSO?

    Con una strategia SSO ben implementata, è possibile ridurre alcuni dei rischi associati all'uso di password troppo semplici o riutilizzate, facilitando agli utenti l'accesso alle applicazioni usate di frequente. Se tuttavia l'implementazione della funzione SSO si basa solo sulle credenziali utente, gli account utente possono essere vulnerabili ad attacchi frequenti, come phishing e credential stuffing.

    Come responsabile della sicurezza dell'organizzazione, svolgi un ruolo fondamentale nella salvaguardia dei dati riservati dell'azienda e dei clienti, come nomi, indirizzi email e altre informazioni personali. Con l'aumento delle minacce, ad esempio attacchi di phishing, credential stuffing e account takeover, l'autenticazione a più fattori si rivela uno dei metodi più efficaci per impedire l'accesso non autorizzato agli account. Ti invitiamo a collaborare con i team di IT e sicurezza della tua azienda per allineare il requisito della MFA agli obiettivi generali della sicurezza aziendale e soddisfare il requisito stesso.

    Se la MFA per gli utenti che accedono a Salesforce tramite SSO non viene implementata, la tua azienda sarà maggiormente a rischio di subire attacchi informatici che potrebbero danneggiare le attività dell'azienda stessa e dei suoi clienti.

  • È necessario abilitare la MFA sia a livello di SSO che di Salesforce?

    No. Se la MFA è abilitata per il provider di identità SSO, non è necessario abilitare la MFA Salesforce per gli utenti che accedono tramite SSO. È invece necessario configurare la MFA Salesforce per gli amministratori o per altri utenti dotati di privilegi che accedono direttamente ai prodotti Salesforce.

  • È necessario utilizzare la stessa soluzione MFA per tutti gli utenti Salesforce?

    L'aspetto cruciale del requisito della MFA è che tutti gli utenti Salesforce devono utilizzare un metodo di verifica complesso in aggiunta alla password quando accedono ai prodotti Salesforce. È possibile raggiungere questo scopo implementando più soluzioni MFA, se necessario. Ad esempio, se alcuni utenti accedono tramite SSO e altri no, assicurati che la MFA sia abilitata per gli utenti che utilizzano l'accesso SSO e attiva la funzionalità MFA del prodotto Salesforce per gli utenti che accedono direttamente.

    Ecco uno scenario frequente:  consigliamo di configurare l'accesso mediante SSO e MFA per la maggior parte degli utenti Salesforce. Per gli account amministrativi che non utilizzano l'accesso tramite SSO, invece, puoi abilitare la MFA all'interno dei prodotti Salesforce. In questo modo gli amministratori usufruiranno di un ulteriore livello di protezione quando accedono direttamente con nome utente e password.

  • È possibile abilitare la MFA in Salesforce anziché utilizzare il servizio MFA del provider SSO in uso?

    Per i prodotti basati su Salesforce Platform, puoi usufruire della funzionalità MFA disponibile in Salesforce anziché utilizzare il servizio MFA del provider SSO in uso. Con questo approccio, gli utenti effettueranno l'accesso attraverso la pagina di accesso SSO. Verranno quindi indirizzati a Salesforce, dove dovranno utilizzare il proprio metodo di verifica per dimostrare la propria identità.

    Nota: questa opzione non è disponibile per altri prodotti Salesforce.

    Per ulteriori informazioni, puoi consultare Uso della MFA di Salesforce per l'SSO nella Guida di Salesforce.

  • Quali metodi di verifica soddisfano il requisito della MFA?

    Iniziamo con i metodi di verifica che non soddisfano il requisito, sia che vengano utilizzati i servizi MFA del provider di identità SSO o la MFA Salesforce per l'accesso diretto.

    • I passcode monouso tramite email, SMS o telefono non sono consentiti perché questi metodi sono, per propria natura, suscettibili di intercettazione, spoofing e altri attacchi.
    • Domande di sicurezza
    • Se utilizzati da soli, i dispositivi o le reti affidabili non rappresentano metodi di verifica adeguati per il requisito della MFA. Se combinati, tuttavia, questi metodi consentono l'autenticazione a più fattori e ne soddisfano il requisito. Per ulteriori dettagli, vedi "I dispositivi aziendali affidabili rispettano il requisito della MFA?", "Limitare gli accessi a reti affidabili rispetta il requisito della MFA?" e "L'utilizzo di una VPN o di Zero Trust Network Access soddisfa il requisito della MFA?" nelle Domande frequenti sull'autenticazione a più fattori (MFA).

    Per soddisfare il requisito della MFA, devi utilizzare metodi di verifica con una maggiore resistenza agli attacchi informatici come phishing e man-in-the-middle. I metodi di questo tipo possono dimostrare con un elevato livello di attendibilità che gli utenti che accedono ai prodotti Salesforce sono effettivamente chi affermano di essere. Per implementare l'accesso SSO, escluse le eccezioni indicate in precedenza, puoi utilizzare qualsiasi metodo supportato dalla soluzione MFA del provider di identità o integrato all'interno di essa.

  • L'autenticazione basata sul rischio e l'autenticazione continua soddisfano il requisito della MFA?

    L'autenticazione basata sul rischio, detta anche autenticazione adattiva o CARTA (Continuous Adaptive Risk and Trust Assessment), è un sistema di autenticazione che analizza in modo continuo il rischio associato a un utente mediante il monitoraggio di più segnali provenienti dall'utente stesso e dal dispositivo utilizzato, nonché mediante il monitoraggio del metodo di accesso ai servizi e del momento in cui l'utente effettua l'accesso. Se il livello di rischio in una situazione specifica lo giustifica, il provider di identità o il servizio di autenticazione richiede automaticamente all'utente di soddisfare sollecitazioni di sicurezza aggiuntive. Per saperne di più, leggi questo articolo

    Se hai già integrato un sistema di autenticazione basato sul rischio nella tua soluzione SSO, l'implementazione è conforme al requisito della MFA. Se desideri prendere in considerazione questo tipo di soluzione, esistono diversi provider di tecnologia con cui puoi collaborare.

  • Con quale frequenza gli utenti devono utilizzare un metodo di verifica MFA quando accedono al nostro portale SSO?

    Consigliamo vivamente di configurare il servizio MFA per il provider di identità SSO in modo che gli utenti debbano utilizzare un metodo complesso di verifica, in aggiunta a nome utente e password, ogni volta che effettuano l'accesso.

  • Come fa Salesforce a sapere se la MFA è abilitata per il provider di identità SSO in uso e che il requisito è soddisfatto?

    Se per accedere ai prodotti Salesforce utilizzi un provider di identità di terze parti (IdP), Salesforce ha una visibilità limitata sulla tua implementazione MFA. Per garantirci la visibilità necessaria a gestire il requisito della MFA, stiamo pianificando di sfruttare gli attributi basati su standard dei protocolli SSO che descrivono il metodo di autenticazione utilizzato durante questo tipo di accesso.

    La maggior parte dei provider SSO supporta due attributi principali: OpenID Connect (OIDC), che utilizza l'attributo amr (Authentication Method Reference), e SAML, che utilizza l'attributo AuthnContext (Authentication Context). Attualmente, l'attributo OIDC amr è disponibile nei prodotti creati in Salesforce Platform, e puoi visualizzarne i valori in LoginHistory quando esporti i dati. Nei rilasci futuri intendiamo estendere l'attributo OIDC amr ad altri prodotti Salesforce e aggiungere il supporto dell'attributo SAML AuthnContext a tutti i prodotti.

    Tieni presente che l'abilitazione della MFA è un requisito contrattuale, in base alla Trust and Compliance Documentation di Salesforce.

  • Salesforce imporrà la MFA per l'SSO?

    Salesforce non prende iniziative per conto dei clienti per l'abilitazione della MFA per il provider di identità SSO, né prevede di bloccare l'accesso ai prodotti Salesforce o di attivare sollecitazioni MFA se il servizio SSO non richiede la MFA. Questa policy potrebbe cambiare in futuro.

    Ricorda tuttavia che il requisito contrattuale della MFA, secondo la Trust and Compliance Documentation di Salesforce, si applica a tutti gli utenti Salesforce interni che accedono ai tuoi prodotti Salesforce via SSO. Se non ti è stato possibile abilitare la MFA entro il 1° febbraio 2022, rivolgiti al tuo ufficio legale per comprendere le implicazioni della mancata conformità.

    L'obiettivo della nostra richiesta di abilitare la MFA è di offrirti gli incentivi e gli strumenti che ti consentano di dare la priorità al rafforzamento della sicurezza del tuo ambiente Salesforce. Ti invitiamo a collaborare con i team di IT e sicurezza della tua azienda per allineare il requisito della MFA agli obiettivi generali della sicurezza aziendale e soddisfare il requisito stesso. per qualsiasi dubbio sulla capacità di soddisfare il requisito, puoi rivolgerti al tuo rappresentante Salesforce. Saremo al tuo fianco nella ricerca di una soluzione.

  • È possibile abilitare il servizio SSO per gli amministratori Salesforce? Cosa succede se l'accesso SSO diventa inattivo?

    Gli amministratori devono sempre essere in grado di accedere direttamente ai prodotti Salesforce utilizzando nome utente e password. Sconsigliamo di abilitare l'accesso SSO per gli amministratori Salesforce, perché in caso di interruzione del servizio o altri problemi dell'implementazione SSO non sarebbero in grado di accedere. Ad esempio, se il provider del servizio SSO di terze parti subisce un'interruzione prolungata, gli amministratori possono accedere mediante la pagina di accesso standard dei prodotti Salesforce utilizzando nome utente e password, quindi disabilitare l'SSO finché il problema non è risolto. Anziché utilizzare il servizio SSO per gli amministratori Salesforce, consigliamo di abilitare la MFA per gli account amministrativi direttamente nei prodotti Salesforce.

  • Come si impone l'accesso SSO per gli utenti Salesforce?

    Se l'azienda utilizza il servizio SSO per l'accesso a Salesforce, consigliamo di disabilitare l'accesso diretto per tutti gli utenti standard. Impedendo l'accesso tramite nome utente e password, Salesforce garantisce che gli utenti non possano ignorare il sistema SSO. Assicurati che gli utenti interessati conoscano l'URL della pagina per l'accesso SSO. Per informazioni sulla procedura necessaria, vedi Impostazione dell'obbligo di accesso con SSO per gli utenti nella Guida di Salesforce.