싱글사인온(SSO) 솔루션 자체는 MFA 요구 사항을 충족하지 못합니다. Salesforce 제품에 SSO가 통합된 경우 모든 Salesforce 사용자에게 MFA가 활성화되었는지 확인하십시오. 도움이 필요하면 SSO 및 MFA 요구 사항에 대한 다음 일반적인 질문의 답변을 확인하십시오. 요구 사항에 대한 세부 사항은 MFA FAQ를 참조하십시오.

Salesforce 제품에 SSO로 로그인하기 위한 MFA 관련 FAQ

  • SSO 공급자에게 MFA 서비스 사용을 문의하십시오.

    Salesforce Platform에 구축된 제품의 경우 SSO 수준에서 MFA를 활성화하는 대신 Salesforce에서 제공하는 무료 MFA 기능을 사용할 수 있습니다. 자세한 사항은 Salesforce 도움말에서 SSO 로그인에 Salesforce MFA 사용을 참조하십시오.

    모든 Salesforce 사용자가 MFA를 사용해야 합니다. 제품에 직접 로그인하는 사용자(Salesforce 관리자와 같은)가 있다면 해당 계정을 보호하기 위해 Salesforce MFA를 활성화하십시오. 이 비디오에서 확인하십시오. 

  • SSO 전략을 적절히 구현하면 보호 수준이 낮은 암호나 같은 암호 사용과 관련된 몇 가지 위험을 줄이고 사용자가 자주 사용하는 응용 프로그램에 간편하게 액세스할 수 있습니다. 그러나 SSO 구현이 사용자 자격 증명에만 의존하는 경우 사용자 계정이 피싱 또는 자격 증명 채워넣기 등 일반적인 공격에 취약할 수 있습니다.

    조직의 보안 관리자로서 귀하는 이름, 이메일 주소, 기타 개인 식별 정보 등 민감한 고객 및 비즈니스 데이터를 보호하는 중요한 역할을 합니다. 피싱 공격, 자격 증명 채워넣기, 계정 침입을 통한 탈취 등의 위협이 증가함에 따라 MFA는 무단 계정 액세스를 방지하는 가장 효과적인 방법 중 하나가 되었습니다. 보안팀 및 IT팀과 협력하여 MFA 요구 사항을 회사 전체의 보안 목표에 맞추고 요구 사항을 충족할 수 있도록 도움을 받는 것이 좋습니다.

    SSO를 통해 Salesforce에 액세스하는 사용자를 위해 MFA를 구현하지 않으면 비즈니스와 고객에 해를 끼칠 수 있는 사이버 공격의 위험이 커집니다.

  • 아닙니다. SSO ID 공급자에 대해 MFA를 활성화한 경우 SSO를 통해 로그인하는 사용자에게 Salesforce의 MFA를 활성화하지 않아도 됩니다. 그러나 Salesforce 제품에 직접 로그인하는 관리자 또는 기타 권한 있는 사용자가 있는 경우, 해당 사용자에게 Salesforce의 MFA를 설정해야 합니다.

  • MFA 요구 사항에서 가장 중요한 점은 모든 Salesforce 사용자가 Salesforce 제품에 액세스할 때 암호 외에 강력한 확인 메서드를 제공해야 한다는 점입니다. 필요한 경우 다중 MFA 솔루션을 배포하면 이를 수행할 수 있습니다. 예를 들어 SSO 및 비SSO 사용자가 모두 있는 경우 SSO 사용자용 MFA가 활성화되어 있고 직접 로그인하는 사용자에 대해 Salesforce 제품의 MFA 기능을 설정했는지 확인하십시오.

    일반적인 시나리오:  대부분의 Salesforce 사용자가 SSO 및 MFA를 사용하여 로그인하도록 설정하는 것이 좋습니다. 그러나 SSO를 사용하지 않는 관리자 계정의 경우 관리자가 사용자 이름 및 암호를 사용하여 직접 로그인할 때 추가 보호 조치를 확보할 수 있도록 Salesforce 제품에서 MFA를 활성화할 수 있습니다.

  • Salesforce Platform에 구축된 제품의 경우, SSO 제공자의 MFA 서비스를 사용하는 대신 Salesforce에서 제공된 MFA 기능을 사용할 수 있습니다. 이 경우 사용자는 SSO 로그인 페이지를 통해 로그인합니다. 그러면 사용자는 Salesforce로 이동하고 MFA 확인 메서드를 제공하여 ID를 확인하라는 메시지가 표시됩니다.

    참고: 이 옵션은 다른 Salesforce 제품에서 사용할 수 없습니다.

    자세한 사항은 Salesforce 도움말에서 SSO 로그인에 Salesforce MFA 사용을 참조하십시오.

  • SSO ID 공급자의 MFA 서비스 또는 Salesforce의 직접 로그인용 MFA를 사용하는 경우 요구 사항을 충족하지 않는 확인 메서드를 먼저 살펴보겠습니다.

    • 이메일 메시지, 문자 메시지 또는 전화로 일회용 암호를 전달하는 방법은 본질적으로 가로채기, 스푸핑, 기타 공격에 취약하므로 허용되지 않습니다.
    • 신뢰할 수 있는 장치 또는 신뢰할 수 있는 네트워크 자체만으로는 MFA 요구 사항에 적절한 확인 메서드가 아닙니다. (그러나 함께 사용하면 해당 메서드가 MFA를 달성하고 요구 사항을 충족합니다. 자세한 내용은 MFA FAQ "신뢰할 수 있는 기업 장치가 MFA 요구 사항을 충족합니까?" 및 "신뢰할 수 있는 네트워크로 로그인을 제한하는 것이 MFA 요구 사항을 충족합니까?"를 참조하십시오.)

    MFA 요구 사항을 충족하려면 피싱 및 가로채기 공격을 비롯한 사이버 공격에 취약하지 않은 확인 메서드를 사용해야 합니다. 다음 메서드 유형은 Salesforce 제품에 액세스하는 사용자가 실제 사용자라는 확신을 줄 수 있습니다. SSO 구현의 경우 위에 나열된 옵션을 제외하고 ID 공급자의 MFA 솔루션으로 지원되는 또는 해당 솔루션과 통합된 메서드를 사용합니다.

  • 적응형 인증 또는 CARTA(Continuous Adaptive Risk and Trust Assessment)로도 알려진 위험 기반 인증은 사용자, 사용자 장치, 사용자의 서비스 액세스 방법, 시기와 관련된 여러 가지 신호를 모니터링하여 계속해서 사용자와 관련된 위험을 분석하는 인증 시스템입니다. 주어진 상황에서 위험 수준이 정당한 경우 ID 공급자 또는 인증 서비스에서 사용자에게 추가 보안 문제를 충족하도록 자동 요구합니다. 자세한 정보는 이 기사를 참조하십시오

    이미 위험 기반 인증 시스템과 SSO 솔루션을 통합한 경우 구현은 MFA 요구 사항을 준수합니다. 이 솔루션 유형을 고려하려는 경우 다수의 기술 공급자와 공동 작업할 수 있습니다.

  • 사용자가 로그인할 때마다 사용자 이름 및 암호 외에 강력한 확인 메서드를 제공해야 하도록 SSO ID 공급자에 대해 MFA 서비스를 구성하는 것이 좋습니다.

  • 타사 ID 공급자(IdP)를 이용하여 Salesforce 제품에 액세스할 경우 MFA 구현에 대한 Salesforce의 가시성이 제한됩니다. MFA 요구 사항 관리에 필요한 인사이트 확보를 위해 SSO 로그인 중에 사용되는 인증 메서드를 설명하는 SSO 프로토콜의 표준 기반 특성을 활용할 계획입니다.

    대부분의 SSO 공급자는 두 가지 기본 특성을 지원합니다. OpenID Connect(OIDC)는 인증 메서드 참조(amr)를 이용하고 SAML은 인증 컨텍스트(AuthnContext)를 이용합니다. 현재, OIDC amr은 Salesforce Platform에 구축된 제품에서 사용 가능하며 데이터를 내보낼 때 LoginHistory에서 값을 볼 수 있습니다. 향후 릴리스에서는 OIDC amr을 다른 Salesforce 제품으로 확장하고 모든 제품에 SAML AuthnContext 지원을 추가하려고 합니다.

    MFA 활성화는 Salesforce Trust 및 규정 준수 문서에 따라 계약상 요구 사항이라는 점에 유의하십시오.

  • 고객을 대신하여 SSO ID 공급자에게 MFA를 활성화하는 조치를 취하지 않으며, SSO 서비스에서 MFA를 요구하지 않을 경우에도 Salesforce 제품에 대한 액세스가 차단되거나 MFA 요청 메시지가 트리거되지 않을 것입니다. 이 정책은 향후 변경될 수 있습니다.

    그러나 MFA 계약 요구 사항은 Salesforce 신뢰 및 규정 준수 문서에 따라 SSO를 통해 Salesforce 제품에 액세스하는 모든 내부 Salesforce 사용자에게 적용된다는 사실을 기억하십시오. 2022년 2월 1일까지 MFA를 활성화할 수 없는 경우 법률팀과 상의하여 규정 미준수 시 미치는 영향을 확인해 두십시오.

    저희는 MFA를 필수 지정함으로써 Salesforce 환경에서 보안 강화에 우선순위를 부여하는 도구와 인센티브를 고객에게 제공하고자 합니다. 보안팀 및 IT팀과 협력하여 MFA 요구 사항을 회사 전체의 보안 목표에 맞추고 요구 사항을 충족할 수 있도록 도움을 받는 것이 좋습니다. 또한 요구 사항 충족에 대한 우려 사항이 있는 경우 Salesforce 담당자에게 문의하십시오. 해결책을 찾아드리겠습니다.

  • 관리자는 항상 사용자 이름 및 암호를 사용하여 Salesforce 제품에 직접 로그인할 수 있어야 합니다. SSO 구현 중단이나 다른 문제가 발생하는 경우 로그인할 수 없으므로 Salesforce 관리자에 대해서는 SSO를 활성화하지 않는 것이 좋습니다. 예를 들어 타사 SSO 공급자가 계속해서 중단 상태인 경우 관리자는 Salesforce 제품의 표준 로그인 페이지에서 사용자 이름 및 암호를 사용하여 로그인한 다음, 문제가 해결될 때까지 SSO를 비활성화할 수 있습니다. Salesforce 관리자에게는 SSO를 사용하는 대신 Salesforce 제품에서 직접 관리자 계정에 대해 MFA를 활성화하는 것이 좋습니다.

  • 귀사에서 SSO를 사용하여 Salesforce에 액세스하는 경우 모든 표준 사용자의 직접 로그인을 비활성화하는 것이 좋습니다. Salesforce 사용자 이름 및 암호로 로그인하지 못하게 하면 사용자가 SSO 시스템을 우회할 수 없습니다. 영향받는 사용자가 SSO 로그인 페이지에 액세스할 수 있는 URL을 알고 있는지 확인하십시오. 해당 작업 단계는 Salesforce 도움말에서 Salesforce 자격 증명을 사용하는 SSO 사용자의 로그인 비활성화를 참조하십시오.