SSO en de vereiste voor MFA

Neem contact op met uw SSO-aanbieder over het gebruiken van de MFA-service.

Voor producten die zijn gebouwd op het Salesforce Platform, kunt u de gratis MFA-functie van Salesforce gebruiken in plaats van het inschakelen van MFA op SSO-niveau. Bekijk MFA van Salesforce gebruiken voor inloggen met SSO in de Salesforce Help voor meer details.

Houd er rekening mee dat al uw Salesforce-gebruikers gebruik moeten maken van MFA. Indien u gebruikers hebt die rechtstreeks inloggen bij uw producten, zoals Salesforce-beheerders, schakelt u MFA van Salesforce in om deze accounts te beveiligen. Bekijk deze video.

Met een goed geïmplementeerde SSO-strategie kunt u aan aantal risico's als gevolg van zwakke of hergebruikte wachtwoorden verminderen en het voor uw gebruikers eenvoudiger maken om in te loggen bij veelgebruikte toepassingen. Maar indien uw implementatie van SSO uitsluitend afhankelijk is van inloggegevens, kan dit betekenen dat gebruikersaccounts kwetsbaar zijn voor veelvoorkomende aanvallen zoals phishing en 'credential stuffing'.

Als verantwoordelijke voor de beveiliging van uw organisatie speelt u een belangrijke rol in het beveiligen van vertrouwelijke bedrijfs- en klantgegevens, waaronder namen, e-mailadressen en andere persoonsgegevens. Nu dreigingen als phishingaanvallen, 'credential stuffing' en accountovernames steeds vaker voorkomen, is MFA een van de meest effectieve manieren om ongeoorloofde toegang tot accounts te voorkomen. We moedigen u aan om samen te werken met uw beveiligings- en IT-teams om de vereiste voor MFA aan te passen aan de algemene beveiligingsdoelstelling van uw bedrijf en om hulp te krijgen bij het voldoen aan de vereiste.

Indien u MFA niet inschakelt voor gebruikers die toegang krijgen tot Salesforce met SSO, loopt u een groter risico om slachtoffer te worden van cyberaanvallen die schade kunnen toebrengen aan uw bedrijf en klanten.

Nee. Indien MFA is ingeschakeld voor uw SSO-identiteitsleverancier, hoeft u MFA van Salesforce niet in te schakelen voor gebruikers die inloggen via SSO. Maar indien u beheerders of andere gebruikers met privileges hebt die rechtstreeks bij uw Salesforce-producten inloggen, moet u MFA van Salesforce inschakelen voor deze gebruikers.

Het doel van de vereiste voor MFA is dat al uw Salesforce-gebruikers naast hun wachtwoorden een sterke verificatiemethode moeten gebruiken om toegang te krijgen tot Salesforce-producten. Indien het nodig is, kunt u hiervoor meerdere MFA-oplossingen gebruiken. Indien u bijvoorbeeld een combinatie van SSO- en niet-SSO-gebruikers hebt, moet u ervoor zorgen dat MFA is ingeschakeld voor uw SSO-gebruikers en schakelt u de MFA-functie van uw Salesforce-product in voor de gebruikers die rechtstreeks inloggen.

Dit is een veelvoorkomend scenario:  We raden aan om in te stellen dat de meeste Salesforce-gebruikers moeten inloggen met SSO en MFA. Maar voor beheerdersaccounts die geen SSO gebruiken, kunt u MFA inschakelen in uw Salesforce-producten, zodat beheerders een extra beschermingslaag hebben wanneer ze rechtsreeks inloggen met hun gebruikersnaam en wachtwoord.

Voor producten die zijn gebouwd op het Salesforce Platform, kunt u de MFA-functie van Salesforce gebruiken in plaats van de MFA-service van uw SSO-leverancier. Met deze aanpak loggen gebruikers in via uw SSO-inlogpagina. Vervolgens worden ze omgeleid naar Salesforce, waar gebruikers een MFA-verificatiemethode moeten gebruiken om hun identiteit te bevestigen.

Opmerking: Deze optie is niet beschikbaar voor andere Salesforce-producten.

Bekijk voor meer informatie de MFA van Salesforce gebruiken voor inloggen met SSO in de Salesforce Help.

Laten we beginnen met de verificatiemethoden die niet aan de vereiste voldoen, of u nu gebruikmaakt van de MFA-services van uw SSO-identiteitsleverancier of van MFA van Salesforce voor rechtstreeks inloggen.

• Het ontvangen van eenmalige wachtwoorden per e-mail, sms of telefoon is niet toegestaan, aangezien deze methoden eenvoudig kunnen worden onderschept of een risico vormen voor spoofing over andere aanvallen.
• Beveiligingsvragen
• Vertrouwde apparaten of vertrouwde netwerken als alleenstaande oplossingen zijn geen goedgekeurde verificatiemethoden voor de vereiste van MFA. (Maar indien deze methoden in combinatie worden gebruikt, kunnen deze methoden voldoen aan de vereiste voor MFA. Bekijk "Voldoen vertrouwde bedrijfsapparaten aan de vereiste voor MFA?", "Voldoet het beperken van inloggen op vertrouwde netwerken aan de vereiste voor MFA?" en "Voldoet het gebruiken van VPN of Zero Trust Network Access aan de vereiste voor MFA" in de Veelgestelde vragen over MFA voor meer informatie.)

Om te voldoen aan de vereiste voor MFA moet u verificatiemethoden gebruiken die beter bestand zijn tegen cyberaanvallen (zoals phishing en man-in-the-middle-aanvallen). Dit soort methoden helpen bij het bieden van garantie dat de gebruikers die toegang krijgen tot Salesforce-producten zijn wie ze zeggen dat ze zijn. Voor de implementatie van SSO, met uitzondering van de opties die hierboven zijn benoemd, kunt u gebruikmaken van alle methoden die worden ondersteund door of zijn geïntegreerd in de MFA-oplossing van uw identiteitsleverancier.

Op risico's gebaseerde authenticatie, ook wel bekend als adaptieve authenticatie of Continuous Adaptive Risk and Trust Assessment (CARTA), is een authenticatiesysteem dat voortdurend het risico van een gebruiker analyseert door meerdere signalen bij te te controleren van de gebruiker, het apparaat en hoe en wanneer de gebruiker services gebruikt. Indien het risiconiveau van een bepaalde situatie hierom vraagt, vereist de identiteitsleverancier of authenticatieservice automatisch dat de gebruiker aan aanvullende beveiligingscontroles voldoet. Bekijk dit artikel voor meer informatie. 

Indien u reeds een op risico's gebaseerd authenticatiesysteem hebt geïntegreerd in uw SSO-oplossing, voldoet uw implementatie aan de vereiste van MFA. Indien u overweegt om dit soort oplossingen toe te passen, zijn er een aantal technologieleveranciers die u kunnen helpen.

We raden ten zeerste aan om de MFA-service voor uw SSO-identiteitsleverancier te configureren zodat gebruikers bij elke inlogpoging worden vereist om naast hun gebruikersnaam en wachtwoord een sterke verificatiemethode op te geven.

Indien u een externe identiteitsleverancier (IdP) gebruikt voor toegang tot uw Salesforce-producten, heeft Salesforce beperkt inzicht in uw MFA-implementatie. Om ervoor te zorgen dat we voldoende inzicht krijgen om de vereiste van MFA te handhaven, zijn we van plan om op standaarden gebaseerde attributen in SSO-protocollen in te zetten om een beschrijving te geven van de authenticatiemethode die bij het inloggen met SSO wordt gebruikt.

De meeste SSO-leveranciers ondersteunen twee primaire attributen: OpenID Connect (OIDC) maakt gebruik van Authentication Method Reference (amr) en SAML maakt gebruik van Authentication Context (AuthnContext). Momenteel is OIDC amr beschikbaar in producten die zijn samengesteld op het Salesforce Platform en wanneer u de gegevens exporteert, kunt u de waarden bekijken in LoginHistory. In toekomstige releases zijn we van plan om OIDC amr uit te breiden naar andere Salesforce-producten en ondersteuning toe te voegen voor SAML AuthnContext voor alle producten.

Houd er rekening mee dat de inschakeling van MFA een contractuele vereiste is volgens de Trust and Compliance Documentation (Trust- en nalevingsdocumentatie) van Salesforce.

Salesforce neemt geen actie namens u om MFA in te schakelen voor uw SSO-identiteitsleverancier. We zijn ook niet van plan om toegang tot Salesforce-producten te blokkeren of MFA-controles te activeren, indien uw SSO-service geen MFA vereist. Dit kan in de toekomst worden gewijzigd.

Houd echter rekening met de contractuele vereiste van MFA volgens de Trust and Compliance Documentation (Trust- en nalevingsdocumentatie) van Salesforce die van toepassing is op alle interne Salesforce-gebruikers die via SSO toegang verkrijgen tot Salesforce-producten. Indien u de MFA niet kon inschakelen voor 1 februari 2022, de deadline voor de vereiste voor MFA, moet u met uw juridische team de gevolgen van niet-naleving bespreken.

Ons doel van de vereiste voor MFA is om u met hulpmiddelen te stimuleren om de beveiliging van uw Salesforce-omgevingen zorgvuldig te controleren. We moedigen u aan om samen te werken met uw beveiligings- en IT-teams om de vereiste voor MFA aan te passen aan de algemene beveiligingsdoelstelling van uw bedrijf en om hulp te krijgen bij het voldoen aan de vereiste. Indien u zich zorgen maakt over het voldoen aan de vereiste, kunt u contact opnemen met uw Salesforce-vertegenwoordiger. We helpen u graag bij het vinden van een oplossing.

Beheerders moeten altijd de mogelijkheid hebben om rechtstreeks in te loggen bij uw Salesforce-producten met hun gebruikersnaam en wachtwoord. We raden af om SSO in te schakelen voor Salesforce-beheerders, aangezien zij in dat geval niet kunnen inloggen wanneer er een storing of een ander probleem is met uw SSO-implementatie. Indien uw externe SSO-leverancier bijvoorbeeld een storing heeft, kunnen beheerders de standaard inlogpagina van uw Salesforce-product gebruiken om in te loggen met hun gebruikersnaam en wachtwoord, en vervolgens SSO uitschakelen totdat het probleem is verholpen. In plaats van het gebruik van SSO voor Salesforce-beheerders, raden we aan om voor beheerdersaccounts MFA rechtstreeks in te schakelen in uw Salesforce-producten.

Indien uw bedrijf SSO gebruikt om toegang te krijgen tot Salesforce, raden we aan om rechtstreeks inloggen uit te schakelen voor alle standaardgebruikers. Door inloggen met een Salesforce-gebruikersnaam of -wachtwoord te voorkomen, weet u zeker dat gebruikers uw SSO-systeem niet kunnen omzeilen. Zorg ervoor dat de van toepassing zijnde gebruikers weten via welke URL ze uw SSO-inlogpagina kunnen bereiken. De stappen om dit te doen vindt u in Inloggen met Salesforce-inloggegevens uitschakelen voor SSO-gebruikers in Salesforce Help.