SSO e o requisito de MFA

Image

Isoladamente, uma solução de Logon único (SSO) não cumpre o requisito de MFA. Se os seus produtos da Salesforce estiverem integrados ao SSO, certifique-se de que a MFA esteja habilitada para todos os seus usuários do Salesforce. Para obter ajuda, confira essas respostas a dúvidas comuns sobre SSO e o requisito de MFA. Para informações completas sobre o requisito, consulte todas as perguntas frequentes sobre MFA.

Perguntas frequentes sobre MFA para logins com SSO nos produtos da Salesforce

  • Nós utilizamos o Logon único (SSO) para acessar os produtos da Salesforce. O que precisamos fazer para implementar a MFA?

    Converse com seu provedor de SSO sobre usar o serviço de MFA dele.

    No caso de produtos desenvolvidos na Salesforce Platform, você pode utilizar a funcionalidade de MFA gratuita disponibilizada no Salesforce em vez de habilitar a MFA no nível do SSO. Consulte Usar a MFA Salesforce para logins SSO na Ajuda do Salesforce para obter mais detalhes.

    Lembre-se de que todos os seus usuários do Salesforce devem utilizar a MFA. Se você tiver usuários, como administradores do Salesforce, que fazem login diretamente em seus produtos, habilite a MFA do Salesforce para proteger essas contas. Confira este vídeo

  • Por que a Salesforce está exigindo MFA para SSO?

    Com uma estratégia de SSO bem implementada, você consegue reduzir alguns dos riscos associados a senhas fracas ou reutilizadas e facilitar o login de seus usuários em aplicativos utilizados com frequência. Mas, se a sua implementação de SSO contar apenas com as credenciais do usuário, ela poderá deixar as contas dos usuários vulneráveis a ataques comuns, como o phishing ou o preenchimento de credenciais.

    Como guardião da segurança da sua organização, você desempenha um papel crucial na proteção de dados sigilosos da sua empresa e de seus clientes, incluindo nomes, endereços de email e outras informações pessoais identificáveis. Com o aumento de ameaças como ataques de phishing, preenchimento de credenciais e tomada de controle de contas, a MFA é uma das maneiras mais eficazes de impedir o acesso não autorizado a uma conta. Recomendamos que você trabalhe com suas equipes de Segurança e de TI para alinhar o requisito de MFA com os objetivos gerais de segurança da sua empresa e obter a ajuda delas para cumprir o requisito.

    Se você não implementar a MFA para os usuários que acessam o Salesforce via SSO, haverá mais riscos de ciberataques que podem prejudicar sua empresa e seus clientes.

  • Temos que habilitar a MFA nos níveis do SSO e do Salesforce?

    Não. Se a MFA estiver habilitada no seu provedor de identidade de SSO, você não precisará habilitar a MFA do Salesforce para os usuários que fizerem login via SSO. Mas se você tiver administradores ou outros usuários com privilégios que fazem login diretamente em seus produtos da Salesforce, você realmente precisará configurar a MFA do Salesforce para esses usuários.

  • Temos que usar a mesma solução de MFA para todos os nossos usuários do Salesforce?

    O ponto crucial do requisito de MFA é que todos os seus usuários do Salesforce deverão estabelecer um método de verificação eficiente, além da senha, quando acessarem os produtos da Salesforce. Se necessário, isso pode ser feito por meio da implementação de diversas soluções de MFA. Por exemplo, se você tiver uma combinação de usuários com e sem SSO, certifique-se de que a MFA esteja habilitada para os seus usuários com SSO e ative a funcionalidade de MFA dos seus produtos do Salesforce para os usuários que fazem login diretamente.

    Confira aqui um cenário comum:  Recomendamos configurar o login com SSO e MFA para maioria dos usuários do Salesforce. Mas, no caso de contas de administradores que não usam SSO, você pode habilitar a MFA em seus produtos da Salesforce para que os administradores tenham uma camada extra de proteção quando fizerem login diretamente com seu nome de usuário e senha.

  • Podemos habilitar a MFA no Salesforce em vez de usar o serviço de MFA do nosso provedor de SSO?

    No caso de produtos desenvolvidos na Salesforce Platform, você pode utilizar a funcionalidade de MFA disponibilizada no Salesforce em vez de usar o serviço de MFA do seu provedor de SSO. Com esse método, os usuários fazem login em sua página de login do SSO. Em seguida, eles serão direcionados ao Salesforce, onde serão solicitados a estabelecer seu método de verificação da MFA para confirmar sua identidade.

    Observação: Esta opção não está disponível para outros produtos da Salesforce.

    Para saber mais, consulte Usar a MFA Salesforce para logins SSO na Ajuda do Salesforce.

  • Quais métodos de verificação cumprem o requisito da MFA?

    Vamos começar pelos métodos de verificação que não cumprem o requisito, esteja você usando os serviços de MFA do seu provedor de identidade de SSO ou a MFA do Salesforce para fazer logins diretos.

    • Fornecer senhas de uso único via mensagens de email, mensagens de texto ou chamadas telefônicas não é permitido porque esses métodos são inerentemente vulneráveis a interceptação, spoofing e outros ataques.
    • Perguntas de segurança
    • Usados isoladamente, dispositivos ou redes confiáveis não são métodos de verificação adequados para o requisito de MFA. (Mas, usados conjuntamente, esses métodos podem satisfazer a MFA e cumprir o requisito. Consulte "Dispositivos corporativos confiáveis cumprem o requisito de MFA?", "Restringir logins a redes confiáveis cumpre o requisito de MFA?" e "O uso de VPN ou Zero Trust Network Access cumprem o requisito de MFA?" nas Perguntas frequentes sobre MFA para saber mais.)

    Para cumprir o requisito de MFA, você deve utilizar métodos de verificação mais resistentes a ciberataques (como ataques de phishing e man-in-the-middle). Esses tipos de métodos ajudam a proporcionar um alto nível de certeza de que os usuários que estão acessando os produtos da Salesforce são quem eles dizem ser. Para as implementações de SSO, com a exceção das opções listadas acima, utilize qualquer método que seja compatível com a solução de MFA do seu provedor de identidade ou que se integre com ela.

  • A autenticação baseada em riscos/contínua cumpre o requisito de MFA?

    A autenticação baseada em riscos, também conhecida como autenticação adaptativa ou Avaliação de risco e confiança contínua e adaptativa (CARTA), é um sistema de autenticação que analisa continuamente os riscos associados a um usuário pelo monitoramento de diversos sinais provenientes dele e de seu dispositivo e de como e quando ele acessa os serviços. Se o nível de risco em determinada situação for justificável, o provedor de identidade ou serviço de autenticação exigirá automaticamente que o usuário cumpra desafios de segurança adicionais. Para saber mais, confira este artigo

    Se você já integrou um sistema de autenticação baseado em riscos à sua solução de SSO, sua implementação está em conformidade com o requisito de MFA. Se você quiser considerar esse tipo de solução, há uma série de provedores de tecnologia com quem você pode trabalhar.

  • Com que frequência os usuários devem estabelecer um método de verificação de MFA eficiente ao fazer login em nosso portal de SSO?

    É altamente recomendável configurar o serviço de MFA do seu provedor de identidade de SSO de modo que seja necessário que os usuários estabeleçam um método de verificação eficiente, além de nome de usuário e senha, toda vez que fizerem login.

  • Como a Salesforce vai saber se habilitamos a MFA do nosso provedor de identidade do SSO e se cumprimos o requisito?

    Se você utiliza um provedor de identidade (IdP) de terceiros para acessar seus produtos da Salesforce, a visibilidade que a Salesforce tem da sua implementação de MFA é limitada. Para garantir que teremos o conhecimento necessário para gerenciar o requisito de MFA, estamos planejando utilizar os atributos baseados em normas nos protocolos de SSO que descrevem o método de autenticação usado durante um login de SSO.

    A maioria dos provedores de SSO é compatível com dois atributos principais: O OpenID Connect (OIDC) usa a Referência de método de autenticação (amr) e o SAML usa o Contexto de autenticação (AuthnContext). Atualmente, a amr OIDC está disponível nos produtos desenvolvidos na Salesforce Platform, e você pode visualizar os valores em LoginHistory quando exportar os dados. Em versões futuras, esperamos estender a amr OIDC para outros produtos da Salesforce e tornar todos os produtos compatíveis com o AuthnContext SAML.

    Lembre-se de que habilitar a MFA é um requisito contratual, de acordo com a Documentação de conformidade e confiança do Salesforce.

  • A Salesforce exigirá a aplicação da MFA para SSO?

    A Salesforce não tomará medidas em seu nome para habilitar a MFA do seu provedor de identidade do SSO. Também não temos planos de bloquear o acesso a produtos da Salesforce, ou acionar desafios de MFA, caso seu serviço de SSO não exija MFA. Essa política pode mudar no futuro.

    Mas lembre-se de que o requisito contratual de MFA, de acordo com a Documentação de conformidade e confiança do Salesforce, aplica-se a todos os usuários internos do Salesforce que acessam seus produtos da Salesforce via SSO. Se você não puder habilitar a MFA até 1º de fevereiro de 2022, prazo final para cumprir o requisito de MFA, converse com sua equipe jurídica para entender as implicações da falta de conformidade.

    Nosso objetivo ao exigir a MFA é oferecer a você incentivos e ferramentas para priorizar o reforço da segurança de seus ambientes Salesforce. Recomendamos que você trabalhe com suas equipes de Segurança e de TI para alinhar o requisito de MFA com os objetivos gerais de segurança da sua empresa e obter a ajuda delas para cumprir o requisito. Se você tiver alguma preocupação em relação ao cumprimento dos requisitos, entre em contato com seu representante da Salesforce. Vamos trabalhar juntos para encontrar uma solução.

  • Podemos habilitar o SSO para administradores do Salesforce? O que acontecerá se o SSO parar de funcionar?

    Os administradores sempre devem poder fazer login diretamente nos produtos da Salesforce usando seu nome de usuário e senha. Não recomendamos habilitar o SSO para administradores do Salesforce porque eles não conseguirão fazer login se houver uma indisponibilidade ou outro problema com sua implementação do SSO. Por exemplo, se o seu provedor de SSO de terceiros apresentar uma indisponibilidade prolongada, os administradores poderão usar a página de login padrão do seu produto do Salesforce para fazer login com o nome de usuário e senha e, em seguida, desabilitar o SSO até que o problema seja resolvido. Em vez de usar o SSO para administradores do Salesforce, recomendamos habilitar a MFA para contas de administradores diretamente em seus produtos da Salesforce.

  • Como podemos exigir a aplicação de logins de SSO para usuários do Salesforce?

    Se sua empresa usa o SSO para acessar o Salesforce, recomendamos desabilitar logins diretos para todos os usuários padrão. Impedir logins com nome de usuário e senha do Salesforce garante que os usuários não consigam ignorar seu sistema de SSO. Certifique-se de que os usuários afetados saibam qual é o URL em que eles podem acessar sua página de login de SSO. Para conferir as etapas desse processo, consulte Desabilitar logins com credenciais do Salesforce para usuários de SSO na Ajuda do Salesforce e obtenha mais informações.