Isoladamente, uma solução de Single Sign On (SSO) não cumpre o requisito de MFA. Se os seus produtos da Salesforce estiverem integrados ao SSO, certifique-se de que a MFA esteja habilitada para todos os seus usuários do Salesforce. Para obter ajuda, confira essas respostas a dúvidas comuns sobre SSO e o requisito de MFA. Para informações completas sobre o requisito, consulte todas as perguntas frequentes sobre MFA.

Perguntas frequentes sobre MFA para logins com SSO nos produtos da Salesforce

  • Converse com seu provedor de SSO sobre usar o serviço de MFA dele.

    No caso de produtos desenvolvidos na Salesforce Platform, você pode utilizar a funcionalidade de MFA gratuita disponibilizada no Salesforce em vez de habilitar a MFA no nível do SSO. Consulte Usar a MFA Salesforce para logins SSO na Ajuda do Salesforce para obter mais detalhes.

    Lembre-se de que todos os seus usuários do Salesforce devem utilizar a MFA. Se você tiver usuários, como administradores do Salesforce, que fazem login diretamente em seus produtos, habilite a MFA do Salesforce para proteger essas contas. Confira este vídeo

  • Com uma estratégia de SSO bem implementada, você consegue reduzir alguns dos riscos associados a senhas fracas ou reutilizadas e facilitar o login de seus usuários em aplicativos utilizados com frequência. Mas, se a sua implementação de SSO contar apenas com as credenciais do usuário, ela poderá deixar as contas dos usuários vulneráveis a ataques comuns, como o phishing ou o preenchimento de credenciais.

    Como guardião da segurança da sua organização, você desempenha um papel crucial na proteção de dados sigilosos da sua empresa e de seus clientes, incluindo nomes, endereços de email e outras informações pessoais identificáveis. Com o aumento de ameaças como ataques de phishing, preenchimento de credenciais e tomada de controle de contas, a MFA é uma das maneiras mais eficazes de impedir o acesso não autorizado a uma conta. Recomendamos que você trabalhe com suas equipes de Segurança e de TI para alinhar o requisito de MFA com os objetivos gerais de segurança da sua empresa e obter a ajuda delas para cumprir o requisito.

    Se você não implementar a MFA para os usuários que acessam o Salesforce via SSO, haverá mais riscos de ciberataques que podem prejudicar sua empresa e seus clientes.

  • Não. Se a MFA estiver habilitada no seu provedor de identidade de SSO, você não precisará habilitar a MFA do Salesforce para os usuários que fizerem login via SSO. Mas se você tiver administradores ou outros usuários com privilégios que fazem login diretamente em seus produtos da Salesforce, você realmente precisará configurar a MFA do Salesforce para esses usuários.

  • O ponto crucial do requisito de MFA é que todos os seus usuários do Salesforce deverão estabelecer um método de verificação eficiente, além da senha, quando acessarem os produtos da Salesforce. Se necessário, isso pode ser feito por meio da implementação de diversas soluções de MFA. Por exemplo, se você tiver uma combinação de usuários com e sem SSO, certifique-se de que a MFA esteja habilitada para os seus usuários com SSO e ative a funcionalidade de MFA dos seus produtos do Salesforce para os usuários que fazem login diretamente.

    Confira aqui um cenário comum:  Recomendamos configurar o login com SSO e MFA para maioria dos usuários do Salesforce. Mas, no caso de contas de administradores que não usam SSO, você pode habilitar a MFA em seus produtos da Salesforce para que os administradores tenham uma camada extra de proteção quando fizerem login diretamente com seu nome de usuário e senha.

  • No caso de produtos desenvolvidos na Salesforce Platform, você pode utilizar a funcionalidade de MFA disponibilizada no Salesforce em vez de usar o serviço de MFA do seu provedor de SSO. Com esse método, os usuários fazem login em sua página de login do SSO. Em seguida, eles serão direcionados ao Salesforce, onde serão solicitados a estabelecer seu método de verificação da MFA para confirmar sua identidade.

    Observação: Esta opção não está disponível para outros produtos da Salesforce.

    Para saber mais, consulte Usar a MFA Salesforce para logins SSO na Ajuda do Salesforce.

  • Vamos começar pelos métodos de verificação que não cumprem o requisito, esteja você usando os serviços de MFA do seu provedor de identidade de SSO ou a MFA do Salesforce para fazer logins diretos.

    • Fornecer senhas de uso único via mensagens de email, mensagens de texto ou chamadas telefônicas não é permitido porque esses métodos são inerentemente vulneráveis a interceptação, spoofing e outros ataques.
    • Usados isoladamente, dispositivos ou redes confiáveis não são métodos de verificação adequados para o requisito de MFA. (Mas, usados conjuntamente, esses métodos podem satisfazer a MFA e cumprir o requisito. Consulte "Dispositivos corporativos confiáveis cumprem o requisito de MFA?" e "Restringir logins a redes confiáveis cumpre o requisito de MFA?" em Perguntas frequentes sobre MFA para obter mais detalhes.)

    Para cumprir o requisito de MFA, você deve utilizar métodos de verificação mais resistentes a ciberataques (como ataques de phishing e man-in-the-middle). Esses tipos de métodos ajudam a proporcionar um alto nível de certeza de que os usuários que estão acessando os produtos da Salesforce são quem eles dizem ser. Para as implementações de SSO, com a exceção das opções listadas acima, utilize qualquer método que seja compatível com a solução de MFA do seu provedor de identidade ou que se integre com ela.

  • A autenticação baseada em riscos, também conhecida como autenticação adaptativa ou Avaliação de risco e confiança contínua e adaptativa (CARTA), é um sistema de autenticação que analisa continuamente os riscos associados a um usuário pelo monitoramento de diversos sinais provenientes dele e de seu dispositivo e de como e quando ele acessa os serviços. Se o nível de risco em determinada situação for justificável, o provedor de identidade ou serviço de autenticação exigirá automaticamente que o usuário cumpra desafios de segurança adicionais. Para saber mais, confira este artigo

    Se você já integrou um sistema de autenticação baseado em riscos à sua solução de SSO, sua implementação está em conformidade com o requisito de MFA. Se você quiser considerar esse tipo de solução, há uma série de provedores de tecnologia com quem você pode trabalhar.

  • É altamente recomendável configurar o serviço de MFA do seu provedor de identidade de SSO de modo que seja necessário que os usuários estabeleçam um método de verificação eficiente, além de nome de usuário e senha, toda vez que fizerem login.

  • Se você utiliza um provedor de identidade (IdP) de terceiros para acessar seus produtos da Salesforce, a visibilidade que a Salesforce tem da sua implementação de MFA é limitada. Para garantir que teremos o conhecimento necessário para gerenciar o requisito de MFA, estamos planejando utilizar os atributos baseados em normas nos protocolos de SSO que descrevem o método de autenticação usado durante um login de SSO.

    A maioria dos provedores de SSO é compatível com dois atributos principais: O OpenID Connect (OIDC) usa a Referência de método de autenticação (amr) e o SAML usa o Contexto de autenticação (AuthnContext). Atualmente, a amr OIDC está disponível nos produtos desenvolvidos na Salesforce Platform, e você pode visualizar os valores em LoginHistory quando exportar os dados. Em versões futuras, esperamos estender a amr OIDC para outros produtos da Salesforce e tornar todos os produtos compatíveis com o AuthnContext SAML.

    Lembre-se de que habilitar a MFA é um requisito contratual, de acordo com a Documentação de conformidade e confiança do Salesforce.

  • A Salesforce não tomará medidas em seu nome para habilitar a MFA do seu provedor de identidade do SSO. Também não temos planos de bloquear o acesso a produtos da Salesforce, ou acionar desafios de MFA, caso seu serviço de SSO não exija MFA. Essa política pode mudar no futuro.

    Mas lembre-se de que o requisito contratual de MFA, de acordo com a Documentação de conformidade e confiança do Salesforce, aplica-se a todos os usuários internos do Salesforce que acessam seus produtos da Salesforce via SSO. Se você não puder habilitar a MFA até 1º de fevereiro de 2022, converse com sua equipe jurídica para entender as implicações da falta de conformidade.

    Nosso objetivo ao exigir a MFA é oferecer a você incentivos e ferramentas para priorizar o reforço da segurança de seus ambientes Salesforce. Recomendamos que você trabalhe com suas equipes de Segurança e de TI para alinhar o requisito de MFA com os objetivos gerais de segurança da sua empresa e obter a ajuda delas para cumprir o requisito. Se você tiver alguma preocupação em relação ao cumprimento dos requisitos, entre em contato com seu representante da Salesforce. Vamos trabalhar juntos para encontrar uma solução.

  • Os administradores sempre devem poder fazer login diretamente nos produtos da Salesforce usando seu nome de usuário e senha. Não recomendamos habilitar o SSO para administradores do Salesforce porque eles não conseguirão fazer login se houver uma indisponibilidade ou outro problema com sua implementação do SSO. Por exemplo, se o seu provedor de SSO de terceiros apresentar uma indisponibilidade prolongada, os administradores poderão usar a página de login padrão do seu produto do Salesforce para fazer login com o nome de usuário e senha e, em seguida, desabilitar o SSO até que o problema seja resolvido. Em vez de usar o SSO para administradores do Salesforce, recomendamos habilitar a MFA para contas de administradores diretamente em seus produtos da Salesforce.

  • Se sua empresa usa o SSO para acessar o Salesforce, recomendamos desabilitar logins diretos para todos os usuários padrão. Impedir logins com nome de usuário e senha do Salesforce garante que os usuários não consigam ignorar seu sistema de SSO. Certifique-se de que os usuários afetados saibam qual é o URL em que eles podem acessar sua página de login de SSO. Para conferir as etapas desse processo, consulte Desabilitar logins com credenciais do Salesforce para usuários de SSO na Ajuda do Salesforce e obtenha mais informações.