SSO och MFA-kravet

Tala med din SSO-leverantör om att använda deras MFA-tjänst.

För produkter som byggts upp på Salesforce Platform kan man använda den kostnadsfria MFA-funktionalitet som tillhandahålls i Salesforce i stället för att aktivera MFA på SSO-nivån. SeAnvänd Salesforces MFA för SSO-inloggningar i Salesforce-hjälp för ytterligare information.

Kom ihåg att alla dina Salesforce-användare måste använda MFA. Om det finns några användare, exempelvis Salesforce-administratörer, som loggar in direkt på dina produkter ska du aktivera Salesforces MFA för att säkra dessa konton. Kolla in denna video. 

Med en väl implementerad SSO-strategi kan man minska vissa av de risker som är associerade med svaga eller återanvända lösenord och samtidigt göra det enklare för dina användare att logga in på ofta använda tillämpningar. Men om din SSO-implementering endast beror på användarbehörighet kan det lämna användarkonton sårbara för sådana vanliga attacker som nätfiske eller behörighetsfyllning.

Såsom förvaltare av organisationen säkerhet spelar du en viktig roll i att skydda era känsla verksamhets- och kunddata, inklusive namn, e-postadresser och annan personligt identifierbar information. Med hot såsom nätfiske, behörighetsfyllning och kontoövertagningar i stigande, är MFA ett av de mest effektiva sätten att förhindra obehörig kontoåtkomst. Vi uppmuntrar dig att arbeta tillsammans med era säkerhets- och IT-team för att rikta in MFA-kravet med företagets globala säkerhetsmål och få deras hjälp med att uppfylla kravet.

Om du inte implementerar MFA för användare som kommer åt Salesforce genom SSO kommer risken för cyberattacker som skulle kunna skada din verksamhet och kunder att öka.

Nej. Om MFA är aktiverad för din leverantör av SSO-identitet behöver du inte aktivera Salesforces MFA för användare som loggar in via SSO. Men om det finns administratörer eller andra privilegierade användare som loggar in direkt på era Salesforce-produkter måste du konfigurera Salesforces MFA för dessa användare.

Styrkan hos MFA-kravet är att alla era Salesforce-användare måste tillhandahålla en stark verifieringsmetod förutom sina lösenord när de kommer åt Salesforce-produkter. Vid behov kan det åstadkommas genom att implementera flera MFA-lösningar. Exempelvis, om det finns både SSO- och icke-SSO-användare ska man säkerställa att MFA är aktiverad för SSO-användarna och slå på era Salesforce-produkters MFA-funktionalitet för de användare som loggar in direkt.

Här följer ett vanligt scenario:  Vi rekommenderar att konfigurera de flesta Salesforce-användarna att logga in med SSO och MFA. Men för administrativa konton som inte använder SSO kan man aktivera MFA på era Salesforce-produkter, så att administratörer har ett extra skyddslager när de loggar in direkt med sina användarnamn och lösenord.

För produkter som byggts upp på Salesforce Platform kan man använda den MFA-funktionalitet som tillhandahålls i Salesforce i stället för att aktivera er SSO-leverantörs MFA-tjänst. Med denna strategi kan användare logga in via er SSO-inloggningssida. Då omdirigeras de till Salesforce, där de uppmanas att tillhandahålla sin MFA-verifieringsmetod för att bekräfta sin identitet.

Observera: Detta alternativ är inte tillgängligt för andra Salesforce-produkter.

För att lära dig mer, se Använd Salesforces MFA för SSO-inloggningar i Salesforce-hjälp.

Låt oss börja med de verifieringsmetoder som inte uppfyller kravet, oberoende av om du använder er SSO-identitetsleverantörs MFA-tjänster eller Salesforces MFA för direkta inloggningar.

• Att leverera engångslösenord via e-postmeddelanden, textmeddelanden eller telefonsamtal är inte tillåtet eftersom dessa metoder är i sig sårbara för avlyssning, förfalskning eller andra attacker.
• Säkerhetsfrågor
• Att använda sig av egna, betrodda enheter eller nätverk är inte lämpliga verifieringsmetoder för MFA-kravet. (Men om de används i en kombination kan dessa metoder uppnå MFA och uppfylla kravet. Se "Uppfyller betrodda företagsenheter MFA-kravet?", "Uppfyller begränsande inloggningar till betrodda nätverk MFA-kravet?" och "Uppfyller användningen av VPN eller Zero Trust-nätverksåtkomst MFA-kravet?" i Vanliga frågor och svar om MFA för ytterligare information.)

för att uppfylla MFA-kravet måste man använda verifieringsmetoder som är mer motståndskraftiga mot cyberattacker (såsom nätfiske och attacker genom förmedlare). Dessa metodtyper hjälper till att tillhandahålla hög grad av försäkran att användare som kommer åt Salesforce-produkter är de som de utgör sig för att vara. För SSO-implementeringar, med undantag för de alternativ som nämnts ovan, kan man använda vilken metod som helst som understöds, eller är integrerad med, din identitetsleverantörs MFA-lösning.

Riskbaserad verifiering, även känd som adaptiv verifiering eller konstant adaptiv risk och förtroendeutvärdering (CARTA), är ett verifieringssystem som konstant analyserar risken associerad med en användare genom att övervaka flera signaler som kommer från användaren och hens enhet samt hr och när användaren kommer åt tjänsterna. Om risknivån i en given situation kräver så ska identitetsleverantören eller verifieringstjänsten automatiskt avkräva användaren att uppfylla extra säkerhetsutmaningar. För att lära dig mer, läs denna artikel. 

Om det redan finns ett integrerat riksbaserat behörighetssystem tillsammans med er SSO-lösning så uppfyller den implementering MFA-kravet. Om du önskar att beakta denna typ av lösning så finns det ett antal teknikleverantörer som du kan arbeta med.

Vi rekommenderar starkt att konfigurera MFA-tjänst för er SSO-identitetsleverantör så att användarna måste tillhandahålla en stark verifieringsmetod förutom sina användarnamn och lösenord varje gång som de loggar in.

Om ni använder en tredjeparts identitetsleverantör (IdP) för att komma åt era Salesforce-produkter så har Salesforce begränsad synbarhet för er MFA-implementering. För att säkerställa att vi har nödvändig insikt i att hantera MFA-kravet planerar vi att utnyttja standardbaserade attribut i SSO-protokoll som beskriver den verifieringsmetod som används under en SSO-inloggning.

De flesta SSO-leverantörerna stöder två primära attribut: OpenID Connect (OIDC) använder verifieringsmetodsreferens (amr) och and SAML använder verifieringskontext Context (AuthnContext). för närvarande är OIDC amr tillgänglig i produkter byggda på Salesforce Platform och man kan se värdena i LoginHistory när man exporterar data. I framtida utgåvor söker vi att utöka OIDC amr till andra Salesforce-produkter och lägga till stöd för SAML AuthnContext i alla produkter.

Kom ihåg att aktivering av MFA är ett kontraktskrav, i enlighet medSalesforce dokumentation om trust och överensstämmelse.

Salesforce kommer inte att vidta någon åtgärd i ert namn för att aktivera MFA för er SSO-identitetsleverantör. Vi har heller ingen avsikt att blockera åtkomst till Salesforce-produkter eller utlösa MFA-utmaningar om er SSO-tjänst inte kräver MFA. Denna policy kan komma att ändras i framtiden.

Men kom ihåg att kontraktskravet om MFA, in enlighet med Salesforce dokumentation om trust och överensstämmelse, är tillämpligt på alla interna Salesforce-användare som kommer åt era Salesforce-produkter via SSO. Om du inte kunde aktivera MFA innan tidsfristen för MFA-kravet löper ut den 1 februari 2022 bör du tala med ditt juridiska team för att förstå konsekvenserna av att inte uppfylla kraven.

Vårt mål med att kräva MFA är att ge dig incitament och verktyg för att prioritera att stärka säkerheten i dina Salesforce-miljöer. Vi uppmuntrar dig att arbeta tillsammans med era säkerhets- och IT-team för att rikta in MFA-kravet med företagets globala säkerhetsmål och få deras hjälp med att uppfylla kravet. Och om du är bekymrad över att uppfylla kravet kan du kontakta din Salesforce-representant. Vi kommer att arbeta tillsammans med dig för att hitta en lösning.

Administratörer ska alltid kunna logga in direkt på era Salesforce-produkter genom att använda sina användarnamn och lösenord. Vi rekommenderar att inte aktiva SSO för Salesforce-administratörer eftersom de då inte kan logga in i händelse av ett avbrott i eller annat problem med er SSO-implementering. Exempelvis, om en tredjeparts SSO-leverantör har ett långvarigt avbrott så kan administratörer använda er Salesforce-produkts standardinloggningssida för att logga in med sina användarnamn och lösenord och sedan inaktivera SSO tills problemet är löst. I stället för använda SSO för Salesforce-administratörer rekommenderar vi att aktivera MFA för administrativa konton direkt på era Salesforce-produkter,

Om ditt företag använder SSO för att komma åt Salesforce rekommenderar vi att inaktivera direkta inloggningar för alla standardanvändare. Att förhindra inloggningar med Salesforce användarnamn och lösenord säkerställer att användare inte kan passera förbi SSO-systemet. Se till att de påverkade användarna känner till den URL där de kan komma åt er SSO-inloggningssida. För de steg som behövs, se Inaktivera inloggningar med Salesforce-behörighet för SSO-användare i Salesforce-hjälp för ytterligare information.