检查您的实施是否满足 MFA 要求

Astro 在森林中手持盾牌图标

想确认自己在登录 Salesforce 产品时,是否满足了合同中关于使用多重身份验证 (MFA) 的要求?使用此页面查看您是否满足要求。若您尚未达标,我们会提供后续步骤,助您实现合规。该要求的完整条款,已在您所使用产品的《通知与许可信息》(NLI) 中作出规定,具体可查阅 Salesforce 信任与合规文档

MFA 要求检查流程

要查看您当前或计划中的实施是否满足 MFA 要求,请回答几个问题……

  • 问题 1:您的用户如何访问您的 Salesforce 产品?

    通过登录至 SSO 站点 转至问题 2
    通过使用其 Salesforce 用户名和密码直接登录 转至问题 3


    注意:如果允许您的用户通过 SSO 和直接登录访问 Salesforce 产品,我们建议
    更改您的配置,这样用户就无法绕过您的 SSO 系统。否则,您需要同时为 SSO 和直接登录启用 MFA,因此请转至问题 2 和问题 3。xxx

  • 问题 2:Salesforce 用户是否通过输入用户名和密码,然后输入一种安全性较高的验证方法来登录 SSO 站点?

    您的回答 含义

    非常棒!根据您的回答,您满足 MFA 要求,因为您使用 SSO 和 MFA 以及安全性较高的验证方法访问 Salesforce 产品。

    注意如果您实施了连续自适应风险和信任评估 (CARTA) 或基于风险的身份验证系统,因此每次登录时页面都不会提示用户提供一种验证方法,则说明您的实施满足 MFA 要求。

    您可以跳过剩余的问题。

    当您的 Salesforce 用户登录到您的 SSO 站点时,他们必须能收到一个 MFA 质询,并且必须使用一种安全性较高的验证方法验证他们的身份。电子邮件、短信和语音通话传递的一次性密码不可接受。要满足 MFA 要求,请考虑以下选项:

    • 联系您的 SSO 提供商,咨询如何使用他们的 MFA 服务。
    • 将连续自适应风险和信任评估 (CARTA) 或基于风险的身份验证系统集成到 SSO 解决方案中。
    • 对于构建于 Salesforce 平台的产品,您可以使用 Salesforce 中提供的免费 MFA 功能,无需在 SSO 级别启用 MFA。查看 Salesforce 帮助 中的使用 Salesforce MFA 进行 SSO 登录,了解详细信息。

    注意如果您使用通过证书或可信网络(通过 VPN、零信任网络访问、IP 允许列表、可信 IP 范围或登录 IP 范围等)的可信公司设备进行 SSO 访问,请转至问题 4。

  • 问题 3:您的用户是否通过输入用户名和密码,然后输入他们每次登录都必须提供的一种支持的验证方法直接登录到您的 Salesforce 产品的用户界面?

    您的回答 含义

    太棒了!根据您的回答,您满足 MFA 要求,因为每次登录时您都会使用 Salesforce MFA。

    您可以跳过剩余的问题。

    如果只有在用户从新的浏览器或设备登录时才需要支持的验证方法,则说明您正在使用设备激活或身份验证,而不是 MFA。这种方案很好,但它不满足 MFA 要求。您需要为您的 Salesforce 产品启用 MFA。

    如果用户在输入用户名和密码后网页从来没有提示他们提供一种验证方法,您还需要启用 MFA。

    请查看 Salesforce 客户站点 MFA上的“Salesforce 产品 MFA 帮助”部分。

    注意如果因为您正在使用具有证书身份验证的受信设备或受信网络(通过 VPN、零信任网络访问、IP 允许列表、受信 IP 范围或登录 IP 范围)控制直接登录,而导致 Salesforce 产品不会提示用户选择一种验证方法,请转至问题 4。

  • 问题 4:您是否使用受信公司设备或受信网络来授予 Salesforce 产品的访问权限?

    您的回答 含义

    单独使用带有证书的企业设备或企业(受信)网络无法满足 MFA 要求。

    如果使用这两种机制中的任何一种机制来控制 SSO 访问或直接 Salesforce 登录,则应为 SSO 身份验证服务提供商或 Salesforce 产品启用 MFA。但如果这种机制不可行,您可以使用带有证书的受信设备,结合受信企业网络来满足 MFA 要求。请参见 MFA 常见问题中的“受信任企业设备是否可以满足 MFA 要求”、“仅限登录到受信任的网络是否可以满足 MFA 要求”和“使用 VPN 或零信任网络访问是否可以满足 MFA 要求”,了解更多详细信息。

    嗯,我们没有别的选择。试着重新开始,重新评估这些问题。如果仍然无法确定您是否满足 MFA 要求,请联系您的 Salesforce 代表寻求帮助。

面对这些信息,我应该怎么做?

了解您是否满足 MFA 要求,或者您是否需要采取任何措施

若您在此处获得的答案表明您的实施方案已满足 MFA 要求,那么恭喜您!

否则,请查看 MFA 常见问题,了解合同要求的全部细节,并使用推荐的文档来实施符合要求的解决方案。

如果您有 IT 或网络安全团队,可以征求他们的指导。

您可以随时在 Trailblazer Community 的 MFA - 入门讨论组提出自己的问题,众多 Salesforce 安全专家随时可以为您提供帮助。

确定满足 MFA 要求后,即无需证明已满足 Salesforce 的要求

Salesforce 不要求客户证明自己遵守了合同要求的义务。按照这种做法,Salesforce 不要求客户获得正式认证或证明他们满足 MFA 要求。

如果目前不满足 MFA 要求,可能会面临什么情况 

MFA 要求自 2022 年 2 月 1 日起已生效。若您在直接登录或通过单点登录 (SSO) 访问产品时未使用 MFA,请查看 MFA 常见问题中的“若未满足 MFA 要求,会发生什么情况?”部分。