使用 SSO 登录 Salesforce 产品时的 MFA 常见问题
联系您的 SSO 提供商,咨询如何使用他们的 MFA 服务。
对于在 Salesforce 平台构建的产品,您可以使用 Salesforce 提供的免费 MFA 功能,无需在 SSO 级别启用 MFA。查看 Salesforce 帮助 中的使用 Salesforce MFA 进行 SSO 登录,了解详细信息。
请谨记,所有 Salesforce 用户均必使用 MFA。如果您有可以直接登录到产品的用户,如 Salesforce 管理员,请启用 Salesforce 的 MFA,以便保护这些帐户。查看此视频。通过实施良好的 SSO 策略,您可以减少与保密性较弱的密码或重用密码相关的一些风险,并让您的用户可以更容易地登录到常用的应用程序。但如果您的 SSO 实施仅依赖用户凭据,用户帐户就会容易受到常见的攻击,如网络钓鱼或凭据填充。
作为组织安全的管理者,您在保护敏感的业务和客户数据(包括姓名、电子邮件地址和其他个人身份信息)方面发挥着重要作用。随着网络钓鱼攻击、凭证填充和帐户侵权等威胁的增加,MFA 已成为防止未获授权帐户访问的最有效方法之一。我们建议您与安全和 IT 团队合作,使 MFA 要求与公司的总体安全目标保持一致,并让他们帮助您满足这些要求。
如果不为通过 SSO 访问 Salesforce 的用户实施 MFA,您就会面临更大的网络攻击的风险,进而可能损害公司和客户的利益。
不需要。如果您的 SSO 身份验证服务提供商启用了 MFA,那么您就不需要为通过 SSO 登录的用户启用 Salesforce 的 MFA。但如果您有管理员或其他特权用户可以直接登录到 Salesforce 产品,则需要为这些用户设置 Salesforce 的 MFA。
MFA 要求的关键是,当您的所有 Salesforce 用户访问 Salesforce 产品时,除了密码外,他们还必须提供一个安全性较高的验证方法。如果需要,可以部署多个 MFA 解决方案来实现这一目的。例如,如果您同时拥有 SSO 用户和非 SSO 用户,请确保为 SSO 用户启用 MFA,并为直接登录的用户启用 Salesforce 产品的 MFA 功能。
下面是一种常见的场景: 我们建议将大多数 Salesforce 用户设置为需要使用 SSO 和 MFA 登录的用户。但对于不使用 SSO 的管理员帐户,您可以在 Salesforce 产品中启用 MFA,这样,管理员直接使用用户名和密码登录时就多了一层额外的保护。
对于构建于 Salesforce 平台的产品,您可以使用 Salesforce 提供的 MFA 功能,无需使用 SSO 提供商提供的 MFA 服务。使用这种方法,用户可以通过 SSO 登录页面进行登录。之后,他们会被定向至 Salesforce,页面会提示他们提供自己的 MFA 验证方法,以便确认他们的身份。
注意:此选项无法用于其他 Salesforce 产品。
如需了解详情,请查看 Salesforce 帮助 中的使用 Salesforce MFA 进行 SSO 登录。无论您是使用 SSO 身份验证服务提供商的 MFA 服务,还是 Salesforce 的 MFA 直接登录,我们先来看看哪些验证方法无法满足要求。
- 不允许通过电子邮件、短信或电话传递一次性密码,因为这些方法本身就容易遭到拦截、欺诈和其他攻击。
- 安全问题
- 单独使用可信设备或可信网络无法满足 MFA 要求。(但结合使用,可以实现 MFA,满足要求。请参见 MFA 常见问题中的“受信任企业设备是否可以满足 MFA 要求”、“仅限登录到受信任的网络是否可以满足 MFA 要求”和“使用 VPN 或零信任网络访问是否可以满足 MFA 要求”,了解更多详细信息。
要满足 MFA 要求,您必须使用网络攻击(如网络钓鱼和中间人攻击)抵抗能力更强的验证方法。这些类型的方法有助于确保访问 Salesforce 产品的用户是他们本人。对于采用 SSO 方案的情况,除了上述列出的选项外,还可以使用您的身份验证服务提供商提供的 MFA 解决方案支持的或与之集成的任何方法。
基于风险的身份验证也称为自适应身份验证或连续自适应风险和信任评估 (CARTA),它是一个身份验证系统,通过监控来自用户、用户设备的多种信号,以及用户访问服务的方式和时间来持续分析与用户相关的风险。如果给定情况下的风险级别符合条件,身份验证服务提供商或身份验证服务将自动要求用户满足额外的安全质询。如需了解更多相关信息,请查看此文章。
如已将基于风险的身份验证系统与 SSO 解决方案集成,那么您的实施就符合 MFA 要求。如果希望采用这种类型的解决方案,有许多技术提供商可以满足您的需要。
我们强烈建议为您的 SSO 身份验证服务提供商配置 MFA 服务,这样,用户每次登录时,除了用户名和密码外,还需要提供一种安全性较高的验证方法。
如果您使用第三方身份验证服务提供商 (IdP) 访问您的 Salesforce 产品,有时 Salesforce 可能无法了解您的 MFA 实施情况。为了确保我们对管理 MFA 要求有必要的了解,我们计划利用 SSO 协议中基于标准的属性来描述在 SSO 登录期间使用的身份验证方法。
大多数 SSO 提供商都支持两个主要属性:OpenID Connect (OIDC) 使用身份验证方法参考 (amr),SAML 使用验证上下文 (AuthnContext)。目前,在 Salesforce 平台上构建的产品可以使用 OIDC amr,导出数据时,您可以看到 LoginHistory 中的值。在将来的版本中,我们希望将 OIDC amr 扩展到其他 Salesforce 产品,并为所有产品添加对 SAML AuthnContext 的支持。请记住,根据 Salesforce 信任和合规性文档,启用 MFA 是一项合同要求。
Salesforce 不会代表您采取行动,为您的 SSO 身份验证服务提供商启用 MFA。如果您的 SSO 服务不要求 MFA,我们也不会计划阻止对 Salesforce 产品的访问,或触发 MFA 质询。将来,这项政策可能会改变。
但请谨记,根据 Salesforce 信任和合规性文档,MFA 合同要求适用于所有通过 SSO 访问 Salesforce 产品的内部 Salesforce 用户。如果您无法在 2022 年 2 月 1 日的 MFA 要求截止日期之前启用 MFA,请与您的法务团队沟通,以理解不合规的具体含义。
我们要求实施 MFA 的目的是为您提供奖励和工具,优先强化您的 Salesforce 环境的安全性。我们建议您与安全和 IT 团队合作,使 MFA 要求与公司的总体安全目标保持一致,并让他们帮助您满足这些要求。如果您在满足此要求方面有任何疑问,请联系您的 Salesforce 代表。我们会协助您找到解决方案。
管理员应该始终可以使用他们的用户名和密码直接登录到您的 Salesforce 产品。我们不建议为 Salesforce 管理员启用 SSO,因为如果您的 SSO 实施出现故障或其他问题,他们将无法登录。例如,如果您的第三方 SSO 提供商出现长时间服务中断的情况,管理员可以使用 Salesforce 产品的标准登录页面,使用他们的用户名和密码登录,然后禁用 SSO,直到问题解决。我们建议直接在 Salesforce 产品中为管理员帐户启用 MFA,而不是为 Salesforce 管理员使用 SSO。
如果您的公司使用 SSO 访问 Salesforce,我们建议禁用所有标准用户的直接登录。禁用 Salesforce 用户名和密码登录可以确保用户无法绕过您的 SSO 系统。确保受影响的用户知道访问 SSO 登录页面的 URL。如需了解进行该操作的详细步骤,请参见 Salesforce 帮助 中的为 SSO 用户禁用使用 Salesforce 凭据登录,了解更多信息。