單一登入 (SSO) 解決方案本身無法符合 MFA 要求。若您的 Salesforce 產品已與 SSO 整合,請確保您已為所有 Salesforce 使用者啟用 MFA。如需協助,請參閱 SSO 的這些常見問題解答,以及 MFA 要求。如要全面瞭解要求,請參閱完整的 MFA 常見問題

適用於 SSO 登入 Salesforce 產品的 MFA 常見問題

  • 與您的 SSO 提供者洽詢如何使用 MFA 服務。

    針對在 Salesforce Platform 建立的產品,您可使用 Salesforce 中提供的免費 MFA 功能,而無須在 SSO 層級啟用 MFA。請參閱 Salesforce 說明的使用 Salesforce MFA 登入 SSO以取得詳細資訊。

    請記得,您所有的 Salesforce 使用者皆必須使用 MFA。若您有任何使用者可以直接登入您的產品 (例如 Salesforce 管理員),請啟用 Salesforce 的 MFA 以確保這些帳戶安全無虞。請查看此影片

  • 透過良好實施的 SSO 策略,您可減少某些弱密碼或重複使用密碼的相關風險,並讓您的使用者登入常用應用程式時更為輕鬆。但若您的 SSO 實作僅依賴使用者認證,可能會讓使用者帳戶遭受常見攻擊,例如網路釣魚或憑證填充。

    作為組織安全的管理員,您在保護敏感的業務與客戶資料 (包含名稱、電子郵件地址和其他個人可識別資訊) 扮演關鍵角色。隨著網路釣魚攻擊、憑證填充及帳戶接管等威脅增加,MFA 是最有效防止未經授權帳戶存取的方法之一。我們鼓勵您與您的安全和 IT 團隊合作,讓 MFA 要求與公司的整體安全目標保持一致,並取得符合要求的協助。

    若您不替透過 SSO 存取 Salesforce 的使用者實作 MFA,將會增加網路攻擊損害您的公司與客戶的風險。

  • 否。若針對您的 SSO 身分提供者啟用 MFA,便不需為透過 SSO 登入的使用者啟用 Salesforce 的 MFA。但若有管理員或其他特殊權限使用者直接登入您的 Salesforce 產品,則需為這些使用者設定 Salesforce 的 MFA。

  • MFA 要求的關鍵在於所有 Salesforce 使用者存取 Salesforce 產品時,必須提供密碼以外的強驗證方法。若有需求,您可透過部署多重 MFA 解決方案來實現此目的。例如,若您同時擁有 SSO 和非 SSO 使用者,請確保為您的 SSO 使用者啟用 MFA,並為直接登入的使用者開啟 Salesforce 產品的 MFA 功能。

    此為常見案例: 我們建議將多數 Salesforce 使用者設為使用 SSO 和 MFA 登入。但對於不使用 SSO 的管理員帳戶,您可以在 Salesforce 產品中啟用 MFA,以便管理員透過使用者名稱和密碼直接登入時獲得額外的防護。

  • 針對在 Salesforce Platform 建立的產品,您可使用 Salesforce 中提供的 MFA 功能,而無須使用 SSO 提供者的 MFA 服務。使用此方法,使用者可透過您的 SSO 登入頁面登入。接著系統會將使用者導向 Salesforce,提示使用者提供 MFA 驗證方法以確認身分。

    請注意:此選項不適用於其他 Salesforce 產品。

    若要瞭解更多,請參閱Salesforce 說明的使用 Salesforce MFA 登入 SSO

  • 讓我們從未符合要求的驗證方法開始,無論您是使用 SSO 身分提供者的 MFA 服務或使用 Salesforce 的 MFA 直接登入。

    • 系統不允許透過電子郵件訊息、簡訊或電話提供一次性密碼,因為這些方法本身容易遭到攔截、詐騙和其他攻擊。
    • 單獨使用的受信任裝置或受信任網路,不足以符合 MFA 要求的驗證方法。(但結合使用,這些方法可以達成 MFA 並符合要求。請參閱 MFA 常見問題的「受信任的公司裝置是否符合 MFA 要求?」和「限制登入受信任的網路是否符合 MFA 要求?」以取得詳細資訊。)

    若要符合 MFA 要求,您必須使用更能抵禦網路攻擊 (例如網路釣魚和中間人攻擊) 的驗證方法。這些類型的方法協助提供高度保證,確保存取 Salesforce 產品的使用者身分。針對 SSO 實作,請使用上述列出的選項以外,身分提供者的 MFA 解決方案支援或整合的任何方法。

  • 基於風險的驗證,又稱為自適應驗證或持續自適應風險與信任評估 (CARTA),是一種驗證系統,透過監視來自使用者、使用者裝置以及使用者存取服務的方式和時間等多個信號,持續分析使用者相關的風險。若處於情況保證的風險層級,身分提供者或驗證服務將自動要求使用者符合額外的安全性挑戰。若要瞭解更多,請參閱此文章。 

    若您已整合基於風險的驗證系統與 SSO 解決方案,您的實作便會符合 MFA 要求。若您想考慮此類型的解決方案,可和許多技術提供者共同合作。

  • 我們強烈建議為您的 SSO 身分提供者設定 MFA 服務,以便使用者在每次登入時提供使用者名稱和密碼以外的強驗證方法。

  • 若您使用第三方身分提供者 (IdP) 存取您的 Salesforce 產品,Salesforce 對您的 MFA 實作可視性有限。為了確保我們擁有管理 MFA 要求的深入瞭解,我們計畫在 SSO 通訊協定採用標準的屬性,描述登入 SSO 期間使用的驗證方法。

    多數 SSO 提供者支援兩種主要屬性:OpenID Connect (OIDC) 使用驗證方法參照 (amr) 以及 SAML 使用驗證內容 (AuthnContext)。目前 OIDC amr 可用於在 Salesforce Platform 建立的產品,且您在匯出資料時可查看 LoginHistory 的值。在日後發行的版本中,我們希望將 OIDC amr 擴展到其他 Salesforce 產品,並為所有產品新增 SAML AuthnContext 的支援。

    請記得,根據 Salesforce 信任與規範文件,啟用 MFA 為契約要求。

  • Salesforce 不會代表您採取行動,為您的 SSO 身分提供者啟用 MFA。若您的 SSO 服務不需要 MFA,我們也不會計畫封鎖存取 Salesforce 產品或觸發 MFA 挑戰。未來此政策可能有所變更。

    但請記住,根據 Salesforce 信任與規範文件,MFA 契約要求適用於所有透過 SSO 存取 Salesforce 產品的內部 Salesforce 使用者。若您無法在 2022 年 2 月 1 日之前啟用 MFA,請連絡您的法律團隊以瞭解不合規範的影響。

    我們要求 MFA 的目標是提供誘因和工具,優先強化您的 Salesforce 環境安全性。我們鼓勵您與您的安全和 IT 團隊合作,讓 MFA 要求與公司的整體安全目標保持一致,並取得符合要求的協助。若您擔心滿足要求的問題,請連絡您的Salesforce 代表。我們將與您合作找出解決方案

  • 管理員應永遠可透過使用者名稱和密碼直接登入您的 Salesforce 產品。我們不建議為 Salesforce 管理員啟用 SSO,因為如果您的 SSO 實作發生中斷或其他問題,管理員便無法登入。例如,若您的第三方 SSO 提供者持續中斷,管理員可透過使用者名稱和密碼登入,使用您的 Salesforce 產品標準登入頁面,然後停用 SSO 直到問題獲得解決。我們建議直接在您的 Salesforce 產品為管理員帳戶啟用 MFA,而無須為 Salesforce 管理員使用 SSO。

  • 若您的公司使用 SSO 存取 Salesforce,我們建議停用所有標準使用者的直接登入。防止透過 Salesforce 使用者名稱和密碼登入,可確保使用者不會略過 SSO 系統。確認受影響的使用者知道可以存取您的 SSO 登入頁面的 URL。若要瞭解執行此作業的步驟,請參閱 Salesforce 說明的停用 SSO 使用者透過 Salesforce 認證的登入以取得詳細資訊。