SSO 與 MFA 要求

與您的 SSO 提供者洽詢如何使用 MFA 服務。

針對在 Salesforce Platform 建立的產品，您可使用 Salesforce 中提供的免費 MFA 功能，而無須在 SSO 層級啟用 MFA。請參閱 Salesforce 說明的使用 Salesforce MFA 登入 SSO 以取得詳細資訊。

請記得，您所有的 Salesforce 使用者皆必須使用 MFA。若您有任何使用者可以直接登入您的產品 (例如 Salesforce 管理員)，請啟用 Salesforce 的 MFA 以確保這些帳戶安全無虞。請查看此影片。

透過良好實施的 SSO 策略，您可減少某些弱密碼或重複使用密碼的相關風險，並讓您的使用者登入常用應用程式時更為輕鬆。但若您的 SSO 實作僅依賴使用者認證，可能會讓使用者帳戶遭受常見攻擊，例如網路釣魚或憑證填充。

作為組織安全的管理員，您在保護敏感的業務與客戶資料 (包含名稱、電子郵件地址和其他個人可識別資訊) 扮演關鍵角色。隨著網路釣魚攻擊、憑證填充及帳戶接管等威脅增加，MFA 是最有效防止未經授權帳戶存取的方法之一。我們鼓勵您與您的安全和 IT 團隊合作，讓 MFA 要求與公司的整體安全目標保持一致，並取得符合要求的協助。

若您不替透過 SSO 存取 Salesforce 的使用者實作 MFA，將會增加網路攻擊損害您的公司與客戶的風險。

否。若針對您的 SSO 身分提供者啟用 MFA，便不需為透過 SSO 登入的使用者啟用 Salesforce 的 MFA。但若有管理員或其他特殊權限使用者直接登入您的 Salesforce 產品，則需為這些使用者設定 Salesforce 的 MFA。

MFA 要求的關鍵在於所有 Salesforce 使用者存取 Salesforce 產品時，必須提供密碼以外的強驗證方法。若有需求，您可透過部署多重 MFA 解決方案來實現此目的。例如，若您同時擁有 SSO 和非 SSO 使用者，請確保為您的 SSO 使用者啟用 MFA，並為直接登入的使用者開啟 Salesforce 產品的 MFA 功能。

此為常見案例： 我們建議將多數 Salesforce 使用者設為使用 SSO 和 MFA 登入。但對於不使用 SSO 的管理員帳戶，您可以在 Salesforce 產品中啟用 MFA，以便管理員透過使用者名稱和密碼直接登入時獲得額外的防護。

針對在 Salesforce Platform 建立的產品，您可使用 Salesforce 中提供的 MFA 功能，而無須使用 SSO 提供者的 MFA 服務。使用此方法，使用者可透過您的 SSO 登入頁面登入。接著系統會將使用者導向 Salesforce，提示使用者提供 MFA 驗證方法以確認身分。

請注意：此選項不適用於其他 Salesforce 產品。

若要瞭解更多，請參閱Salesforce 說明的使用 Salesforce MFA 登入 SSO。

讓我們從未符合要求的驗證方法開始，無論您是使用 SSO 身分提供者的 MFA 服務或使用 Salesforce 的 MFA 直接登入。

• 系統不允許透過電子郵件訊息、簡訊或電話提供一次性密碼，因為這些方法本身容易遭到攔截、詐騙和其他攻擊。
• 安全性問題
• 單獨使用的受信任裝置或受信任網路，不足以符合 MFA 要求的驗證方法。(但結合使用，這些方法可以達成 MFA 並符合要求。請參閱 MFA 常見問題的「受信任的公司裝置是否符合 MFA 要求？」、「限制登入受信任的網路是否符合 MFA 要求？」和「使用 VPN 或零信任網路存取權是否符合 MFA 要求？」以取得詳細資訊。)

若要符合 MFA 要求，您必須使用更能抵禦網路攻擊 (例如網路釣魚和中間人攻擊) 的驗證方法。這些類型的方法協助提供高度保證，確保存取 Salesforce 產品的使用者身分。針對 SSO 實作，請使用上述列出的選項以外，身分提供者的 MFA 解決方案支援或整合的任何方法。

基於風險的驗證，又稱為自適應驗證或持續自適應風險與信任評估 (CARTA)，是一種驗證系統，透過監視來自使用者、使用者裝置以及使用者存取服務的方式和時間等多個信號，持續分析使用者相關的風險。若處於情況保證的風險層級，身分提供者或驗證服務將自動要求使用者符合額外的安全性挑戰。若要瞭解更多，請參閱此文章。 

若您已整合基於風險的驗證系統與 SSO 解決方案，您的實作便會符合 MFA 要求。若您想考慮此類型的解決方案，可和許多技術提供者共同合作。

我們強烈建議為您的 SSO 身分提供者設定 MFA 服務，以便使用者在每次登入時提供使用者名稱和密碼以外的強驗證方法。

若您使用第三方身分提供者 (IdP) 存取您的 Salesforce 產品，Salesforce 對您的 MFA 實作可視性有限。為了確保我們擁有管理 MFA 要求的深入瞭解，我們計畫在 SSO 通訊協定採用標準的屬性，描述登入 SSO 期間使用的驗證方法。

多數 SSO 提供者支援兩種主要屬性：OpenID Connect (OIDC) 使用驗證方法參照 (amr) 以及 SAML 使用驗證內容 (AuthnContext)。目前 OIDC amr 可用於在 Salesforce Platform 建立的產品，且您在匯出資料時可查看 LoginHistory 的值。在日後發行的版本中，我們希望將 OIDC amr 擴展到其他 Salesforce 產品，並為所有產品新增 SAML AuthnContext 的支援。

請記得，根據 Salesforce 信任與規範文件，啟用 MFA 為契約要求。

Salesforce 不會代表您採取行動，為您的 SSO 身分提供者啟用 MFA。若您的 SSO 服務不需要 MFA，我們也不會計畫封鎖存取 Salesforce 產品或觸發 MFA 挑戰。未來此政策可能有所變更。

但請記住，根據 Salesforce 信任與規範文件，MFA 契約要求適用於所有透過 SSO 存取 Salesforce 產品的內部 Salesforce 使用者。若您無法在 MFA 要求的 2022 年 2 月 1 日期限之前啟用 MFA，請連絡您的法律團隊以瞭解不合規範的影響。

我們要求 MFA 的目標是提供誘因和工具，優先強化您的 Salesforce 環境安全性。我們鼓勵您與您的安全和 IT 團隊合作，讓 MFA 要求與公司的整體安全目標保持一致，並取得符合要求的協助。若您擔心滿足要求的問題，請連絡您的Salesforce 代表。我們將與您合作找出解決方案

管理員應永遠可透過使用者名稱和密碼直接登入您的 Salesforce 產品。我們不建議為 Salesforce 管理員啟用 SSO，因為如果您的 SSO 實作發生中斷或其他問題，管理員便無法登入。例如，若您的第三方 SSO 提供者持續中斷，管理員可透過使用者名稱和密碼登入，使用您的 Salesforce 產品標準登入頁面，然後停用 SSO 直到問題獲得解決。我們建議直接在您的 Salesforce 產品為管理員帳戶啟用 MFA，而無須為 Salesforce 管理員使用 SSO。

若您的公司使用 SSO 存取 Salesforce，我們建議停用所有標準使用者的直接登入。防止透過 Salesforce 使用者名稱和密碼登入，可確保使用者不會略過 SSO 系統。確認受影響的使用者知道可以存取您的 SSO 登入頁面的 URL。若要瞭解執行此作業的步驟，請參閱 Salesforce 說明的停用 SSO 使用者透過 Salesforce 認證的登入以取得詳細資訊。