您位於此處:
MFA 的內建驗證器
多因素驗證 (MFA) 驗證可透過內建驗證器服務 (例如 Windows Hello、Touch ID 或 Face ID) 輕鬆進行。使用者可以透過指紋、虹膜或臉部辨識掃描 (或在某些情況下使用者在其裝置作業系統中設定的 PIN 或密碼) 快速驗證其身分。內建驗證器 (也稱為平台驗證器) 可簡化 MFA 需求,因為其依賴內建機制,而非需要個別驗證器應用程式或實體安全性金鑰的使用者。它們也可抵禦網路釣魚攻擊,使其高度安全。
此類方法提供最簡單的 MFA 登入體驗。使用者輸入 Salesforce 使用者名稱和密碼之後,內建驗證器會提示其使用生物識別、PIN 或密碼識別碼。接著便可登入。
如果無法使用行動驗證器應用程式,則內建驗證器是相當好的選擇。例如,針對公司未提供行動裝置的使用者,請考慮此選項。而且在 PCI 表準環境或使用者工作裝置沒有實體安全性金鑰連接埠的狀況下,使用內建驗證器可能更加合理。
需求與考量事項
-
針對在 Salesforce Platform 上建立的產品,Salesforce 管理員必須啟用內建驗證器的使用,使用者才能使用此選項。請參閱在 Salesforce 組織中啟用內建驗證器進行身分驗證。
-
在使用者向 Salesforce 註冊內建驗證器之前,必須先在其裝置上啟用該服務,並設定為透過生物識別碼、PIN 或密碼來驗證其身分。
-
使用者的裝置、作業系統和瀏覽器必須支援 FIDO2 Web 驗證 (WebAuthn) 標準。如需詳細資訊,請查看 FIDO 網站和 WebAuthn 指南。
-
裝置必須包含內建驗證服務支援的指紋、虹膜或臉部識別掃描器。
-
非 Chromium 版的 Edge 瀏覽器不支援內建驗證器。
-
內建驗證器無法用於 Salesforce 行動應用程式中的 MFA 驗證。若要登入行動應用程式,使用者必須註冊備份驗證方法,例如 Salesforce Authenticator。
-
內建驗證器不適用於 Experience Cloud 網站。
-
透過 API 存取 Salesforce 的使用者無法使用內建驗證器來驗證其身分。
-
Data Loader OAuth 登入不支援使用內建驗證器。
若要深入瞭解,請參閱 FIDO2:Web 驗證 (WebAuthn) 或使用者內建驗證器的文件。
背景
註冊內建驗證器會建立對使用者帳戶唯一的私人和公用金鑰組。私人金鑰會安全地儲存在使用者的桌面或行動裝置上,並由使用者的生物識別資料保護。私人金鑰與使用者的生物識別資料一律不會離開使用者的裝置,且一律不會與 Salesforce 共用。當使用者登入其帳戶時,瀏覽器會呼叫裝置的作業系統,以啟動使用者註冊的內建驗證器。根據使用者瀏覽器和作業系統,使用者可使用如 Touch ID、Face ID 或 Windows Hello 等驗證器來驗證其身分。
符合 WebAuthn 的內建驗證器可抵抗網路釣魚和中間人攻擊。主要原因是因為使用者的私人金鑰繫結到與使用者帳戶相關聯的網域。例如,假設使用者遭到誘騙使用惡意網站。當網站提示內建驗證器批准登入要求時,驗證器會識別網站的網域並非預期網域,並阻止使用者登入。
