Loading

Comment satisfaire à l'exigence de MFA pour le Cas d'utilisation de connexion partagée d'administrateur partenaire

Date de publication: Aug 1, 2024
Description

L'entrée en vigueur de l'exigence de MFA le 1er février 2022 a représenté un défi pour les fournisseurs de services Salesforce (c’est-à-dire les sociétés qui fournissent des services aux clients de Salesforce) qui partagent des licences fournies par le client avec leur organisation afin d'effectuer des services administratifs dans les organisations de clients. Ce scénario est appelé Cas d'utilisation de connexion partagée d'administrateur partenaire (ou Cas d'utilisation administrateur partenaire). Le Cas d'utilisation administrateur partenaire a empêché certains fournisseurs de services et leurs clients d'adopter la MFA qui exige de chaque utilisateur de fournir une méthode de vérification unique avant de se connecter. Si plusieurs personnes partagent une licence, une seule peut se connecter une fois la MFA activée. Par conséquent, Salesforce a accordé des extensions à l'exigence de MFA aux organisations de clients affectées. Selon les termes de l'extension, lorsque Salesforce annonce une solution pour le Cas d'utilisation administrateur partenaire, les fournisseurs de services et leurs clients disposent d'un an pour implémenter leur part respective de la solution ou pour se mettre en conformité avec l'exigence de MFA. 

Salesforce a annoncé publiquement la solution Cas d'utilisation administrateur partenaire le 13 octobre 2022. Toutes les extensions Cas d'utilisation administrateur partenaire, y compris celles accordées après la date de l'annonce de la solution, expiré le 15 novembre 2023. Ce document présente le Cas d'utilisation administrateur partenaire, indique comment appliquer la solution et répond aux questions fréquemment posées sur ce Cas d'utilisation.

Remarque : Tous les autres scénarios de partage de licence, y compris, sans s'y limiter, des fournisseurs de services partageant des licences avec leurs propres organisations, des clients et des fournisseurs de services partageant la même licence, et des clients partageant des licences au sein de l'organisation du client, ne sont pas couverts par ce cas d'utilisation ou la solution fournie.

Résolution

Sommaire

 

Solution pour satisfaire à l'exigence de MFA pour le Cas d'utilisation administrateur partenaire

Nous recommandons vivement aux clients de fournir à leur fournisseur de services Salesforce un nombre suffisant de licences pour chaque utilisateur de fournisseur de services individuel, et d'activer la MFA pour l'organisation du client. Cette approche est la plus sûre.

Toutefois, si cette solution n'est pas possible, les clients qui attribuent un nombre limité de licences à leur fournisseur de services Salesforce peuvent satisfaire à l'exigence de MFA en remplissant les critères suivants :

  • Demander à leur fournisseur de services de déployer un outil de gestion des comptes privilégiés ou un outil de gestion des mots de passe d'entreprise, qui fonctionne en tant que méthode de vérification de la MFA pour les identifiants partagés.
  • L'outil de gestion des comptes privilégiés ou de gestion des mots de passe d'entreprise doit prendre en charge l'utilisation de la MFA, et la MFA doit être activée pour l'outil.
  • L'outil doit permettre de limiter l'accès aux utilisateurs autorisés seulement, à l'aide de techniques telles que le contrôle d'accès basé sur le rôle ou le moindre privilège.
  • Tous les utilisateurs de l'outil doivent faire partie du personnel du fournisseur de service. Ces utilisateurs doivent utiliser une licence unique aux seules fins d'offrir une assistance ou d'autres services à leur client.
  • Le client est responsable de l'utilisation par leur fournisseur de services des licences Salesforce fournies au client.


Nous recommandons vivement aux fournisseurs de services de déployer un outil de gestion des comptes privilégiés prenant en charge l'utilisation de la MFA. Cette option permet au client de remonter la connexion partagée jusqu'à l'utilisateur connecté, ce qui offre une piste d'audit et renforce la sécurité. Si l'utilisation d'un outil de gestion des comptes privilégiés n'est pas envisageable, le fournisseur de services doit explorer la possibilité d'utiliser un outil de gestion des mots de passe d'entreprise prenant en charge la MFA.

Remarque : Salesforce ne recommande l'utilisation d'aucun outil spécifique. Les outils doivent remplir les exigences fonctionnelles indiquées ci-dessus.

Salesforce se réserve le droit de modifier à tout moment les critères de la MFA et le cas d'utilisation susmentionné ou d'interrompre cette utilisation permise.

Voir aussi :

 

Qui doit implémenter la solution Cas d'utilisation administrateur partenaire

Le client d'un fournisseur de services a une obligation contractuelle de s'assurer que toutes les licences de son organisation, y compris celles fournies à ses fournisseurs de services pour des services d'administration de partenaires, respectent l'exigence de MFA.

Les fournisseurs de services et leurs clients doivent activer la MFA pour tous les utilisateurs internes de l'organisation du client, y compris les utilisateurs de fournisseur de services individuels qui se connectent avec des licences fournies par le client. 

Pour s'assurer que les utilisateurs de fournisseurs de services individuels qui partagent une licence fournie par le client peuvent répondre aux défis de la MFA en se connectant à des organisations de clients, le fournisseur de services est responsable de la mise en place d'un outil de gestion des comptes privilégiés ou de gestion des mots de passe d'entreprise. Le fournisseur de services doit en outre s'assurer que tous les identifiants partagés sont stockés dans l'outil, et configurés pour fonctionner avec l'implémentation MFA de l'organisation du client.

Dans la plupart des cas, les communications et les guides de Salesforce sur le Cas d'utilisation administrateur partenaire seront dirigés vers les fournisseurs de services Salesforce, et les fournisseurs de services doivent indiquer à leurs clients comment satisfaire à l'exigence de MFA. Si un client a contacté Salesforce et obtenu une extension, Salesforce communiquera directement avec ce client, ainsi qu'avec son fournisseur de services.
 

Comment appliquer la solution Cas d'utilisation administrateur partenaire

Nous présentons ci-dessous les principales étapes permettant aux fournisseurs de services Salesforce et à leurs clients d'implémenter la solution Cas d'utilisation administrateur partenaire.
 

  1. Le fournisseur de services installe un outil de gestion des comptes privilégiés ou de gestion des mots de passe d'entreprise.
  2. Le fournisseur de services ajoute tous les identifiants partagés à l'outil de gestion des comptes privilégiés ou de gestion des mots de passe d'entreprise.
  3. Le fournisseur de services ou son client active la MFA dans l'organisation du client.
  4. Les utilisateurs du partenaire individuel se connectent au compte partagé. À l'invite de l'organisation du client, ils inscrivent l'outil de gestion des comptes privilégiés ou de gestion des mots de passe d'entreprise en tant que méthode de vérification de la MFA pour le compte partagé.  
  5. Pour toutes les connexions ultérieures par des utilisateurs du fournisseur de services individuel, l'outil de gestion des comptes privilégiés ou de gestion des mots de passe d'entreprise remplit automatiquement le nom d'utilisateur et le mot de passe du compte partagé. L'utilisateur saisit ensuite le mot de passe unique généré par l'outil et peut se connecter.


Les étapes spécifiques d'application de la solution Cas d'utilisation administrateur partenaire dépendent de l'outil de gestion des comptes privilégiés ou de gestion des mots de passe d'entreprise que le fournisseur de services Salesforce choisit d'utiliser. Pour les instructions complètes d'installation et de configuration de l'outil pour utiliser la MFA, consultez la documentation produit de l'outil.
 

Échéance de l'implémentation de la solution Cas d'utilisation administrateur partenaire

Pour être en conformité avec l'exigence de MFA lorsqu'un client ne peut pas fournir une licence unique à chaque utilisateur de fournisseur de services individuel, le fournisseur de services Salesforce doit implémenter un outil de gestion des comptes privilégiés ou de gestion des mots de passe d'entreprise, et le fournisseur de services ou le client doit activer dès que possible la MFA pour l'organisation du client.

Si une extension Cas d'utilisation administrateur partenaire a été accordée, la solution présentée dans ce document doit être implémentée (ou un nombre suffisant de nouvelles licences doit être acheté) avant la fin de l'extension. Selon les termes de l'extension, lorsque Salesforce annonce une solution Cas d'utilisation Administrateur partenaire, les fournisseurs de services et leurs clients disposent d'un an pour implémenter leur part respective de la solution ou pour se mettre en conformité avec l'exigence de MFA. Salesforce a annoncé publiquement la solution Cas d'utilisation administrateur partenaire le 13 octobre 2022. Toutes les extensions Cas d'utilisation administrateur partenaire (y compris celles accordées après la date de l'annonce de la solution) expiré le 15 novembre 2023.

À la fin de l'extension Cas d'utilisation administrateur partenaire, aucun délai ni extension supplémentaire ne sera accordé, et les jalons d'activation automatique de Salesforce seront appliqués.

Comment obtenir de l'aide supplémentaire

Consultez le FAQ à la fin de ce document.

Si vous ne trouvez pas les réponses à vos questions, les fournisseurs de services doivent utiliser les ressources suivantes.

 

Forum aux questions

 

Comment les fournisseurs de services Salesforce et leurs clients peuvent-ils déterminer si le cas d'utilisation Administrateur partenaire s'applique à eux ?

Si un fournisseur de services partage des licences fournies par le client afin d'effectuer des activités administratives pour l'organisation de production du client, le cas d'utilisation Administrateur partenaire s'applique. Ces activités comprennent l'implémentation, le test, la formation, la maintenance continue et d'autres types de support.

Pour confirmer, le client doit effectuer un audit afin de déterminer si son fournisseur de services partage avec son organisation une licence incluant des ressources du fournisseur de services ou du client.
 

Un outil de gestion des mots de passe propriétaire d'un fournisseur de services peut-il fonctionner en tant que solution Cas d'utilisation Administrateur partenaire ?

Si le fournisseur de services d'un client utilise un outil de gestion des mots de passe propriétaire, l'outil doit prendre en charge l'utilisation de la MFA pour chaque utilisateur de fournisseur de services individuel qui se connecte avec une licence partagée. Si la MFA ne peut pas être configurée pour la licence partagée, l'outil de gestion des mots de passe propriétaire ne satisfait pas à l'exigence de MFA.

Un outil propriétaire doit également remplir d'autres critères précisés dans Solution pour satisfaire à l'exigence de MFA pour le Cas d'utilisation administrateur partenaire.
 

Salesforce va-t-elle implémenter ou créer une solution basée sur le produit pour le cas d'utilisation Administrateur partenaire ?

Non, Salesforce n'envisage pas d'implémenter une solution basée sur le produit pour répondre à l'exigence de MFA et au cas d'utilisation Administrateur partenaire.
 

Les fournisseurs de services et leurs clients peuvent-ils se désinscrire de l'utilisation de la MFA pour le Cas d'utilisation administrateur partenaire ?

Non. Une solution étant maintenant disponible pour le Cas d'utilisation administrateur partenaire, les fournisseurs de services et leurs clients doivent satisfaire à l'exigence de MFA avec cette solution. Alternativement, le client peut fournir à son fournisseur de services des licences uniques destinées à chaque utilisateur de fournisseur de services individuel. Il n'existe aucun processus ni option d'exception permettant de se désinscrire de l'utilisation de la MFA pour le Cas d'utilisation Administrateur partenaire.
 

L'organisation de mon client a une extension Cas d'utilisation administrateur partenaire. Quand l'extension expire-t-elle ? Que se passe-t-il à la fin de l'extension ?

Selon les termes de l'extension, lorsque Salesforce annonce une solution pour le Cas d'utilisation administrateur partenaire, les fournisseurs de services Salesforce et leurs clients disposent d'un an pour implémenter leur part respective de la solution Cas d'utilisation administrateur partenaire ou pour se mettre en conformité avec l'exigence de MFA. Nous avons annoncé publiquement la solution Cas d'utilisation administrateur partenaire le 13 octobre 2022. Toutes les extensions Cas d'utilisation administrateur partenaire expiré le 15 novembre 2023.

Maintenant que les extensions de cas d'utilisation d'administrateur partenaire ont expiré, les fournisseurs de services et les clients concernés doivent avoir mis en œuvre la solution de cas d'utilisation d'administrateur partenaire publiée dans ce document ou se conformer à l'exigence MFA en achetant des licences supplémentaires. Tous les utilisateurs et organisations couverts par l'extension sont désormais soumis à l'exigence MFA. Pour des informations complètes sur l'exigence de MFA entrée en vigueur le 1er février 2022, consultez le FAQ sur la MFA.
 

Que se passe-t-il si un fournisseur de services ou un client n'applique pas la solution Cas d'utilisation Administrateur partenaire ?

Si les fournisseurs de services ou les clients n'appliquent pas une solution approuvée pour le Cas d'utilisation administrateur partenaire, l'organisation du client ne sera pas en conformité avec l'exigence contractuelle de MFA. L'organisation du client sera soumise aux jalons d'activation automatique lorsqu'ils se produisent.

Si une extension Cas d'utilisation administrateur partenaire a été accordée à l'organisation d'un client, le fournisseur de services et ses clients avaient jusqu'au 15 novembre 2023 pour appliquer la solution approuvée, sinon l'organisation du client ne sera plus en conformité avec l'exigence de MFA.

Pour implémenter la solution, consultez Solution pour satisfaire à l'exigence de MFA pour le Cas d'utilisation administrateur partenaire et Qui doit implémenter la solution Cas d'utilisation administrateur partenaire.
 

La solution Cas d'utilisation Administrateur partenaire peut-elle être utilisée pour satisfaire à l'exigence de MFA avec d'autres pratiques de partage de licences ?

Non. La solution Cas d'utilisation Administrateur partenaire est strictement limitée aux situations où les fournisseurs de services partagent des licences fournies par le client pour effectuer des activités administratives au nom de leur client dans l'organisation du client. Si un client ou un fournisseur de services partage des licences ou des connexions de compte pour une raison autre que le Cas d'utilisation administrateur partenaire, il est en infraction directe avec son Salesforce Main Services Agreement (MSA), et les solutions présentées dans ce document ne peuvent pas être utilisées afin de satisfaire à l'exigence de MFA pour ces pratiques.

Par exemple, il n'est pas permis au client de partager son nom d'utilisateur et son mot de passe avec un fournisseur de services pour lui accorder l'accès à l'organisation du client afin d'effectuer des activités administratives partenaires. Il n'est pas non plus permis à des utilisateurs de fournisseurs de services individuels de partager dans l'Organisation de gestion des licences du fournisseur de services les licences de leur propre Organisation commerciale partenaire pour administrer l'organisation d'un client.

Les fournisseurs de services ou les clients qui ont besoin de connexions supplémentaires doivent acheter des licences supplémentaires.
 

Numéro d’article de la base de connaissances

000388982

 
Chargement
Salesforce Help | Article