Loading

Come soddisfare il requisito MFA per il caso d'uso Accesso amministratore condiviso dal Partner

Data pubblicazione: Aug 1, 2024
Descrizione

Quando il requisito MFA è entrato in vigore il 1° febbraio 2022, ha creato problemi ai provider di servizi Salesforce (ossia aziende che forniscono servizi Salesforce a clienti Salesforce) che condividono licenze fornite dal cliente all'interno della propria organizzazione allo scopo di svolgere servizi amministrativi in organizzazioni di clienti. Questo tipo di scenario è detto "caso d'uso di accesso amministratore condiviso dal partner" o, in breve, "caso d'uso di amministrazione partner". Il caso d'uso di amministrazione partner ha fatto sì che alcuni provider di servizi e i loro clienti non adottassero l'autenticazione a più fattori (MFA) perché questa richiede che ciascun utente per accedere fornisca un metodo di verifica univoco. Se più utenti condividono una licenza, dopo l'abilitazione della MFA solo uno è in grado di effettuare l'accesso. Di conseguenza, Salesforce ha concesso proroghe al rispetto del requisito MFA ad alcune organizzazioni di clienti interessate dal problema. In base ai termini della proroga, dal momento in cui Salesforce avesse annunciato la disponibilità di una soluzione per il caso d'uso di amministrazione partner, i provider di servizi e i loro clienti avrebbero avuto un anno di tempo per implementare le rispettive parti della soluzione o mettersi in altro modo in condizione di soddisfare il requisito MFA. 

Salesforce ha annunciato pubblicamente la disponibilità della soluzione per il caso d'uso di amministrazione partner il 13 ottobre 2022 e tutte le proroghe concesse per questo caso d'uso, incluse quelle concesse dopo la data dell'annuncio, sono scadute il 15 novembre 2023. Questo documento illustra la soluzione per il caso d'uso di amministrazione partner, offre una guida generale per la sua applicazione e fornisce risposte a domande frequenti correlate a questo caso d'uso.

Nota: qualsiasi altro scenario di condivisione di licenze, inclusi, a titolo puramente esemplificativo, i casi di condivisione di licenze da parte di provider di servizi all'interno delle proprie organizzazioni o da parte di clienti con organizzazioni di clienti e i casi di condivisione di una stessa licenza tra clienti e provider di servizi non rientrano in questo caso d'uso e non sono coperti dalla soluzione fornita.

Risoluzione

Sommario

 

Soluzione per soddisfare il requisito MFA per il caso d'uso di amministrazione partner

Consigliamo vivamente ai clienti di fornire ai propri provider di servizi Salesforce un numero sufficiente di licenze univoche per ciascun utente del provider di servizi e quindi di abilitare l'autenticazione a più fattori (MFA) per le organizzazioni dei clienti. Questo è l'approccio più sicuro.

Se questo non è fattibile, tuttavia, i clienti che assegnano un numero limitato di licenze al proprio provider di servizi Salesforce possono soddisfare il requisito MFA soddisfacendo i seguenti criteri:

  • Chiedere al provider di servizi di distribuire uno strumento di gestione degli account privilegiati o delle password aziendali che svolga la funzione di metodo di verifica MFA per le credenziali condivise.
  • Lo strumento di gestione degli account privilegiati o delle password aziendali deve supportare l'utilizzo della MFA e la MFA deve essere abilitata per lo strumento.
  • Lo strumento deve dare la possibilità di limitare le autorizzazioni di accesso ai soli utenti autorizzati mediante tecniche quali il controllo dell'accesso basato sui ruoli e i privilegi minimi.
  • Tutti gli utenti dello strumento devono far parte del personale del provider di servizi. Questi utenti devono utilizzare un'unica licenza esclusivamente allo scopo di fornire assistenza o altri servizi al proprio cliente.
  • Il cliente è responsabile dell'utilizzo da parte del proprio provider di servizi delle licenze Salesforce fornite dal cliente.


Consigliamo vivamente ai provider di servizi di distribuire uno strumento di gestione degli account privilegiati che supporti l'utilizzo della MFA. Questa opzione consente ai clienti di tenere traccia di un accesso condiviso fino all'utente effettivo che si è connesso, fornendo un itinerario di controllo e garantendo maggiore sicurezza. Se l'uso di uno strumento di gestione degli account privilegiati non è fattibile, il provider di servizi deve prendere in considerazione l'utilizzo di uno strumento di gestione delle password aziendali che supporti la MFA.

Nota: Salesforce non promuove l'uso di alcuno strumento in particolare. Gli strumenti devono soddisfare i requisiti funzionali sopra descritti.

Salesforce si riserva il diritto di modificare in qualsiasi momento i criteri per la MFA e per il caso d'uso descritto in precedenza o di ritirare interamente l'autorizzazione al suo utilizzo..

Vedere anche:

 

Chi deve implementare la soluzione per il caso d'uso di amministrazione partner

I clienti dei provider di servizi hanno l'obbligo contrattuale di garantire che tutte le licenze della propria organizzazione, incluse quelle fornite ai propri provider di servizi per i servizi amministrativi partner, rispettino il requisito MFA.

I provider di servizi o i loro clienti devono abilitare la MFA per tutti gli utenti interni nell'organizzazione del cliente, compresi gli utenti dei provider di servizi singoli che accedono con licenze fornite dal cliente. 

Per garantire che i singoli utenti del provider di servizi che condividono una licenza fornita dal cliente possano soddisfare i requisiti MFA al momento dell'accesso alle organizzazioni dei clienti, il provider di servizi ha la responsabilità di configurare uno strumento di gestione degli account privilegiati o delle password aziendali. Il provider di servizi deve inoltre garantire che tutte le credenziali condivise siano memorizzate nello strumento e configurate in modo da funzionare con l'implementazione MFA dell'organizzazione del cliente.

Nella maggior parte dei casi, le comunicazioni e le indicazioni di Salesforce sulla soluzione per il caso d'uso di amministrazione partner verranno indirizzate ai provider di servizi Salesforce che dovranno coinvolgere i propri clienti nella realizzazione di quanto necessario a soddisfare il requisito MFA. Se un cliente ha contattato Salesforce per ottenere una proroga e questa è stata concessa, Salesforce comunicherà direttamente con tale cliente e con il relativo provider di servizi.
 

Come applicare la soluzione per il caso d'uso di amministrazione partner

Di seguito viene offerta una panoramica generale di come i provider di servizi Salesforce e i loro clienti possono implementare la soluzione per il caso d'uso di amministrazione partner.
 

  1. Il provider di servizi installa uno strumento di gestione degli account privilegiati o delle password aziendali.
  2. Il provider di servizi aggiunge tutte le credenziali condivise allo strumento di gestione degli account privilegiati o delle password aziendali.
  3. Il provider di servizi o il suo cliente abilita la MFA nell'organizzazione del cliente.
  4. I singoli utenti partner accedono a un account condiviso. Quando richiesto dall'organizzazione del cliente, registrano lo strumento di gestione degli account privilegiati o delle password aziendali come metodo di verifica MFA per l'account condiviso.  
  5. Per tutti gli accessi successivi dei singoli utenti del provider di servizi, lo strumento di gestione degli account privilegiati o delle password aziendali inserisce automaticamente il nome utente e la password dell'account condiviso, quindi l'utente immette il codice di accesso monouso generato dallo strumento per completare l'accesso.


La procedura specifica per l'applicazione della soluzione per il caso d'uso di amministrazione partner dipende dallo strumento effettivo che il provider di servizi Salesforce decide di utilizzare. Per una guida completa sull'installazione dello strumento e la configurazione dell'utilizzo della MFA, vedere la documentazione dello strumento.
 

Scadenza per l'implementazione della soluzione per il caso d'uso di amministrazione partner

Per adeguarsi al requisito MFA quando un cliente non è in grado di fornire una licenza univoca per ogni singolo utente del provider di servizi, il provider di servizi Salesforce deve implementare uno strumento di gestione degli account privilegiati o delle password aziendali e il provider di servizi o il cliente deve abilitare la MFA per l'organizzazione del cliente il più presto possibile.

Se è stata concessa una proroga per il caso d'uso di amministrazione partner, la soluzione trattata in questo documento deve essere implementata (o un numero sufficiente di nuove licenze deve essere acquistato) prima della fine della proroga. In base ai termini della proroga, dal momento in cui Salesforce avesse annunciato la disponibilità di una soluzione per il caso d'uso di amministrazione partner, i provider di servizi e i loro clienti avrebbero avuto un anno di tempo per implementare le rispettive parti della soluzione o mettersi in altro modo in condizione di soddisfare il requisito MFA. Salesforce ha annunciato pubblicamente la disponibilità della soluzione per il caso d'uso di amministrazione partner il 13 ottobre 2022 e tutte le proroghe concesse per questo caso d'uso, incluse quelle concesse dopo la data dell'annuncio, scadute il 15 novembre 2023

Al termine della proroga per il caso d'uso di amministrazione partner, non verrà concesso ulteriore tempo né altre proroghe e verranno applicate le tappe fondamentali dell'abilitazione automatica da parte di Salesforce.

Dove ottenere ulteriore assistenza

Consultare le domande frequenti alla fine di questo documento.

Se queste non sono utili, i provider di servizi dovranno utilizzare le seguenti risorse.

 

Domande frequenti

 

Come fanno i provider di servizi Salesforce e i loro clienti a capire se il caso d'uso di amministrazione partner li riguarda?

Se un provider di servizi condivide licenze fornite dal cliente per svolgere attività amministrative per l'organizzazione di produzione del cliente, si applica il caso d'uso di amministrazione partner. Queste attività includono implementazione, test, formazione, manutenzione ordinaria e altri tipi di assistenza.

Per avere la certezza, il cliente deve eseguire un audit per verificare se il suo provider di servizi condivide una licenza con risorse provider di servizi o cliente nell'organizzazione.
 

Uno strumento di gestione delle password proprietario del provider di servizi può fungere da soluzione per il caso d'uso di amministrazione partner?

Se un provider di servizi di un cliente utilizza uno strumento proprietario di gestione delle password, lo strumento deve supportare l'utilizzo della MFA per ciascun utente del provider di servizi che accede con una licenza condivisa. Se non è possibile configurare la MFA per la licenza condivisa, tale strumento proprietario non soddisfa il requisito MFA.

Uno strumento proprietario deve inoltre soddisfare gli altri requisiti specificati in Soluzione per soddisfare il requisito MFA per il caso d'uso di amministrazione partner.
 

Salesforce prevede di implementare o produrre in futuro una soluzione basata sul prodotto per il caso d'uso di amministrazione partner?

No, Salesforce non prevede di implementare una soluzione basata sul prodotto destinata alla MFA e al caso d'uso di amministrazione partner.
 

I provider di servizi e i loro clienti possono decidere di non utilizzare la MFA per il caso d'uso di amministrazione partner?

No. Ora che è disponibile una soluzione per il caso d'uso di amministrazione partner, i provider di servizi e i loro clienti devono soddisfare il requisito MFA utilizzando tale soluzione. In alternativa, il cliente può fornire al provider di servizi licenze univoche per ciascun utente del provider di servizi. Non esiste alcuna procedura o possibilità di eccezione per non aderire alla MFA per il caso d'uso di amministrazione partner.
 

L'organizzazione di un cliente usufruisce di una proroga per il caso d'uso di amministrazione partner. Quando scadrà questa proroga? Cosa succede quando termina la proroga?

In base ai termini della proroga, dal momento in cui Salesforce avesse annunciato la disponibilità di una soluzione per il caso d'uso di amministrazione partner, i provider di servizi Salesforce e i loro clienti avrebbero avuto un anno di tempo per implementare le rispettive parti della soluzione o mettersi in altro modo in condizione di soddisfare il requisito MFA. Abbiamo annunciato pubblicamente la soluzione per il caso d'uso di amministratore partner il 13 ottobre 2022. Tutte le proroghe concesse per il caso d'uso di amministratore partner scadono il 15 novembre 2023.

Ora che le estensioni dei casi d'uso dell'amministratore partner sono scadute, i service provider e i clienti interessati devono aver implementato la soluzione dei casi d'uso dell'amministratore partner pubblicata in questo documento o altrimenti conformarsi al requisito MFA tramite l'acquisto di licenze aggiuntive. Tutti gli utenti e le organizzazioni coperti dall'estensione sono ora soggetti al requisito MFA. Per i dettagli completi sul requisito MFA entrato in vigore il 1° febbraio 2022, vedere le domande frequenti sulla MFA.
 

Che cosa succede se un provider di servizi o un cliente non applica alcuna soluzione per il caso d'uso di amministrazione partner?

Se un provider di servizi o un cliente non applica una soluzione approvata per il caso d'uso di amministrazione partner, l'organizzazione del cliente risulterà non conforme al requisito contrattuale della MFA. L'organizzazione del cliente sarà soggetta alle tappe fondamentali dell'abilitazione automatica, quando queste si realizzeranno.

Se per l'organizzazione di un cliente è stata concessa una proroga per il caso d'uso di amministrazione partner, il provider di servizi e il suo cliente avevano tempo fino al 15 novembre 2023 per applicare la soluzione approvata ed evitare che l'organizzazione cliente risulti non conforme al requisito MFA.

Per procedere con la soluzione, vedere Soluzione per soddisfare il requisito MFA per il caso d'uso di amministrazione partner e Chi deve implementare la soluzione per il caso d'uso di amministrazione partner.
 

È possibile utilizzare la soluzione per il caso d'uso di amministrazione partner per soddisfare il requisito MFA per altre procedure di condivisione di licenze?

No. La soluzione per il caso d'uso di amministrazione partner è rigidamente limitata alle situazioni in cui un provider di servizi condivide licenze fornite dal cliente per eseguire attività amministrative nell'organizzazione del cliente per conto del cliente stesso. Se un cliente o un provider di servizi condivide licenze o accessi account per qualsiasi motivo diverso dal caso d'uso di amministrazione partner, commette una diretta violazione dell'Accordo Principale di Servizio di Salesforce (MSA). Le soluzioni trattate in questo documento non possono essere utilizzate per soddisfare il requisito MFA per tali procedure.

Ad esempio, non è consentito a un cliente di condividere nomi utente e password con un provider di servizi per permettere a quest'ultimo di accedere alla propria organizzazione per eseguire attività amministrative partner. Non è inoltre consentito a singoli utenti del provider di servizi di condividere licenze nell'organizzazione di gestione delle licenze (LMO) del provider di servizi della propria Organizzazione aziendale partner per amministrare l'organizzazione di un cliente.

I provider di servizi o i clienti che hanno bisogno di credenziali di accesso aggiuntive devono acquistare licenze aggiuntive.
 

Numero articolo Knowledge

000388982

 
Caricamento
Salesforce Help | Article