Loading

Häufig gestellte Fragen zur Salesforce Multi-Faktor-Authentifizierung

Veröffentlichungsdatum: Apr 22, 2025
Beschreibung

Das Vertrauen von Kunden hat bei Salesforce oberste Priorität. Die Bedrohungen nehmen weltweit zu. Es gibt immer mehr Arten von Angriffen, die ein Unternehmen lahmlegen und Verbraucher ausnutzen können. Als Schutz vor diesen Bedrohungstypen fordert Salesforce alle Kunden beim Zugreifen auf Salesforce-Produkte auf, die Multi-Faktor-Authentifizierung (MFA) zu verwenden. Die Multi-Faktor-Authentifizierung ist eine der einfachsten und wirkungsvollsten Methoden zur Verbesserung der Anmeldesicherheit sowie zum Schutz Ihres Unternehmens und Ihrer Daten vor Sicherheitsbedrohungen.

Verwenden Sie dieses Dokument, um die Richtlinien zu MFA-Anforderungen zu verstehen und sicherzustellen, dass Ihre Benutzer diese vertragliche Anforderung erfüllen. Anleitungen zum Konfigurieren von MFA für Ihr Salesforce-Produkt finden Sie im Abschnitt „MFA-Hilfe für Ihre Salesforce-Produkte“ auf der MFA-Kundensite.

Dieser Artikel wurde zuletzt aktualisiert am: 28. Juni 2024.

Lösung

Häufig gestellte Fragen (FAQ)

Anforderung zum Aktivieren der Multi-Faktor-Authentifizierung

Geltungsbereich für die Anforderung der Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung für direkte Anmeldungen bei Salesforce-Produkten

Multi-Faktor-Authentifizierung für SSO-Anmeldungen bei Salesforce-Produkten

Überprüfungsmethoden für die Multi-Faktor-Authentifizierung

Vorbereitung auf die MFA

Anleitung zur MFA-Anforderung für Salesforce-Partner/Serviceanbieter

Weitere Infos

 

Anforderung zum Aktivieren der Multi-Faktor-Authentifizierung

 

Was ist die Multi-Faktor-Authentifizierung und wie funktioniert sie?

Die MFA erhöht den Schutz von Benutzeraccounts vor häufigen Bedrohungen wie Phishing-Angriffen, Credential Stuffing und Account-Übernahmen. Damit wird Ihrem Anmeldeprozess eine weitere Sicherheitsebene hinzugefügt, indem Benutzer zur Eingabe zweier Nachweise (auch „Faktoren“ genannt) verpflichtet werden, um zu bestätigen, dass sie wirklich die Personen sind, als die sie sich ausgeben. Ein Faktor ist dem Benutzer bekannt, beispielsweise die Kombination aus Benutzername und Kennwort. Andere Faktoren sind Überprüfungsmethoden, die der Benutzer in seinem Besitz hat, z. B. eine Authentifizierungsanwendung oder ein Sicherheitsschlüssel. Ein bekanntes Beispiel aus der Praxis sind beispielsweise die beiden Faktoren, die zum Abheben von Bargeld am Geldautomaten erforderlich sind. Die Bankkarte haben Sie von Ihrer Bank erhalten und Ihre PIN ist Ihnen bekannt.

Je mehr unterschiedliche Typen von Authentifizierungsfaktoren mit dem Benutzerzugriff verknüpft sind, desto schwieriger wird es für Betrüger, sich Zugriff auf Ihre Salesforce-Umgebung zu verschaffen. Wenn ein Kennwortdiebstahl gelingt, ist es beispielsweise sehr unwahrscheinlich, dass der Angreifer auch den Code aus der Authentifizierungsanwendung des Benutzers errät bzw. hackt.

Wenn Sie mehr erfahren möchten, sehen Sie sich das Video How Multi-Factor Authentication Works to Protect Account Access (Funktionsweise der Multi-Faktor-Authentifizierung zum Schützen des Accountzugriffs) an.

Zurück nach oben

 

Was ist die MFA-Anforderung?

Alle internen Salesforce-Benutzer sind vertraglich verpflichtet, die MFA bei jeder Anmeldung über die Benutzeroberfläche bei Salesforce-Produkten (einschließlich Partnerlösungen) zu verwenden. Die Anforderung gilt gleichermaßen für direkte Anmeldungen mittels Salesforce-Benutzername und -Kennwort sowie für SSO-Anmeldungen (Single Sign-On).

Die Anforderung der Multi-Faktor-Authentifizierung trat am 1. Februar 2022 in Kraft. Die Anforderung ist in den Nutzungsbedingungen im Abschnitt zu den Mitteilungen und Lizenzen der Dokumentation zu Salesforce Trust und der Einhaltung von Vorschriften und im entsprechenden Salesforce-Benutzerhandbuch dokumentiert.

Für direkte Anmeldungen bei Salesforce-Produkten wird die MFA-Funktion ohne Aufpreis bereitgestellt. Für SSO-Anmeldungen können Sie beispielsweise den MFA-Service Ihres SSO-Anbieters verwenden.

Siehe auch:

Zurück nach oben

 

Warum verlangt Salesforce die Multi-Faktor-Authentifizierung?

Nichts ist Salesforce wichtiger als das Vertrauen und der Erfolg der Kunden. Da die Bedrohungen überall auf der Welt zunehmen, gibt es immer mehr Arten von Angriffen, die Unternehmen lahmlegen und Verbraucher ausnutzen können. 

Ein wichtiger Teil Ihrer Sicherheitsstrategie ist der Schutz des Zugriffs auf Ihre Salesforce-Benutzeraccounts. Benutzernamen und Kennwörter allein bieten keinen ausreichenden Schutz mehr vor Cyber-Angriffen. An dieser Stelle kommt die Multi-Faktor-Authentifizierung ins Spiel. Sie stellt eine der einfachsten und effektivsten Möglichkeiten dar, nicht autorisierten Accountzugriff zu verhindern und Ihre Daten sowie die Daten Ihrer Kunden zu schützen. Wir verlangen von unseren Kunden, dass sie die Multi-Faktor-Authentifizierung implementieren, um die Risiken zu minimieren, die von Bedrohungen wie Phishing-Angriffen, Credential Stuffing und kompromittierten Geräten ausgehen.

Zurück nach oben

 

Was hat Salesforce unternommen, damit Kunden die MFA-Anforderung erfüllen können?

Die MFA ist mit einer Ausnahme für alle Salesforce-Produkte ein fester Bestandteil des direkten Anmeldevorgangs. Wenn sich Benutzer mit ihrem Benutzernamen und Kennwort bei einem Salesforce-Produkt anmelden, werden sie außerdem aufgefordert, eine MFA-Verifizierungsmethode anzugeben. Unter Wie wirkt sich die Aktivierung der MFA auf meine Benutzer aus? finden Sie weitere Informationen.

Unter Was ist der aktuelle Plan zur Durchsetzung von MFA für Produkte, die auf der Salesforce Platform aufgebaut sind? finden Sie Informationen zu auf Salesforce Platform basierenden Produkten.

Hinweis: Benutzer, die Salesforce-Produkte über SSO aufrufen, sind von der von Salesforce bereitgestellten MFA-Funktion nicht betroffen. Aber denken Sie daran, dass die Multi-Faktor-Authentifizierung für alle Salesforce-Benutzer, die sich per SSO authentifizieren, vertraglich verpflichtend ist. Unter Erzwingt Salesforce die Multi-Faktor-Authentifizierung für SSO? finden Sie weitere Informationen.

Zurück nach oben

 

Wie können wir überprüfen, ob unsere Implementierung für die Multi-Faktor-Authentifizierung die Anforderung der Multi-Faktor-Authentifizierung erfüllt?

Wenn Sie überprüfen möchten, ob Sie eine Lösung für die Multi-Faktor-Authentifizierung verwenden, die die Anforderung erfüllt, lesen Sie die Nutzungsbedingungen im Abschnitt mit Hinweisen und Lizenzinformationen der Salesforce-Dokumentation zu Trust und der Einhaltung von Vorschriften und das anwendbare Salesforce-Benutzerhandbuch sowie die Details in diesen häufig gestellten Fragen.

Sie können auch die Prüfung der Anforderung der Multi-Faktor-Authentifizierung verwenden, die Sie durch einige Fragen führt, um zu erfahren, ob Ihre Implementierung die Anforderung erfüllt. Wenn das noch nicht ganz der Fall ist, finden Sie auf dieser Site auch die nächsten Schritte, die ausgeführt werden sollten.

Wenn Sie über ein IT- oder Cyber-Sicherheitsteam verfügen, empfiehlt es sich, dort Anweisungen einzuholen. Außerdem können Sie Ihre Fragen jederzeit in der Trailblazer Community-Gruppe "MFA – Getting Started" stellen.

Zurück nach oben

 

Muss zertifiziert werden, dass unsere Implementierung für die Multi-Faktor-Authentifizierung die Anforderung der Multi-Faktor-Authentifizierung erfüllt?

Salesforce verlangt nicht, dass Kunden die Einhaltung ihrer vertraglichen Verpflichtungen zertifizieren müssen. Gemäß dieser Praxis müssen Kunden keine formale Zertifizierung oder einen anderen Nachweis gegenüber Salesforce erbringen, dass sie die vertragliche Anforderung der Multi-Faktor-Authentifizierung erfüllen.

Zurück nach oben

 

Was passiert, wenn die MFA-Anforderung nicht erfüllt wird?

Die MFA-Anforderung trat am 1. Februar 2022 in Kraft. Seitdem hat Salesforce die MFA für direkte Anmeldungen bei Salesforce-Produkten aktiviert und erzwungen. Wenn Ihre Produkte die MFA-Anforderung nicht erfüllen, weil Sie die MFA für SSO-Anmeldungen nicht implementiert bzw. die Salesforce-MFA-Funktion Ihrer Produkte deaktiviert haben:

  • Halten Sie Ihre unter dem Main Services Agreement (MSA) geregelten vertraglichen Verpflichtungen nicht ein. Diese umfassen die MFA-Nutzungsbedingungen im Abschnitt zu den Mitteilungen und Lizenzen der Dokumentation zu Salesforce Trust und der Einhaltung von Vorschriften.

  • Tragen Sie die Risiken, die mit der Nicht-Verwendung der MFA beim Zugriff auf Salesforce-Produkte einhergehen.

Sie sollten mit Ihrer Rechtsabteilung Rücksprache halten, um die Auswirkungen der nicht erfolgten Verwendung der Multi-Faktor-Authentifizierung zu verstehen. Sie können sich auch an Ihren Ansprechpartner bei Salesforce wenden, wenn Sie sich nicht sicher sind, wie Sie diese Anforderung erfüllen können. Wir arbeiten zusammen mit Ihnen an einer Lösung.

Zurück nach oben

 

Was ist der aktuelle Plan zur Durchsetzung von MFA für Produkte, die auf der Salesforce Platform aufgebaut sind?

Datenschutz ist eine gemeinsame Aufgabe, bei der Salesforce die Sicherheit in seine Produkte integriert und die Kunden die bereitgestellten Ressourcen und Tools – einschließlich der Multi-Faktor-Authentifizierung – nutzen, um die Sicherheit ihrer Salesforce-Organisationen weiter zu stärken. Dank der Partnerschaft mit unseren Kunden und ihrem Engagement für den Schutz des Zugriffs auf Benutzeraccounts war das Programm zur automatischen Aktivierung von MFA äußerst erfolgreich.

Aufgrund der hohen MFA-Akzeptanz für die auf Salesforce Platform basierenden Produkte und aus Respekt für die wertvolle Zeit und die Ressourcen unserer Kunden erfolgte der Umstieg auf ein Benachrichtigungsmodell, statt die MFA technisch zu erzwingen. Wir sind uns bewusst, dass es für Salesforce-Administratoren hilfreich sein könnte, die Option beizubehalten, MFA zu Test- oder Konfigurationszwecken kurzzeitig zu deaktivieren. Kunden sollten jedoch bedenken, dass sie mit der Deaktivierung von MFA ihre vertragliche Verpflichtung zur Nutzung von MFA verletzen, und sie daher so bald wie möglich wieder aktivieren.

Weitere Informationen zu Benachrichtigungen bei fehlender MFA-Konformität finden Sie in diesem Versionshinweis.

Was bedeutet diese Änderung für die MFA-Anforderung?
Die vertragliche Anforderung zur Verwendung von MFA bleibt bestehen. Die MFA-Nutzung wird in allen Salesforce-Organisationen verfolgt. Bei einem Rückgang der Durchsetzungsquote der Multi-Faktor-Authentifizierung für Produkte, die auf der Salesforce Platform basieren, nehmen wir das Programm zur technischen Erzwingung von MFA wieder auf – selbstverständlich nach vorheriger Ankündigung!

Beachten Sie, dass es keine Änderungen an der Erzwingung der Multi-Faktor-Authentifizierung für andere Salesforce-Produkte gibt.

Zurück nach oben

 

Als potenzieller oder neuer Kunde, wie gilt die MFA-Anforderung für meine Salesforce-Produkte?

Die MFA ist für alle Salesforce-Produkte automatisch ein Bestandteil des direkten Anmeldevorgangs. Wenn Sie ein Salesforce-Produkt erwerben, ist die MFA jedes Mal erforderlich, wenn Benutzer sich direkt bei der Benutzeroberfläche Ihrer Produktionsumgebung anmelden. Nach Eingabe ihres Benutzernamens und Kennworts werden die Benutzer aufgefordert, ihre Identität mit einer zusätzlichen Überprüfungsmethode zu bestätigen. Bei der ersten Anmeldung werden die Benutzer aufgefordert, eine Überprüfungsmethode auszuwählen und zu registrieren. Anweisungen auf dem Bildschirm führen die Benutzer durch die Registrierungsschritte. Unter Wie wirkt sich die Aktivierung der MFA auf meine Benutzer aus? finden Sie weitere Informationen. Weitere Informationen über die Methoden, die Ihren Benutzern zur Verfügung stehen, finden Sie außerdem unter Überprüfungsmethoden für die Multi-Faktor-Authentifizierung.

Wenn Sie Ihre Salesforce-Produkte in Single Sign-On (SSO) integrieren möchten, stellen Sie sicher, dass die MFA in Ihrer Implementierung enthalten ist. Sie können zum Beispiel den MFA-Service Ihres SSO-Anbieters verwenden. Für Produkte, die auf der Salesforce Platform basieren, können Sie alternativ die in Salesforce bereitgestellte kostenlose Funktion für die Multi-Faktor-Authentifizierung verwenden, anstatt MFA auf SSO-Ebene zu aktivieren. Einzelheiten finden Sie in der Salesforce-Hilfe unter Verwenden der Multi-Faktor-Authentifizierung von Salesforce für SSO-Anmeldungen.

Zurück nach oben

 

Geltungsbereich für die Anforderung der Multi-Faktor-Authentifizierung

 

Für welche Benutzer-, Anmelde- und Umgebungstypen ist die Multi-Faktor-Authentifizierung erforderlich?

Kunden können die MFA-Anforderungen erfüllen, indem sie sicherstellen, dass die Multi-Faktor-Authentifizierung für alle internen Benutzer aktiviert ist, die sich über die Benutzeroberfläche bei Salesforce-Produkten (einschließlich Partnerlösungen) anmelden. In den folgenden Tabellen finden Sie alle Details dazu, inwiefern Benutzertypen, Anmeldetypen und Umgebungen von der Anforderung betroffen sind.

Anforderungen der Multi-Faktor-Authentifizierung für Benutzertypen

Benutzertyp

MFA für die Anmeldung erforderlich?

Hinweise

Interne Benutzer

Ja

Ein interner Benutzer ist jeder, der über eine Standardbenutzerlizenz verfügt und auf die Benutzeroberfläche Ihrer Salesforce-Organisation zugreifen kann, einschließlich Administratoren, Entwicklern, privilegierter Benutzer, Standardbenutzern und Benutzern, die berechtigt sind, im Namen Ihres Unternehmens zu handeln, z. B. Partnern und Drittanbieteragenturen.

Externe Benutzer

Nein

Externe Benutzer können nur auf die Experience Cloud-Sites Ihres Unternehmens, E-Commerce-Sites oder Storefronts, Hilfeportale, Mitarbeiter-Communities usw. zugreifen. Für Produkte, die auf der Salesforce Platform basieren, ist ein externer Benutzer jeder, der über eine Community-, Employee Community- oder External Identity-Lizenz verfügt. Weitere Informationen finden Sie unter Ist MFA für Experience Cloud-Sites von Kunden und Partnern erforderlich?

Tableau Cloud-Kunden: MFA ist nicht erforderlich für externe Tableau Cloud-Benutzer, die Visualisierungen in eingebetteten Kontexten nutzen, oder für externe Benutzer der Tableau Cloud-Site eines Kunden.

Beachten Sie, dass einige lokale Rechtsprechungen oder Branchen strengere regulatorische Anforderungen im Hinblick auf die Multi-Faktor-Authentifizierung haben, was bedeuten kann, dass die Multi-Faktor-Authentifizierung für diese Benutzertypen erforderlich ist.

Benutzer von Chatter External, Chatter Free

Nein

 

Benutzer von "Nur Chatter" (Chatter Plus)

Ja

 

 

Anforderungen der Multi-Faktor-Authentifizierung für Anmeldetypen und Authentifizierungsmethoden

Anmeldetyp/Authentifizierungsmethode

MFA erforderlich?

Hinweise

Direkte (menschliche) Anmeldungen bei der Benutzeroberfläche

Ja

Gilt für alle Salesforce-Oberflächen, einschließlich mobiler Anwendungen und Clientanwendungen wie Data Loader. (Beachten Sie, dass Data Loader zwei Anmeldeoptionen aufweist. Wenn die Multi-Faktor-Authentifizierung aktiviert ist, generiert die OAuth-Option (eine Benutzeroberflächenanmeldung) eine Abfrage für die Multi-Faktor-Authentifizierung, während dies bei der Kennwortauthentifizierung (einer API-Anmeldung) nicht der Fall ist. Die OAuth-Option von Data Loader unterstützt keine Sicherheitsschlüssel oder Überprüfungsmethoden mithilfe integrierter Authentifizierungsverfahren.)

Die MFA ist erforderlich, wenn sich Administratoren oder andere Personen bei Accounts von Integrationsbenutzern (auch API-Benutzer genannt) anmelden. Unter Ist die Multi-Faktor-Authentifizierung für meine Integrationsbenutzer erforderlich? finden Sie weitere Informationen.

Außerdem finden Sie weitere Informationen unter Multi-Faktor-Authentifizierung für direkte Anmeldungen bei Salesforce-Produkten.

SSO (SAML, OpenID Connect)

Ja

Weitere Informationen finden Sie im Abschnitt Multi-Faktor-Authentifizierung für SSO-Anmeldungen bei Salesforce-Produkten.

Anmeldung von Accounts für automatisierte Tests und RPA bei der Benutzeroberfläche

Nein

Weitere Informationen finden Sie unter: Ist die Multi-Faktor-Authentifizierung für RPA oder Accounts erforderlich, über die automatisierte Tests durchgeführt werden?

Systemintegrationsanmeldungen über die API

Nein

Unter Ist die Multi-Faktor-Authentifizierung für meine Integrationsbenutzer erforderlich? finden Sie weitere Informationen.

Geräteaktivierung/Identitätsüberprüfung

Ja

Die Geräteaktivierung ist nicht dasselbe wie die Multi-Faktor-Authentifizierung und sie erfüllt die Anforderung der Multi-Faktor-Authentifizierung nicht. Salesforce-Produkte mit Geräteaktivierung müssen bei jeder Anmeldung die Multi-Faktor-Authentifizierung verlangen. Weitere Informationen finden Sie unter: Was ist die Geräteaktivierung und wie hängt sie mit der Multi-Faktor-Authentifizierung zusammen?

Delegierte Authentifizierung

Ja

 

Risikobasierte/Kontinuierliche Authentifizierung

Möglicherweise

Einzelheiten erfahren Sie im Abschnitt Erfüllt die risikobasierte/kontinuierliche Authentifizierung die Anforderung der Multi-Faktor-Authentifizierung?

Vertrauenswürdige Firmengeräte/Gerätezertifikate

Möglicherweise

Einzelheiten erfahren Sie im Abschnitt Erfüllen vertrauenswürdige Firmengeräte die Anforderung der Multi-Faktor-Authentifizierung?.

Vertrauenswürdige Netzwerke

Möglicherweise

Einzelheiten erfahren Sie im Abschnitt Wird die Anforderung der Multi-Faktor-Authentifizierung durch die Beschränkung von Anmeldungen auf vertrauenswürdige Netzwerke erfüllt?.

Benutzerzertifikate

Möglicherweise

Einzelheiten erfahren Sie im Abschnitt Erfüllen Benutzerzertifikate die Anforderung der Multi-Faktor-Authentifizierung?.

 

Anforderungen der Multi-Faktor-Authentifizierung für Organisations- und Mandantentypen

Organisations-/Mandantentyp

MFA erforderlich?

Hinweise

Produktionsumgebungen

Ja

 

Experience Cloud-Sites,
E-Commerce-Sites, Hilfeportale, Mitarbeiter-Communities

Nein

Weitere Informationen finden Sie unter Ist die Multi-Faktor-Authentifizierung für Experience Cloud-Sites von Kunden und Partnern erforderlich?

Sandbox-Umgebungen (Teilkopie, vollständig, Developer, Pro)

Siehe Hinweise

Unter Ist die Multi-Faktor-Authentifizierung für Sandbox-Umgebungen erforderlich? erfahren Sie, wie die Anforderung der Multi-Faktor-Authentifizierung auf interne Testumgebungen angewendet wird.

Testorganisationen

Nein

 

Umgebungen mit Developer Edition und Partner Developer Edition

Siehe Hinweise

Die Anforderung der Multi-Faktor-Authentifizierung gilt für diese Umgebungen nicht. Es wird jedoch dringend empfohlen, die Multi-Faktor-Authentifizierung für DE-Organisationen zu aktivieren, die Kundendaten, geistiges Eigentum oder andere Salesforce-Produktionsdaten enthalten.

Enablement-Sites (myTrailhead)

Möglicherweise

Wenn Sie Salesforce Identity for Enablement als Authentifizierungsanbieter für Ihre Enablement-Site verwenden, ist die Multi-Faktor-Authentifizierung erforderlich. Nachdem die Multi-Faktor-Authentifizierung für Ihre Salesforce-Organisation aktiviert wurde, werden Benutzer, die auf Ihre Enablement-Site zugreifen, bei der Anmeldung automatisch aufgefordert, die Multi-Faktor-Authentifizierung durchzuführen.

Wenn Sie einen Trailblazer-Account als Authentifizierungsanbieter für Ihre Enablement-Site verwenden, ist die Multi-Faktor-Authentifizierung nicht erforderlich.

Trailhead Playgrounds

Nein

 

Testversionen

Siehe Hinweise

Für Testversionen gilt eine Karenzzeit, bevor die Anforderung der Multi-Faktor-Authentifizierung greift. Unter Ist die Multi-Faktor-Authentifizierung für Testversionen von Produkten erforderlich? finden Sie weitere Informationen.

Zurück nach oben

 

Ist die MFA für Salesforce-Produkte erforderlich, über die per Single Sign-On (SSO) zugegriffen wird?

Ja, die Multi-Faktor-Authentifizierung gilt für alle Benutzer, die auf die Benutzeroberfläche eines Salesforce-Produkts zugreifen. Dabei spielt es keine Rolle, ob die Anmeldung direkt oder über SSO erfolgt. Wenn alle Ihre Salesforce-Produkte in die SSO-Lösung integriert sind, stellen Sie sicher, dass die Multi-Faktor-Authentifizierung für all Ihre Salesforce-Benutzer aktiviert ist. Sie können zum Beispiel den MFA-Service Ihres SSO-Anbieters verwenden. Für Produkte, die auf der Salesforce Platform basieren, können Sie alternativ die in Salesforce bereitgestellte kostenlose Funktion für die Multi-Faktor-Authentifizierung verwenden, anstatt MFA auf SSO-Ebene zu aktivieren. Weitere Informationen finden Sie unter Verwendung von Salesforce Multi-Faktor-Authentifizierung für SSO-Anmeldungen in der Salesforce-Hilfe.

Kunden sind komplett für den Schutz von Accounts verantwortlich, auf die über ihren SSO-Identitätsanbieter (IdP) zugegriffen wird. Ein Identitätsanbieter ist ein vertrauenswürdiges System, das digitale Identitäten speichert und verwaltet und Ihre Benutzer authentifiziert.

Siehe auch:

Zurück nach oben

 

Ist die Multi-Faktor-Authentifizierung für Experience Cloud-Sites von Kunden und Partnern erforderlich?

MFA ist nicht erforderlich für die Experience Cloud-Sites Ihres Unternehmens, Mitarbeiter-Communities, Hilfeportale oder E-Commerce-Sites/Storefronts. Sie müssen MFA für externe Benutzer, die auf diese Sites zugreifen, nicht aktivieren. Sie können externe Benutzer anhand der folgenden Lizenztypen identifizieren:

  • Community-Lizenzen

  • Externe Identitätslizenzen

  • Mitarbeiter-Community-Lizenzen (entweder eine Salesforce Platform-Lizenz gepaart mit einer Unternehmens-Community-Lizenz für Lightning Platform-Berechtigungssatz oder eine ältere Unternehmens-Community-Lizenz)

Die Multi-Faktor-Authentifizierung ist nicht erforderlich für externe Benutzer, die von Salesforce oder einem Salesforce-Partner Nicht-Community-Lizenzen ausschließlich zum Zweck des Zugriffs auf Mitarbeiter- oder andere Communities erhalten haben.

Beachten Sie, dass die Multi-Faktor-Authentifizierung für interne Benutzer (d. h. alle Personen mit einer Standardbenutzerlizenz) erforderlich ist, die sich bei der Mitarbeiter-Community Ihres Unternehmens oder anderen Experience Cloud-Sites anmelden.

Zurück nach oben

 

Gilt die Anforderung der Multi-Faktor-Authentifizierung auch für Anmeldungen bei mobilen Anwendungen und Desktopanwendungen von Salesforce?

Ja. Die Anforderung der Multi-Faktor-Authentifizierung gilt für alle Salesforce-, benutzerdefinierten, AppExchange- und Partneranwendungen für Mobilgeräte und Desktops, auf die über die Benutzeroberfläche zugegriffen wird. Dazu gehören die mobile Salesforce-Anwendung, die mobile Marketing Cloud-Anwendung, Salesforce Inbox, Quip und Integrationen in Gmail™ und Outlook®.

Hinweis: Die Anmeldungen bei mobilen Salesforce-Anwendungen werden unter "Setup" auf der Seite Anmeldeverlauf als Anmeldungen des Typs "Remote Access 2.0" angezeigt. Nachfolgende Anwendungsnutzungen werden oft mithilfe des Austauschs von Token über API-Aufrufe verarbeitet. Die Benutzer von mobilen Anwendungen sind jedoch keine API-Benutzer. Die Anmeldung bei mobilen Anwendungen erfordert eine Multi-Faktor-Authentifizierung, da sich die Benutzer bei der Benutzeroberfläche anmelden.

Zurück nach oben

 

Ist die Multi-Faktor-Authentifizierung für Sandbox-Umgebungen erforderlich?

Ob die Multi-Faktor-Authentifizierung für Ihre Sandbox-Umgebungen erforderlich ist, hängt vom jeweiligen Salesforce-Produkt ab.

  • Für Produkte, die auf der Salesforce Platform basieren:

    • Sandbox-Umgebungen sind aktuell von der MFA-Anforderung ausgenommen. Die Anforderung kann künftig gelten.

    • Auch wenn MFA für Sandbox-Umgebungen derzeit nicht erforderlich ist, wird die Verwendung von MFA für diese Umgebungen dringend empfohlen, wenn sie geistiges Eigentum, Kundendaten oder andere Salesforce-Produktionsdaten enthalten.

  • Für B2C Commerce und Marketing Cloud Intelligence: MFA ist für Sandbox-Umgebungen erforderlich. Diese Umgebungen sind betroffen, sobald MFA für B2C Commerce- und Marketing Cloud Intelligence-Kunden durchgesetzt wird.

  • Für Produkte ohne formale Sandbox-Umgebungen, wie Marketing Cloud Engagement und Tableau Cloud, ist die Multi-Faktor-Authentifizierung auch dann erforderlich, wenn Sie die Mandanten, Organisationen oder Instanzen nur zu Testzwecken verwenden.

Zurück nach oben

 

Ist die Multi-Faktor-Authentifizierung für meine Integrationsbenutzer erforderlich?

Die MFA-Anforderung gilt nicht für Systemintegrationsanmeldungen über die API.

Hinweise:

  • Die MFA ist erforderlich, wenn sich Administratoren oder andere Personen bei Accounts von Integrationsbenutzern (auch API-Benutzer genannt) anmelden, selbst wenn es nur um die Ersteinrichtung des Benutzers oder um gelegentliche Wartungsaufgaben wie das Ändern von Kennwörtern oder das Aktualisieren von Sicherheitstoken geht. Diese Benutzertypen besitzen oft viele Rechte, daher ist es wichtig, den menschlichen Zugriff auf diese Accounts durch MFA zu schützen.

  • Für Produkte, die auf der Salesforce Platform basieren: Wenn eine Organisation ausschließlich zu Integrationszwecken verwendet wird, wirkt sich die Einstellung Multi-Faktor-Authentifizierung (MFA) für alle direkten Anmeldungen auf der Benutzeroberfläche Ihrer Salesforce-Organisation anfordern nicht auf die Vorgänge Ihrer Organisation aus. Es ist sicher und empfehlenswert, diese Einstellung aktiviert zu lassen.

Zurück nach oben

 

Ist die Multi-Faktor-Authentifizierung für RPA oder Accounts erforderlich, über die automatisierte Tests durchgeführt werden?

Nein, bei Accounts für Testautomatisierungstools, wie Selenium™, Cucumber™ oder Appium®, und RPA-Systeme (Robotic Process Automation), wie Automation Anywhere®, ist die Multi-Faktor-Authentifizierung nicht erforderlich. Bei diesen Arten von Accounts ist das Phishing-Risiko eher gering. Treffen Sie jedoch entsprechende Sicherheitsvorkehrungen im Hinblick auf die Anmeldeinformationen für diese Accounts, um zu verhindern, dass Angreifer damit Zugriff auf Ihre Salesforce-Umgebungen erlangen. Falls Ihre RPA oder Testtools die Automatisierung der Multi-Faktor-Authentifizierung mit zeitbasierten Einmal-Kenncodes (Time-based one-time passcode, TOTP) bei der Anmeldung unterstützen, sollten Sie das nutzen. Eine weitere Möglichkeit wäre, die Anmeldeinformationen für den Account über ein PAM-System zu verwalten.

Siehe auch:

Zurück nach oben

 

Erfüllt die risikobasierte/kontinuierliche Authentifizierung die Anforderung der Multi-Faktor-Authentifizierung?

Bei der risikobasierten Authentifizierung, die auch als adaptive Authentifizierung oder CARTA (Continuous Adaptive Risk and Trust Assessment) bezeichnet wird, handelt es sich um ein Authentifizierungssystem, das kontinuierlich das mit einem Benutzer verbundene Risiko bewertet, indem mehrere vom Benutzer stammende Signale sowie das Gerät des Benutzers überwacht werden und wie und wann der Benutzer auf Services zugreift. Wenn es das Risikoniveau in einer bestimmten Situation rechtfertigt, verlangt der Identitätsanbieter oder der Authentifizierungsdienst automatisch, dass der Benutzer zusätzliche Sicherheitsabfragen erfüllt. Weitere Informationen finden Sie in diesem Artikel.

Wenn Sie bereits ein risikobasiertes Authentifizierungssystem in Ihre SSO-Lösung integriert haben, erfüllt Ihre Implementierung die Anforderung der Multi-Faktor-Authentifizierung. Wenn Sie diese Art der Lösung in Betracht ziehen möchten, können Sie mit einer Vielzahl von Technologieanbietern zusammenarbeiten.

Siehe auch:

Zurück nach oben

 

Erfüllen vertrauenswürdige Firmengeräte die Anforderung der Multi-Faktor-Authentifizierung?

Vertrauenswürdige Firmengeräte mit Zertifikaten, die von Services wie Active Directory oder Mobile Device Management (MDM) ausgestellt wurden, erfüllen die Anforderung der Multi-Faktor-Authentifizierung selbst nicht, da Gerätezertifikate ausgespäht und von jemandem mit Zugriff auf das Gerät verwendet werden können.

Wenn Sie Gerätezertifikate für den Benutzerzugriff verwenden, sollten Sie die Multi-Faktor-Authentifizierung für Ihren SSO-Identitätsanbieter oder Ihre Salesforce-Produkte aktivieren. Wenn dies nicht möglich ist, können Sie der MFA-Anforderung trotzdem gerecht werden, indem Sie die folgenden beiden Bedingungen für SSO oder direkte Anmeldungen erfüllen:

  • Benutzer müssen sich über vertrauenswürdige Firmengeräte anmelden, für die ein Gerätezertifikat ausgestellt wurde und die durch eine Geräteverwaltungslösung verwaltet werden, außerdem gilt:

  • Vertrauenswürdige Geräte werden nur in einem vertrauenswürdigen Netzwerk verwendet, beispielsweise in einem Unternehmensnetzwerk, auf das vom Büro aus zugegriffen wird, oder in einer vom Unternehmen bereitgestellten sicheren Netzwerkzugriffslösung wie VPN oder einem Zero-Trust-Netzwerkzugriffsprodukt.


Außerdem sollten Sie sich an die folgenden guten IT-Hygienepraktiken halten und Endpunktsicherheitssoftware wie Windows Defender oder CrowdStrike auf vertrauenswürdigen Geräten aktivieren.

Siehe auch:

Zurück nach oben

 

Wird die Anforderung der Multi-Faktor-Authentifizierung durch die Beschränkung von Anmeldungen auf vertrauenswürdige Netzwerke erfüllt?

Ein vertrauenswürdiges Netzwerk allein reicht nicht aus, um der Anforderung der Multi-Faktor-Authentifizierung gerecht zu werden. Wenn sich Benutzer in einem vertrauenswürdigen Netzwerk befinden müssen, um auf SSO zuzugreifen, sollten Sie die Multi-Faktor-Authentifizierung für Ihren SSO-Identitätsanbieter aktivieren. Wenn Ihr Salesforce-Produkt die Verwendung von IP-Zulassungslisten, vertrauenswürdigen IP-Bereichen oder IP-Bereichen für die Anmeldung zur Steuerung direkter Anmeldungen unterstützt, wird empfohlen, die Funktionalität der Multi-Faktor-Authentifizierung Ihres Produkts zu aktivieren, um die Anforderung der Multi-Faktor-Authentifizierung zu erfüllen.

Wenn dies jedoch nicht möglich ist, können Sie die MFA-Anforderung erfüllen, indem Sie den folgenden zwei Bedingungen für SSO oder direkte Anmeldungen nachkommen:

  • Benutzer müssen sich über vertrauenswürdige Firmengeräte anmelden, für die ein Gerätezertifikat ausgestellt wurde und die durch eine Geräteverwaltungslösung verwaltet werden, außerdem gilt:

  • Vertrauenswürdige Geräte werden nur in einem vertrauenswürdigen Netzwerk verwendet, beispielsweise in einem Unternehmensnetzwerk, auf das vom Büro aus zugegriffen wird, oder in einer vom Unternehmen bereitgestellten sicheren Netzwerkzugriffslösung wie VPN oder einem Zero-Trust-Netzwerkzugriffsprodukt.


Außerdem sollten Sie sich an die folgenden guten IT-Hygienepraktiken halten und Endpunktsicherheitssoftware wie Windows Defender oder CrowdStrike auf vertrauenswürdigen Geräten verwenden.

Siehe auch:

Zurück nach oben

 

Erfüllt die Nutzung des VPN- oder Zero Trust-Netzwerkzugriffs die MFA-Anforderung?

Eine Lösung für den sicheren Netzwerkzugriff, etwa ein VPN- oder Zero-Trust-Netzwerkzugriffsprodukt, allein reicht nicht aus, um der MFA-Anforderung gerecht zu werden. Wenn die Nutzung der MFA für SSO oder direkte Anmeldungen nicht möglich ist, können Kunden der MFA-Anforderung gerecht werden, indem für den Zugriff auf Salesforce-Produkte die Nutzung vertrauenswürdige Netzwerke und vertrauenswürdiger Geräte erzwungen wird.
Wenn ein Benutzer über eine Netzwerkzugriffstechnologie, etwa ein VPN- oder Zero-Trust-Netzwerkzugriffsprodukt, eine Verbindung herstellt, erfüllt er die Kriterien dahingehend, dass er sich in einem vertrauenswürdigen Netzwerk befindet. Zur Erfüllung des Kriteriums, ein vertrauenswürdiges Gerät zu verwenden, müssen Sie:

  • den Zugriff für das vertrauenswürdige Netzwerk auf Geräte beschränken, die vom Unternehmen verwaltet werden

  • oder, wenn Sie nicht verwaltete Geräte in Ihrem Unternehmensnetzwerk zulassen, den Benutzer schützen, indem Sie die Multi-Faktor-Authentifizierung für den Netzwerkzugriff erforderlich machen bzw. ein risikobasiertes/kontinuierliches Authentifizierungssystem verwenden.


Wenn es nicht möglich ist, eine Kombination aus vertrauenswürdigen Geräten und vertrauenswürdigen Netzwerken zu verwenden, können Sie die MFA-Anforderung erfüllen, indem Sie die MFA für Ihren SSO-Identitätsanbieter oder für Ihre Salesforce-Produkte aktivieren.

Siehe auch:

Zurück nach oben

 

Erfüllen Benutzerzertifikate die Anforderung der Multi-Faktor-Authentifizierung?

Wenn Sie die zertifikatbasierte Authentifizierung für Ihre Salesforce-Organisation verwenden oder wenn Ihre SSO-Implementierung Benutzerzertifikate anstelle von Benutzernamen und Kennwörtern verwendet, erfüllen Sie die Anforderung der Multi-Faktor-Authentifizierung nicht.

Damit die Anforderung erfüllt ist, sollten Sie die Multi-Faktor-Authentifizierung für Ihre Salesforce-Produkte oder für Ihren SSO-Identitätsanbieter aktivieren. Aber wenn dies nicht möglich ist, können Sie die Multi-Faktor-Authentifizierung erreichen und der Anforderung gerecht werden, indem Sie Ihren Zertifikatsdienst so konfigurieren, dass eine PIN erforderlich ist, bevor Benutzer ein Benutzerzertifikat auswählen oder erhalten können (z. B. beim Anmelden mit einer PIV- oder CAC-Karte).

Siehe auch:

Zurück nach oben

 

Kann ein Kennwort-Manager anstelle der MFA verwendet werden?

Ein Kennwort-Manager spielt bei Ihrer Defense-in-Depth-Strategie eine wichtige Rollen, aber er stellt keinen Ersatz für die Multi-Faktor-Authentifizierung dar. Sie können diesen Tooltyp verwenden, um sicherzustellen, dass Benutzer sichere und schwer zu erratende Kennwörter verwenden, Kennwörter nicht erneut verwenden und Kennwörter nach einem empfohlenen Zeitplan ändern. Aber Kennwörter – selbst sichere – bieten nicht genug Schutz vor unautorisiertem Accountzugriff, da sie durch häufige Bedrohungen wie Phishing-Angriffe, Credential-Stuffing und Malware gefährdet sind. Kennwort-Manager bieten nicht die höhere Anmeldesicherheit, die Sie erhalten, wenn Sie über die Multi-Faktor-Authentifizierung zwei oder mehr Authentifizierungsfaktoren verlangen.

Zurück nach oben

 

Ist die Multi-Faktor-Authentifizierung für Testversionen von Produkten erforderlich?

Für Testversionen von Salesforce-Produkten gilt eine Karenzzeit, bevor die Anforderung der Multi-Faktor-Authentifizierung greift. Wenn die Testversion verlängert wird oder eine Laufzeit von mehr als 45 Tagen hat, muss die Multi-Faktor-Authentifizierung ab dem 45. Tag für alle Benutzer in der Umgebung aktiviert werden. Wenn eine Testversion in die Produktion überführt wird, wird Multi-Faktor-Authentifizierung automatisch für direkte Anmeldungen aktiviert, und alle Benutzer müssen zusätzlich zu ihrem Benutzernamen und Kennwort eine Verifizierungsmethode angeben.

Zurück nach oben

 

Gibt es Produkte, die von der Anforderung der Multi-Faktor-Authentifizierung ausgeschlossen sind?

Ja. Salesforce verlangt die Multi-Faktor-Authentifizierung bei den folgenden lokalen Produkten nicht:

  • Lokale Edition von MuleSoft Anypoint Platform.

  • Lokale Versionen von Tableau Server und Tableau Public. Zusätzlich sind Tableau Desktop, Tableau Prep, Tableau Content Migration Tool (CMT) und Tableau Resource Monitoring Tool (RMT) ausgeschlossen, sofern keine Verbindung mit Tableau Cloud besteht.

Zurück nach oben

 

Gilt die Anforderung der Multi-Faktor-Authentifizierung, wenn ich über ein Salesforce-Abonnement bei einem Partner verfüge?

Wenn Sie Ihr(e) Salesforce-Abonnement(s) von einem Salesforce-Reseller oder OEM-Partner erworben haben, müssen Sie die Multi-Faktor-Authentifizierung dennoch für Ihre Benutzer aktivieren. Sie können sich an den Salesforce-Reseller oder OEM-Partner wenden, um weitere Informationen zur Anforderung der Multi-Faktor-Authentifizierung zu erhalten.

Zurück nach oben

 

Ist die Multi-Faktor-Authentifizierung für das Umfeldzentrum erforderlich?

(Dieses Thema bezieht sich nur auf Produkte, die auf der Salesforce Platform basieren).

Die MFA ist für alle Anmeldungen beim Umfeldzentrum erforderlich, die zu einer Authentifizierung in einer Produktionsorganisation führen.

Die MFA-Anforderung gilt nicht für die Developer Edition, die Partner Developer Edition oder Testorganisationen. Wenn Sie also das Umfeldzentrum für den Zugriff auf diesen Umgebungstyp verwenden, ist MFA nicht erforderlich.

Zurück nach oben

 

Kann die Multi-Faktor-Authentifizierung auch nur für privilegierte Benutzer aktiviert werden?

Damit Sie der Anforderung der Multi-Faktor-Authentifizierung gerecht werden, müssen alle internen Benutzer, die sich über die Benutzeroberfläche bei Salesforce-Produkten anmelden (einschließlich Partner-Lösungen), die Multi-Faktor-Authentifizierung verwenden. Die MFA für Administratoren und berechtigte Benutzer ist Ihre oberste Priorität, da diese Benutzertypen über Berechtigungstypen verfügen, die ihre Accounts zu beliebten Zielen machen. Das Risiko ist höher, wenn ein Angreifer Zugriff auf diese Arten von Accounts erhält.

Zurück nach oben

 

Muss für alle unsere Salesforce-Benutzer die gleiche MFA-Lösung verwendet werden?

Der entscheidende Punkt bei der erforderlichen Multi-Faktor-Authentifizierung ist, dass alle Ihre Salesforce-Benutzer bei jeder Anmeldung zusätzlich zu ihrem Kennwort eine sichere Überprüfungsmethode angeben müssen, wenn sie auf Salesforce-Produkte zugreifen möchten. Dies können Sie bei Bedarf durch die Bereitstellung mehrerer MFA-Lösungen erreichen. Wenn Sie beispielsweise über SSO- und Nicht-SSO-Benutzer verfügen, stellen Sie sicher, dass die MFA für Ihre SSO-Implementierung aktiviert ist, zusätzlich zur Verwendung Ihrer MFA-Funktion Ihres Salesforce-Produkts für Benutzer, die sich direkt anmelden.

Zurück nach oben

 

Multi-Faktor-Authentifizierung für direkte Anmeldungen bei Salesforce-Produkten

 

Welche Salesforce-Produkte unterstützen die Multi-Faktor-Authentifizierung?

Die Funktionalität der Multi-Faktor-Authentifizierung ist in den folgenden Salesforce-Produkten enthalten:

  • Alle Produkte, die auf der Salesforce Platform basieren, einschließlich: Sales Cloud, Service Cloud, Analytics Cloud, B2B Commerce Cloud, Experience Cloud, Branchenprodukte (Consumer Goods Cloud, Education Cloud, Financial Services Cloud, Government Cloud, Health Cloud, Manufacturing Cloud, Nonprofit Cloud, Philanthropy Cloud), Marketing Cloud Audience Studio (zuvor DMP), Marketing Cloud Account Engagement (unterstützt von Pardot), Platform, Salesforce Essentials, Salesforce Field Service und Partnerlösungen

  • B2C Commerce Cloud

  • Heroku

  • Marketing Cloud Engagement (unterstützt von Email, Messaging und Journeys)

  • Marketing Cloud Intelligence (unterstützt von Datorama)

  • Marketing Cloud Social

  • MuleSoft Anypoint Platform

  • Quip-Produkte

  • Tableau Cloud

Weitere Informationen über die MFA für diese Produkte finden Sie auf der Salesforce-MFA-Site für Kunden.

Zurück nach oben

 

Wie können wir von der Multi-Faktor-Authentifizierung ausgenommene Anwendungsfälle ausschließen, wenn die Multi-Faktor-Authentifizierung aktiviert wird?

Wie im vorliegenden Dokument mit häufig gestellten Fragen beschrieben, gibt es einige Anwendungsfälle, in denen die Multi-Faktor-Authentifizierung nicht erforderlich ist. Dazu gehören automatisierte Tests, RPA-Accounts, Systemintegrationsanmeldungen über die API, Developer Edition, Testorganisationen usw. In den meisten dieser Fälle ist automatisch keine MFA erforderlich. Abhängig von Ihren Produkten gibt es jedoch ein paar Anwendungsfälle, bei denen Ihr Zutun erforderlich ist, um sie auszuschließen.

Auf Salesforce Platform basierende Produkte
In diesem Thema in der Salesforce-Hilfe finden Sie eine Liste der MFA-befreiten Anwendungsfälle, die manuell von der MFA-Anforderung ausgeschlossen werden müssen. Außerdem erfahren Sie, wie Sie diese Aktion durchführen.

B2C Commerce Cloud
Wenn einer der folgenden Punkte auf Ihre Implementierung zutrifft, führen Sie die folgenden Schritte aus, bevor die MFA für Ihren Mandanten aktiviert wird.

  • ROPC-Gewährungstyp:  Sie müssen möglicherweise auf den Gewährungstyp Clientanmeldeinformationen oder Autorisierung umstellen. Siehe Änderungen am Gewährungstyp für Kennwörter in Salesforce B2C Commerce.

  • Tools für automatisierte Benutzeroberflächentests:  Siehe "How do I use MFA with system users/automated processes" (Wie verwende ich die Multi-Faktor-Authentifizierung mit Systembenutzern/automatisierten Prozessen) in den B2C Commerce Multi-Factor Authentication FAQ (Häufig gestellte Fragen zur Multi-Faktor-Authentifizierung für B2C Commerce).

  • Anmeldungen mit einer Kombination aus einem vertrauenswürdigen Gerät und einem vertrauenswürdigen Netzwerk:  Wenden Sie sich an Ihren Ansprechpartner bei Salesforce.


Marketing Cloud Engagement (auf der Grundlage von E-Mail, Messaging und Journeys)
Marketing Cloud Intelligence (auf der Grundlage von Datorama)
Wenn Sie planen, eine Kombination aus vertrauenswürdigen Geräten und vertrauenswürdigen Netzwerken zu verwenden, um die MFA-Anforderung zu erfüllen, wenden Sie sich an Ihren Ansprechpartner bei Salesforce.

MuleSoft Anypoint Platform
In diesem Thema in der MuleSoft-Dokumentation finden Sie eine Liste der MFA-befreiten Anwendungsfälle, die manuell von der MFA-Anforderung ausgeschlossen werden müssen. Außerdem erfahren Sie, wie Sie diese Aktion durchführen.

Tableau Cloud
Wenden Sie sich an Ihr Tableau-Accountteam, wenn einer der folgenden Punkte auf Ihre Site zutrifft:

  • Sie stellen Tableau Cloud-Visualisierungen für Verbraucher außerhalb Ihres unmittelbaren Unternehmens zur Verfügung oder Sie haben externe Benutzer, die auf Inhalte Ihrer Tableau Cloud-Site auf eine Weise zugreifen können, die nach unserem Benutzerhandbuch erlaubt ist.

  • Sie verwenden eine Kombination aus vertrauenswürdigen Geräten und vertrauenswürdigen Netzwerken, um die MFA-Anforderung zu erfüllen.

Siehe auch:

Zurück nach oben

 

Ist Lightning Login eine Form der Multi-Faktor-Authentifizierung?

Ja. Sie können Lightning Login verwenden, um den MFA-Anforderungen für die auf Salesforce Platform basierenden Produkte gerecht zu werden. Mit dieser Funktion wird die Multi-Faktor-Authentifizierung dank eines schnellen, sicheren und kennwortfreien Zugriffs auf ihre Salesforce-Accounts benutzerfreundlicher. Lightning Login erfüllt den MFA-Standard, da zwei Authentifizierungsfaktoren angefordert werden: Salesforce Authenticator (etwas, das der Benutzer besitzt) und eine PIN oder ein biometrischer Scan auf seinem Mobilgerät (etwas, das den Benutzer darstellt). Weitere Informationen finden Sie unter Aktivieren von Lightning Login für Anmeldungen ohne Kennwort in der Salesforce-Hilfe.

Zurück nach oben

 

Kann für die Multi-Faktor-Authentifizierung eine Drittanbieterlösung verwendet werden?

Wenn Ihr Unternehmen bereits eine Lösung für die MFA wie Okta™ oder Duo™ verwendet, empfiehlt es sich, Ihre Salesforce-Produkte in dieses System zu integrieren, anstatt die MFA-Funktionen eines Salesforce-Produkts zu verwenden. Außerdem lassen sich durch die Integration in eine vorhandene Lösung Störungen sowie der Änderungsaufwand minimieren, da Ihre Benutzer bereits mit Ihrem vorhandenen System vertraut sind.

Wenn Ihr Unternehmen über eine vorhandene SSO-Implementierung (Single Sign-On) mit erforderlicher MFA verfügt, können Sie alternativ überprüfen, ob Sie Ihre Salesforce-Produkte in dieses System integrieren können. Beachten Sie jedoch, dass alle Ihre Salesforce-Benutzer die Multi-Faktor-Authentifizierung verwenden müssen. Wenn Benutzer (z. B. Salesforce-Administratoren) sich direkt bei Ihren Produkten anmelden, stellen Sie sicher, dass sie die von Salesforce bereitgestellte MFA-Funktion verwenden.

Zurück nach oben

 

Was ist die Geräteaktivierung und wie hängt sie mit der Multi-Faktor-Authentifizierung zusammen?

Einige Salesforce-Produkte enthalten eine Funktion mit dem Namen „Geräteaktivierung“ oder „Identitätsüberprüfung“. Diese Funktion wird manchmal mit der Multi-Faktor-Authentifizierung verwechselt.

Bei der Geräteaktivierung müssen Benutzer einen zusätzlichen Authentifizierungsfaktor angeben, wenn sie sich über einen nicht erkannten Browser oder ein nicht erkanntes Gerät anmelden oder wenn die IP-Adresse des Benutzers außerhalb eines vertrauenswürdigen IP-Bereichs liegt. Zu den unterstützten Überprüfungsmethoden für diese Funktion gehören E-Mails und SMS sowie starke Methoden wie Salesforce Authenticator, TOTP-Authentifizierungsanwendungen von Drittanbietern und Sicherheitsschlüssel.

Bei der Multi-Faktor-Authentifizierung müssen Benutzer hingegen bei jeder Anmeldung eine sichere Überprüfungsmethode angeben. E-Mails und SMS sind bei Anmeldungen mit der Multi-Faktor-Authentifizierung nicht zulässig, da sie grundlegend für Angriffe durch Hacker anfällig sind.

Hinweis: Für Produkte, die auf Salesforce Platform und Marketing Cloud Engagement basieren, wird die Geräteaktivierung/Identitätsüberprüfung deaktiviert, wenn die Multi-Faktor-Authentifizierung aktiviert ist.

Zurück nach oben

 

Multi-Faktor-Authentifizierung für SSO-Anmeldungen bei Salesforce-Produkten

 

Wir verwenden Single Sign-On (SSO) für Salesforce. Wird SSO der Anforderung der Multi-Faktor-Authentifizierung gerecht?

SSO allein reicht für die Anforderung der Multi-Faktor-Authentifizierung nicht aus. Mit einer sorgfältig implementierten SSO-Strategie können Sie einige der Risiken hinsichtlich schwacher oder erneut verwendeter Kennwörter minimieren und Ihren Benutzern die Anmeldung bei häufig verwendeten Anwendungen erleichtern. Wenn Sie sich bei Ihrer SSO-Implementierung jedoch nur auf Benutzeranmeldeinformationen verlassen, sind Benutzeraccounts anfällig für häufige Angriffe wie Phishing oder Credential-Stuffing.

Wenn alle Ihre Salesforce-Produkte in die SSO-Lösung integriert sind, stellen Sie sicher, dass die Multi-Faktor-Authentifizierung für alle Salesforce-Benutzer aktiviert ist. Sie können zum Beispiel den MFA-Service Ihres SSO-Anbieters verwenden. Für Produkte, die auf der Salesforce Platform basieren, können Sie alternativ die in Salesforce bereitgestellte kostenlose Funktion für die Multi-Faktor-Authentifizierung verwenden, anstatt MFA auf SSO-Ebene zu aktivieren. Weitere Informationen finden Sie im Thema zur Verwendung der Multi-Faktor-Authentifizierung von Salesforce für SSO-Anmeldungen in der Salesforce-Hilfe.

Hinweis: Beachten Sie, dass alle Ihre Salesforce-Benutzer die Multi-Faktor-Authentifizierung verwenden müssen. Wenn Benutzer (z. B. Salesforce-Administratoren) sich direkt bei Ihren Produkten anmelden, stellen Sie sicher, dass sie die von Salesforce bereitgestellte MFA-Funktion verwenden.

Siehe auch:

Zurück nach oben

 

Warum verlangt Salesforce die Multi-Faktor-Authentifizierung für SSO?

Wenn Ihre SSO-Implementierung ausschließlich auf Benutzeranmeldeinformationen basiert, sind Benutzeraccounts anfällig gegenüber gängigen Sicherheitsangriffen wie Phishing oder Credential-Stuffing. Die MFA zählt zu den effektivsten Möglichkeiten, unbefugte Accountzugriffe zu verhindern. Wenn Sie die MFA für Benutzer, die über SSO auf Salesforce zugreifen, nicht implementieren, sind Sie einem erhöhten Risiko für Cyberangriffe ausgesetzt, die Ihrem Unternehmen und den Kunden schaden könnten.

Wir empfehlen Ihnen, die Anforderung der Multi-Faktor-Authentifizierung zusammen mit Ihren Sicherheits- und IT-Teams an den allgemeinen Sicherheitszielen Ihres Unternehmens auszurichten und deren Hilfe einzuholen, wenn es darum geht, wie diese Anforderung erfüllt werden kann.

Wenn Sie die Multi-Faktor-Authentifizierung für Benutzer, die über SSO auf Salesforce zugreifen, nicht implementieren, sind Sie einem erhöhten Risiko für Cyberangriffe ausgesetzt, die Ihrem Unternehmen und den Kunden schaden könnten.

Zurück nach oben

 

Muss die MFA sowohl auf SSO- als auch auf Salesforce-Ebene verwendet werden?

Stellen Sie zum Erfüllen der MFA-Anforderung sicher, dass interne Benutzer sich mithilfe der MFA anmelden.

  • Wenn Sie über SSO- und Nicht-SSO-Benutzer verfügen, stellen Sie sicher, dass sowohl der MFA-Service Ihres SSO-Anbieters als auch die MFA-Funktion Ihrer Salesforce-Produkte für direkte Anmeldungen aktiviert sind.

  • Selbst wenn Benutzer sich nicht direkt bei Ihren Salesforce-Produkten anmelden, empfiehlt es sich aus Sicherheitsgründen, die MFA-Funktion für direkte Anmeldungen bei Ihren Salesforce-Produkten aktiviert zu lassen. Dies hat keine Auswirkung auf SSO-Anmeldungen und sorgt im Falle, dass ein Administrator oder anderer berechtigter Benutzer direkt auf Ihr(e) Produkt(e) zugreifen muss, für eine vollständige Einhaltung der MFA-Anforderung.

Zurück nach oben

 

Wie häufig sollten Benutzer eine Überprüfungsmethoden für die Multi-Faktor-Authentifizierung angeben, wenn sie sich per SSO anmelden?

Es wird dringend empfohlen, dass Sie den Service der Multi-Faktor-Authentifizierung auch für Ihren SSO-Identitätsanbieter konfigurieren, damit Benutzer bei jeder Anmeldung zusätzlich zu ihrem Benutzernamen und Kennwort eine sichere Überprüfungsmethode angeben müssen.

Siehe auch:

Zurück nach oben

 

Woher weiß Salesforce, ob wir die Multi-Faktor-Authentifizierung für unseren SSO-Identitätsanbieter aktiviert haben und die Anforderung erfüllen?

Wenn Sie einen Identitäts-Drittanbieter für den Zugriff auf Ihre Salesforce-Produkte verwenden, hat Salesforce nur begrenzten Einblick in Ihre MFA-Implementierung. Um sicherzustellen, dass uns die nötigen Informationen zur Verwaltung der MFA-Anforderung vorliegen, planen wir, auf standardbasierte Attribute in SSO-Protokollen zurückzugreifen, die die bei einer SSO-Anmeldung verwendete Authentifizierungsmethode beschreiben.

Die meisten SSO-Anbieter unterstützen zwei primäre Attribute: OpenID Connect (OIDC) verwendet die Authentication Method Reference (AMR) und SAML den Authentication Context (AuthnContext). Derzeit ist OIDC amr in Produkten verfügbar, die auf der Salesforce Platform basieren. Sie sehen die Werte in LoginHistory, wenn Sie die Daten exportieren. In zukünftigen Versionen soll OIDC amr auf weitere Salesforce-Produkte ausgeweitet und SAML AuthnContext für alle Produkte unterstützt werden.

Zurück nach oben

 

Wird Salesforce die Multi-Faktor-Authentifizierung für SSO aktivieren oder erzwingen?

Wir ergreifen in Ihrem Namen keine Maßnahmen zur Aktivierung der Multi-Faktor-Authentifizierung für Ihren SSO-Identitätsanbieter. Und es ist auch nicht geplant, den Zugriff auf Salesforce-Produkte zu blockieren oder Abfragen für die Multi-Faktor-Authentifizierung auszulösen, wenn für Ihren SSO-Service keine Multi-Faktor-Authentifizierung erforderlich ist. Diese Richtlinie könnte sich künftig ändern.

Beachten Sie, dass die vertragliche Anforderung der Multi-Faktor-Authentifizierung gemäß dem Abschnitt mit Hinweisen und Lizenzinformationen der Salesforce-Dokumentation zu Trust und der Einhaltung von Vorschriften und dem anwendbaren Salesforce-Benutzerhandbuch für alle internen Salesforce-Benutzer gilt, die per SSO auf Ihre Salesforce-Produkte zugreifen. Wenn Sie die MFA für SSO-Anmeldungen nicht aktiviert haben, finden Sie unter Was passiert, wenn die MFA-Anforderung nicht erfüllt wird? weitere Informationen. Halten Sie darüber hinaus Rücksprache mit Ihrer Rechtsabteilung, um die Auswirkungen einer Nichteinhaltung nachzuvollziehen.

Wenn Sie Bedenken haben, die Anforderung zu erfüllen, wenden Sie sich an Ihren Ansprechpartner bei Salesforce. Wir arbeiten zusammen mit Ihnen an einer Lösung.

Zurück nach oben

 

Kann die MFA-Funktion von Salesforce anstelle des MFA-Service unseres SSO-Anbieters verwendet werden?

Für Produkte, die auf der Salesforce Platform basieren, können Sie die in Salesforce bereitgestellte Funktion für die Multi-Faktor-Authentifizierung anstelle des MFA-Service Ihres SSO-Anbieters verwenden. Bei dieser Vorgehensweise melden sich die Benutzer über Ihre SSO-Anmeldeseite an. Anschließend werden sie zu Salesforce weitergeleitet, wo sie aufgefordert werden, ihre Überprüfungsmethode für die Multi-Faktor-Authentifizierung anzugeben, um ihre Identität zu bestätigen. Weitere Informationen finden Sie in der Salesforce-Hilfe unter Verwenden der Multi-Faktor-Authentifizierung von Salesforce für SSO-Anmeldungen.

Hinweis: Diese Option ist für andere Salesforce-Produkte nicht verfügbar.

Zurück nach oben

 

Kann SSO für Salesforce-Administratoren aktiviert werden? Was geschieht, wenn SSO nicht verfügbar ist?

Administratoren sollten sich immer direkt mithilfe ihres Benutzernamens und Kennworts bei Ihren Salesforce-Produkten anmelden können. Es wird nicht empfohlen, SSO für Salesforce-Administratoren zu aktivieren, da sie sich nicht anmelden können, falls Ihre SSO-Implementierung ausfällt oder bei ihr ein anderes Problem auftritt. Falls bei Ihrem SSO-Drittanbieter beispielsweise ein dauerhafter Ausfall auftritt, können sich Administratoren über die Standardanmeldeseite Ihres Salesforce-Produkts mithilfe ihres Benutzernamens und Kennworts anmelden und SSO dann deaktivieren, bis das Problem behoben ist. Es wird empfohlen die Multi-Faktor-Authentifizierung für Administrator-Accounts direkt in Ihren Salesforce-Produkten zu verwenden, statt für Salesforce-Administratoren SSO zu verwenden.

Zurück nach oben

 

Wie können wir die SSO-Anmeldung für Salesforce-Benutzer erzwingen?

Wenn Ihr Unternehmen für den Zugriff auf Salesforce SSO verwendet, empfehlen wir, direkte Anmeldungen für alle Standardbenutzer zu deaktivieren. Wenn die Anmeldung mit einem Salesforce-Benutzernamen und -Kennwort nicht möglich ist, können diese Benutzer Ihr SSO-System nicht umgehen. Achten Sie darauf, dass betroffene Benutzer den URL für Ihre SSO-Anmeldeseite kennen. Eine schrittweise Anleitung finden Sie im Thema zur Deaktivierung von Anmeldungen mit Salesforce-Anmeldeinformationen für SSO-Benutzer in der Salesforce-Hilfe.

Zurück nach oben

 

Was sollten wir tun, wenn SSO ausfällt und sich die Benutzer direkt bei Salesforce-Produkten anmelden müssen?

Wenn Sie direkte Anmeldungen bei Salesforce-Produkten für den Fall zulassen, dass Ihr SSO-Service ausfällt, stellen Sie sicher, dass die von Ihren Salesforce-Produkten bereitgestellte MFA-Funktion aktiviert und auf alle betroffenen Benutzer angewendet ist. Darüber hinaus sollten Sie diese Benutzer auffordern, jetzt eine Überprüfungsmethode für ihre Salesforce-Accounts zu registrieren, damit es nicht zu Verzögerungen kommt, wenn sie sich nicht direkt anmelden können. Links zur MFA-Hilfedokumentation für Ihr(e) Produkt(e) finden Sie auf der Salesforce-MFA-Site für Kunden.

Zurück nach oben

 

Überprüfungsmethoden für die Multi-Faktor-Authentifizierung

 

Welche Überprüfungsmethoden erfüllen die Anforderung der Multi-Faktor-Authentifizierung?

Beginnen wir mit den Überprüfungsmethoden, die die Anforderung nicht erfüllen, unabhängig davon, ob Sie die Services der Multi-Faktor-Authentifizierung Ihres SSO-Identitätsanbieters oder die Multi-Faktor-Authentifizierung von Salesforce für direkte Anmeldungen verwenden.


Zum Erfüllen der MFA-Anforderung müssen Sie Überprüfungsmethoden verwenden, die sehr widerstandsfähig gegen Cyber-Angriffe sind (z. B. Phishing und Man-in-the-Middle-Angriffe). Starke Überprüfungsmethoden bieten dahingehend eine hohe Sicherheit, dass Benutzer, die auf Salesforce-Produkte zugreifen, diejenigen sind, die zu sein sie vorgeben.

Für SSO:
Verwenden Sie mit Ausnahme der oben aufgeführten Optionen eine beliebige Methode, die von der MFA-Lösung Ihres Identitätsanbieters unterstützt wird oder in sie integriert ist.

Für Multi-Faktor-Authentifizierung von Salesforce:
Verwenden Sie eine der Methoden, die von der MFA-Funktion Ihrer Salesforce-Produkte unterstützt wird:

  • Mobile App Salesforce Authenticator (erhältlich im App Store® oder bei Google Play™)

  • Authentifizierungsanwendungen mit zeitbasiertem, einmaligem Kenncode (Time-based one-time passcode, TOTP), beispielsweise Google Authenticator™, Microsoft Authenticator™ oder Authy™

  • Sicherheitsschlüssel, die WebAuthn oder U2F unterstützen, beispielsweise YubiKey™ von Yubico oder Titan™ Security Key von Google

  • Integrierte Authentifizierungsverfahren wie Touch ID®, Face ID® oder Windows Hello™

Informationen zu den Vorteilen und Überlegungen im Hinblick auf die einzelnen Methoden finden Sie in der Salesforce-Hilfe in diesem Thema.
Wählen Sie für Ihre Implementierung der Multi-Faktor-Authentifizierung die Methoden, die für Ihr Unternehmen und die Anforderungen Ihrer Benutzer am besten geeignet sind (und beachten Sie dabei die Hinweise in diesem Thema).

Zurück nach oben

 

Können Benutzer mehrere Überprüfungsmethoden registrieren?

Ja. Benutzer sollten tatsächlich mehrere Überprüfungsmethoden registrieren, sodass sie über einen Ersatz verfügen, falls sie ihre primäre Methode vergessen oder verlieren.

Wenn ein Benutzer verschiedene Überprüfungsmethoden einrichtet, wird er beim Anmelden automatisch aufgefordert, die sicherste Methode anzugeben. Salesforce verwendet beim Anmelden mit der Multi-Faktor-Authentifizierung diese Rangfolge für Überprüfungsmethoden:

  1. Salesforce Authenticator

  2. Integrierte Authentifizierungsverfahren

  3. Sicherheitsschlüssel

  4. Authentifizierungsanwendungen mit zeitbasiertem, einmaligem Kenncode (Time-based one-time passcode, TOTP) von Drittanbietern

Hinweis: Bei Quip-Produkten können Benutzer derzeit nur jeweils eine Überprüfungsmethode registrieren.

Zurück nach oben

 

Können E-Mails, SMS oder Telefonanrufe als Überprüfungsmethoden für die Multi-Faktor-Authentifizierung verwendet werden?

Nein. Einmal-Kenncodes, die per E-Mail, SMS oder Telefonanruf übermittelt werden, erfüllen nicht die Anforderung der Multi-Faktor-Authentifizierung – unabhängig davon, ob Sie Salesforce MFA für direkte Anmeldungen oder die MFA-Dienste Ihres SSO-Anbieters verwenden. Dies liegt daran, dass E-Mail-Anmeldedaten kompromittiert und Textnachrichten und Telefonanrufe abgefangen werden können. Es ist für Angreifer viel schwieriger, die Kontrolle über ein Mobilgerät oder einen physischen Sicherheitsschlüssel zu erlangen, als einen E-Mail-Account oder eine Handynummer zu hacken.

Hinweis: Wenn Sie die Multi-Faktor-Authentifizierung für Ihre Experience Cloud-Sites für Kunden oder Partner implementieren, können sich externe Benutzer mithilfe von SMS als Überprüfungsmethode anmelden. Diese Option ermöglicht es Ihnen, eine zusätzliche Sicherheitsebene für Ihre Sites bereitzustellen und gleichzeitig den schnellen Zugriff für Benutzer beizubehalten, die nicht mit geschäftskritischen Daten interagieren. Ausführliche Details finden Sie in der Salesforce-Hilfe in diesem Thema.

Zurück nach oben

 

Wo erfahre ich mehr über die von Salesforce unterstützten MFA-Überprüfungsmethoden?

Entsprechende Informationen finden Sie in diesem Thema in der Salesforce-Hilfe.

Zurück nach oben

 

Können wir Desktop- oder Browser-basierte TOTP-Authentifikatoren verwenden?

Als bewährte Vorgehensweise wird die Verwendung von mobilen Authentifizierungsanwendungen, physischen Sicherheitsschlüsseln oder integrierten Authentifikatoren empfohlen, da diese Arten von Überprüfungsmethoden unabhängig vom Laptop oder der Arbeitsstation eines Benutzers vorhanden sind. Auf diese Weise ist der zweite Faktor eines Benutzers nicht gefährdet, wenn eine böswillige Person Zugriff auf den Computer des Benutzers erlangt.

Wenn jedoch eine TOTP-Desktop-Authentifizierungs-App, Browser-Erweiterung oder ein Kennwort-Manager-Tool mit TOTP-Unterstützung die einzige Option ist, die für Ihre Benutzer funktioniert, können Sie die Anforderung der Multi-Faktor-Authentifizierung mit diesen Methoden erfüllen.

Hinweis: Die Verwendung der Synebo Chrome-Erweiterung für Anmeldungen bei Salesforce-Umgebungen erfüllt die MFA-Anforderung nicht.

Siehe auch:

Zurück nach oben

 

Unterstützt Salesforce TOTP-Codes, die von einem Kennwort-Manager generiert wurden?

Als bewährte Vorgehensweise wird die Verwendung von Überprüfungsmethoden wie eine mobile Anwendung oder ein physischer Sicherheitsschlüssel empfohlen, da sie unabhängig vom Laptop oder der Arbeitsstation eines Benutzers vorhanden sind. Auf diese Weise ist der zweite Faktor eines Benutzers nicht gefährdet, wenn eine böswillige Person Zugriff auf den Computer des Benutzers erlangt. Viele Kennwort-Manager ermöglichen es Benutzern, zeitbasierte Einmal-Kenncodes (Time-based one-time passcodes, TOTP) für die Anmeldung mit der Multi-Faktor-Authentifizierung zu generieren. Es wird empfohlen, diese Funktion nur in Kennwort-Managern zu verwenden, auf die über Mobilgeräte zugegriffen wird, oder wenn der Kennwort-Manager selbst durch Multi-Faktor-Authentifizierung geschützt ist (z. B. mithilfe biometrischer Authentifizierung).

Zurück nach oben

 

Keine der unterstützten Überprüfungsmethoden für die Multi-Faktor-Authentifizierung ist für mein Unternehmen geeignet. Wie können wir der Anforderung der Multi-Faktor-Authentifizierung gerecht werden?

Es ist nachvollziehbar, dass einige Kunden möglicherweise Schwierigkeiten beim Implementieren der Multi-Faktor-Authentifizierung haben. Wir helfen Ihnen dabei, einen Weg zu finden, um Auswirkungen auf die Sicherheit und die Einhaltung von Vorschriften in Ihrer Organisation zu vermeiden. Wenn Sie Bedenken haben, dass Sie die Anforderung nicht erfüllen können, wenden Sie sich an Ihren Ansprechpartner bei Salesforce und wir arbeiten zusammen mit Ihnen an einer Lösung.

Zurück nach oben

 

Unsere Benutzer verfügen nicht über Mobilgeräte. Kann die Multi-Faktor-Authentifizierung dennoch verwendet werden?

Ja, Salesforce-Produkte unterstützen MFA-Überprüfungsmethoden, für die keine Authentifizierungsanwendung bzw. kein Mobilgerät benötigt wird. Physische Sicherheitsschlüssel oder integrierte Authentifikatoren werden empfohlen.

Wenn diese Optionen aufgrund von Budget- oder Hardwarebeschränkungen nicht infrage kommen, können Sie die Anforderung auch mit TOTP-Desktop-Authentifizierungsanwendungen oder Browsererweiterungen erfüllen.

Siehe auch:

Zurück nach oben

 

Wird für die Verwendung einer mobilen Authentifizierungsanwendung eine Datenverbindung benötigt? Kann sich ein Benutzer anmelden, wenn die Verbindung verloren geht?

Die mobile Anwendung Salesforce Authenticator erfordert eine Datenverbindung für die Authentifizierung über Push-Benachrichtigungen oder die standortbasierte automatische Überprüfung. Wenn das Mobilgerät eines Benutzers offline ist, kann sich der Benutzer dennoch mithilfe eines der eindeutigen zeitbasierten einmaligen Kenncodes (Time-based one-time passcode, TOTP) authentifizieren, die fortlaufend von der Anwendung generiert werden. TOTP-Authentifizierungsanwendungen von Drittanbietern funktionieren auf dieselbe Weise, wenn ein Gerät nicht über eine Verbindung verfügt.

Zurück nach oben

 

Vorbereitung auf die MFA

 

Wie wirkt sich die Aktivierung der MFA auf meine Benutzer aus?

Wenn die Multi-Faktor-Authentifizierung für Anmeldungen über die Benutzeroberfläche aktiviert wurde, muss jeder Benutzer über mindestens eine registrierte Überprüfungsmethode verfügen, bevor er sich anmelden kann. Beim Registrierungsprozess wird eine Methode mit dem Salesforce-Account des Benutzers verknüpft. Benutzer können jederzeit Methoden registrieren. Wenn ein Benutzer zum Zeitpunkt der Aktivierung der Multi-Faktor-Authentifizierung keine Methode registriert hat, wird er bei der nächsten Anmeldung automatisch aufgefordert, eine Methode zu registrieren. Benutzer werden mit Anweisungen auf dem Bildschirm durch den Prozess geführt.

Bei allen nachfolgenden Anmeldungen werden Benutzer im Anmeldeprozess aufgefordert, zusätzlich zu ihrem Benutzernamen und Kennwort eine registrierte Methode anzugeben.

Dieses kurze Video enthält eine Übersicht zur den Auswirkungen von Multi-Faktor-Authentifizierung auf den Anmeldevorgang.

Zurück nach oben

 

Wie bereite ich meine Benutzer auf die Multi-Faktor-Authentifizierung vor?

Unter Vorbereiten Ihrer Benutzer auf die Multi-Faktor-Authentifizierung in der Salesforce-Hilfe finden Sie Ideen und bewährte Vorgehensweisen. Laden Sie zudem das Rollout-Paket für die Multi-Faktor-Authentifizierung herunter, um anpassbare Änderungsmanagement- und Onboarding-Vorlagen zu erhalten.

Zurück nach oben

 

Wie häufig müssen Benutzer eine Überprüfungsmethode angeben, wenn sie sich direkt bei Salesforce-Produkten anmelden?

Wenn Sie die Salesforce-Funktion für Multi-Faktor-Authentifizierung verwenden, müssen Benutzer bei jeder Anmeldung bei einem Salesforce-Produkt auf eine entsprechende Abfrage antworten. Dies gilt bei allen Anmeldungen, auch bei aufgrund von Inaktivität und abgelaufenen Sitzungen. Die Häufigkeit der Abfragen für die Multi-Faktor-Authentifizierung kann nicht geändert werden.

Zurück nach oben

 

Kann ich automatisieren oder steuern, wie häufig der von Salesforce verlangte zusätzliche Authentifizierungsschritt erforderlich ist, um die Auswirkungen für meine Benutzer so gering wie möglich zu halten?

Um sicherzustellen, dass die Multi-Faktor-Authentifizierung den beabsichtigten Schutz bietet, müssen Benutzer jedes Mal eine Überprüfungsmethode angeben, wenn sie sich direkt bei einem Salesforce-Produkt anmelden. Um die Belastung für Benutzer zu reduzieren, empfehlen wir die Verwendung von Salesforce Authenticator. Wenn ein Benutzer an einem vertrauenswürdigen Ort arbeitet, beispielsweise im Büro oder zu Hause, kann der zusätzliche Authentifizierungsschritt mit der Anwendung automatisiert werden. Das bedeutet, dass die Benutzer ihr Mobiltelefon bei der Anmeldung von diesen Orten aus nicht bedienen müssen. Die Benutzer können diese Option eigenständig festlegen. Detaillierte Informationen dazu finden Sie in der Salesforce-Hilfe unter Automatisieren der Multi-Faktor-Authentifizierung mit Salesforce Authenticator.

Darüber hinaus kann in Salesforce Authenticator ein Standort automatisch als vertrauenswürdig festgelegt werden, nachdem sich ein Benutzer dreimal von diesem Ort aus angemeldet hat. Informationen zu dieser Option finden Sie unter Intelligentes Speichern vertrauenswürdiger Standorte mit Salesforce Authenticator.

Zurück nach oben

 

Was sollten Benutzer tun, wenn sie eine Überprüfungsmethode ersetzen müssen oder ihre Methode nicht mehr funktioniert?

(Dieses Thema bezieht sich nur auf Produkte, die auf der Salesforce Platform basieren.)

Benutzer werden im Laufe der Zeit ihre Mobiltelefone und Computer unweigerlich gegen neuere Modelle austauschen. Wenn eine Person auf ihrem alten Gerät eine Authentifizierungsanwendung oder einen integrierten Authentifikator für MFA verwendet hat, muss sie ihre Überprüfungsmethode auf die neue Hardware umstellen. Außerdem kann es vorkommen, dass ein Benutzer seinen physischen Sicherheitsschlüssel durch einen neuen ersetzt. In diesen Situationen sollten Sie zunächst die bestehende Überprüfungsmethode des Benutzers deaktivieren, damit der Benutzer die Ersatzmethode registrieren kann. Wenn ein Benutzer meldet, dass seine Überprüfungsmethode nicht mehr funktioniert, wenn er versucht, sich anzumelden, setzen Sie die Methode zurück, indem Sie sie deaktivieren, und bitten Sie den Benutzer, sich erneut für die MFA zu registrieren.

Produktspezifische Anleitungen finden Sie auf der Salesforce-MFA-Site für Kunden. Unter Wie können Benutzer wieder Zugriff erhalten, wenn sie ihre Überprüfungsmethode vergessen oder verlieren? erfahren Sie zudem, wie der Benutzerzugriff schnell wiederhergestellt werden kann.

Zurück nach oben

Wie können Benutzer wieder Zugriff erhalten, wenn sie ihre Überprüfungsmethode vergessen oder verlieren?

Ihre Optionen zur Unterstützung von Benutzern, wenn sie ihre in der Regel verwendeten Überprüfungsmethoden vergessen oder verlieren, hängen von Ihrem Salesforce-Produkt ab.

Hinweis: Wenden Sie sich an den Salesforce-Kundensupport, wenn Sie der einzige Administrator Ihres Produkts sind und gesperrt werden.

Von Administratoren generierte temporäre Prüfcodes
Bei einigen Produkten können Administratoren temporäre Codes generieren, mit denen sich Benutzer ohne Überprüfungsmethode anmelden können. Führen Sie die Schritte aus für:

Vom Benutzer generierte Wiederherstellungscodes
Bei einigen Produkten können Benutzer eine Liste von zehn einmaligen Wiederherstellungscodes generieren, die sie bei Bedarf an einem sicheren Ort aufbewahren können. Diese Codes sollten nur als Sicherungsmethode verwendet werden, wenn die reguläre Überprüfungsmethode eines Benutzers nicht verfügbar ist. Führen Sie die Schritte aus für:

Zurücksetzen der MFA
Bei MuleSoft Anypoint Platform können Administratoren für Benutzer, die ihre Überprüfungsmethoden verloren oder vergessen haben, die MFA zurücksetzen. Der Benutzer wird dann aufgefordert, bei der nächsten Anmeldung eine neue Methode zu registrieren.

Zurück nach oben

 

Wie kann verhindert werden, dass Administratoren nach dem Aktivieren der Multi-Faktor-Authentifizierung gesperrt werden?

Stellen Sie sicher, dass Ihr Plan zur Wiederherstellung des Zugriffs Schritte enthält, die Ihnen und Administratorkollegen helfen, wenn Sie den Zugriff auf Ihre reguläre(n) Überprüfungsmethode(n) verlieren. Berücksichtigen Sie die folgenden bewährten Vorgehensweisen:

  • Jeder Administrator sollte mindestens zwei Überprüfungsmethoden registrieren.

  • Bewahren Sie einen Ersatzsicherheitsschlüssel an einem sicheren Ort an Ihrem Arbeitsplatz auf.

  • Richten Sie mindestens zwei Accounts mit Berechtigungen zum Verwalten von Benutzern und Einstellungen der Multi-Faktor-Authentifizierung ein. Wenn ein Account gesperrt ist, können Sie auf diese Weise den anderen Account verwenden, um den Zugriff wiederherzustellen.

Zurück nach oben

 

Einige unserer Benutzer verwenden einen einzelnen Salesforce-Account gemeinsam. Wie funktioniert die Multi-Faktor-Authentifizierung in dieser Situation?

Salesforce verbietet die Freigabe von Benutzeranmeldeinformationen für mehrere Benutzer. Diese Praxis ist nicht mit der Multi-Faktor-Authentifizierung vereinbar, da jeder Benutzer eine eindeutige Überprüfungsmethode für seinen Salesforce-Account registrieren und mit diesem verbinden muss, bevor er sich anmelden kann. Wenn mehrere Benutzer einen einzelnen Account gemeinsam verwenden, kann sich nach dem Aktivieren der Multi-Faktor-Authentifizierung nur eine Person bei diesem Account anmelden.

Lösen Sie gemeinsam verwendete Accounts oder Anmeldeinformationen auf. Stellen Sie sicher, dass Sie über genügend Lizenzen verfügen, um separate Accounts für alle Personen einzurichten, die Zugriff auf Ihre Salesforce-Produkte benötigen. Wenn Sie Hilfe beim Einrichten eindeutiger Benutzeraccounts benötigen, wenden Sie sich an Ihren Kundenbeauftragten oder an das Vertriebsteam. Oder sehen Sie unter Salesforce Checkout und Self-Service zum Verwalten Ihres Accounts und für Online-Käufe nach.

Zurück nach oben

 

Wie funktioniert die Multi-Faktor-Authentifizierung in Sandbox-Umgebungen?

(Dieses Thema bezieht sich nur auf Produkte, die auf der Salesforce Platform basieren).

Überlegungen zur Entwicklung einer Strategie für die Verwaltung der Multi-Faktor-Authentifizierung für Ihre Sandbox-Umgebungen finden Sie in den Überlegungen zur Einrichtung der Multi-Faktor-Authentifizierung in Sandbox-Umgebungen in der Salesforce-Hilfe.

Siehe auch:

Zurück nach oben

 

Anleitung zur MFA-Anforderung für Salesforce-Partner/Serviceanbieter

 

Ist die MFA erforderlich, wenn Salesforce-Serviceanbieter die von Kunden bereitgestellten Lizenzen verwenden, um zum Ausführen von Verwaltungsdiensten auf Kundenorganisationen zuzugreifen?

Ja. Unter Können Kunden ihrem Salesforce-Serviceanbieter eine Einzellizenz zuweisen, wobei die Lizenz für mehrere Serviceanbieter-Benutzer freigegeben wird? finden Sie weitere Informationen.

Zurück nach oben

 

Können Kunden ihrem Salesforce-Serviceanbieter eine Einzellizenz zuweisen, wobei die Lizenz durch mehrere Serviceanbieter-Benutzer gemeinsam verwendet wird?

Ja, jedoch nur so lange, wie die folgenden Kriterien erfüllt sind und unter den folgenden zusätzlichen Bedingungen: (i) alle diese Benutzer müssen Mitarbeiter eines Salesforce-Serviceanbieters sein, der diese Abonnements ausschließlich zum Zweck der Erbringung von Support- oder anderen Services für den Kunden in Verbindung mit der Nutzung der Services durch den Kunden in der Organisation des Kunden verwendet, (ii) alle diese Benutzer müssen ein PAM-Tool (Privileged Account Management, privilegierte Accountverwaltung) oder eine EPM-Lösung (Enterprise Password Management, Unternehmenskennwortverwaltung) in Verbindung mit dem Vorgenannten verwenden, das die Implementierung der MFA trotz der Nutzung eines Einzelabonnements durch mehrere Serviceanbieter-Benutzer ermöglicht und die Möglichkeit bietet, die Zugriffsberechtigungen nur auf autorisierte Benutzer zu beschränken, wobei Techniken wie rollenbasierte Zugriffssteuerung und Mindestberechtigung verwendet werden, und (iii) der Kunde bleibt für die Nutzung dieser Abonnements durch diese Benutzer verantwortlich.

Salesforce behält sich das Recht vor, die Kriterien für den vorgenannten Anwendungsfall jederzeit zu ändern oder diese zulässige Nutzung ganz einzustellen.

Im Knowledge-Artikel Erfüllen der MFA-Anforderung für den Anwendungsfall der gemeinsamen Anmeldung von Partneradministratoren wird ausführlich dargelegt, wie die MFA-Anforderung für diese Situation erfüllt werden kann.

Zurück nach oben

 

Wir verwenden Platform-Benutzerlizenzen für Communities. Wie wird die MFA-Anforderung auf diesen Anwendungsfall angewendet?

Die Multi-Faktor-Authentifizierung ist nicht erforderlich für externe Benutzer, die nur auf Experience Cloud-Sites Ihres Unternehmens wie Mitarbeiter-Communities zugreifen können. Für Produkte, die auf Salesforce Platform basieren, ist ein externer Benutzer jeder, der über eine Community-, Employee Community- oder External Identity-Lizenz verfügt.

Wenn Ihre Partnerlösung eine Community für externe Benutzer erstellt hat, jedoch eine Platform-Lizenz anstelle von Experience Cloud verwendet, senden Sie wie folgt einen Support-Kundenvorgang:

  1. Eröffnen Sie in der Salesforce-Hilfe einen Kundenvorgang unter "Salesforce Partner Program Support" (Support für Salesforce-Partnerprogramm).

  2. Reichen Sie den Fall unter "Partner Programs & Benefits" (Partnerprogramme und Vorteile) ein und führen Sie das Thema als "ISV Technology Request" (Anfrage zu ISV-Technologie) auf.

Zurück nach oben

 

Wie wirkt sich die MFA-Anforderung auf die Nutzung der Abonnentenkonsole aus?

  • Die Multi-Faktor-Authentifizierung ist bei der Anmeldung bei der Lizenzmanagementorganisation (LMO) erforderlich. Ausführliche Informationen hierzu finden Sie in den Salesforce-Versionshinweisen unter Multi-Faktor-Authentifizierung für Anmeldungen bei Abonnentenorganisationen anfordern. Informationen zur Multi-Faktor-Authentifizierung und die Option "Log In As" (Anmeldung als) finden Sie in diesen Versionshinweisen.

  • Partner müssen die Multi-Faktor-Authentifizierung in ihrer Lizenzmanagementorganisation (LMO) einrichten, um auf die Konsole für den Abonnenten-Support zuzugreifen. Beachten Sie, dass die bisherige Methode, ein Setup mit hoher Sicherung mit der Freigabeaufgabe zu testen, nicht mehr verfügbar ist. Partner, die MFA-Berechtigungssätze verwenden, können jetzt mit Berichte & Dashboards testen, ob ihr Setup mit hoher Sicherung ordnungsgemäß konfiguriert ist. Führen Sie die folgenden Schritte aus, um zu bestätigen, dass ein Benutzeraccount mit MFA-Berechtigungssatz über eine Sitzung mit hoher Sicherung verfügt.

Zurück nach oben

 

 

Weitere Infos

 

Wo erfahre ich mehr über die MFA für unsere Salesforce-Produkte?

Salesforce hilft Ihnen dabei, die Multi-Faktor-Authentifizierung erfolgreich einzusetzen. Es steht eine Vielzahl an Ressourcen zur Verfügung, die Ihnen dabei helfen, sich mit der MFA vertraut zu machen und zu erfahren, wie Sie sie für Ihr(e) Produkt(e) verwalten können.

Zurück nach oben

 

Wo erhalte ich Antworten auf meine Fragen zur MFA oder MFA-Anforderung?

Sollten Sie weitere Fragen haben oder Hilfe benötigen, besuchen Sie die Trailblazer-Community MFA – Getting Started. Dort können Sie Ihre Fragen an Salesforce-Sicherheitsexperten oder andere Trailblazer-Administratoren stellen, die sich mit der Implementierung der Multi-Faktor-Authentifizierung auskennen.

Treten Sie für Salesforce-Partner und Serviceanbieter der Partner-Community bei

Zurück nach oben

 

Versionsverlauf

 

Datum

Überarbeitungen

28. Mai 2024

2021 - 2024

  • Der Versionsverlauf für diesen Artikel wurde archiviert.


 

Nummer des Knowledge-Artikels

000396727

 
Laden
Salesforce Help | Article