Loading

Preguntas más frecuentes sobre la autenticación de múltiples factores de Salesforce

Fecha de publicación: Apr 22, 2025
Descripción

La confianza de los clientes es nuestra mayor prioridad en Salesforce. El panorama global de las amenazas está en constante evolución, y los tipos de ataques que pueden paralizar un negocio y sacar partido de los consumidores están en aumento. Para ayudar a protegerse frente a este tipo de amenazas, Salesforce requiere que todos los clientes utilicen la autenticación de múltiples factores (MFA) al acceder a productos de Salesforce. MFA es una de las herramientas más sencillas y efectivas para mejorar la seguridad de los inicios de sesión y salvaguardar su negocio y datos frente a las amenazas de seguridad.

Utilice este documento para comprender las políticas de requisitos de MFA y garantizar que sus usuarios cumplan con este requisito contractual. Para obtener orientación sobre cómo configurar MFA para su producto Salesforce, consulte la sección "Ayuda de MFA para sus productos Salesforce" en el sitio para clientes de MFA.

Este artículo se actualizó por última vez el: 28 de junio de 2024.

Solución

Preguntas más frecuentes

Requisito de activación de MFA

Ámbito del requisito de MFA

MFA para inicios de sesión directos en productos de Salesforce

MFA para inicios de sesión SSO en productos de Salesforce

Métodos de verificación para MFA

Prepárese para la MFA

Guía de requisitos de MFA para socios/proveedores de servicios de Salesforce

Más información

 

Requisito de activación de MFA

 

¿Qué es MFA y cómo funciona?

La autenticación de múltiples factores (MFA) aumenta la protección para las cuentas de usuarios frente a amenazas comunes como ataques de phishing, relleno de credenciales y robo de cuentas. Aporta otra capa de seguridad a su proceso de inicio de sesión requiriendo a los usuarios que introduzcan una o más pruebas, también llamadas factores, para probar que son quienes dicen ser. Un factor es algo que el usuario sabe, como su combinación de nombre de usuario y contraseña. Otros factores son métodos de verificación que el usuario tiene en su posesión, como una aplicación de autenticación o una llave de seguridad. Un ejemplo familiar de MFA en el trabajo es los dos factores necesarios para retirar dinero en un cajero automático. Su tarjeta bancaria es algo que tiene y su PIN es algo que sabe.

Al vincular el acceso de usuario a múltiples tipos diferentes de factores de autenticación, es mucho más difícil que los atacantes accedan a su entorno de Salesforce. Por ejemplo, incluso si se roba la contraseña de un usuario, las posibilidades son muy bajas de que un atacante también pueda adivinar o hackear el código de la aplicación de autenticación de ese usuario.

Para aprender más, vea el vídeo Cómo funciona la autenticación de múltiples factores para proteger el acceso a cuentas.

Volver al principio

 

¿Cuál es el requisito de MFA?

Todos los usuarios internos de Salesforce están obligados por contrato a utilizar MFA para cada inicio de sesión a través de la interfaz de usuario al acceder a los productos de Salesforce (incluidas las soluciones de socios). El requisito se aplica igualmente a los inicios de sesión directos que utilizan un nombre de usuario y contraseña de Salesforce, y a los inicios de sesión únicos (SSO).

El requisito de MFA entró en vigor el 1 de febrero de 2022. El requisito está documentado en las condiciones de servicio en la sección Avisos e información de licencia de la Documentación de Confianza y cumplimiento de Salesforce y en la Guía del usuario de Salesforce correspondiente.

Para inicios de sesión directos en productos de Salesforce, la función MFA se proporciona sin coste adicional. Para inicios de sesión con SSO, utilice el servicio MFA de su proveedor de SSO.

Consulte también:

Volver al principio

 

¿Por qué requiere Salesforce MFA?

No hay nada más importante que la confianza y el éxito de nuestros clientes. A medida que el panorama global de las amenazas evoluciona, los tipos de ataques que pueden paralizar un negocio y sacar partido de los consumidores van en aumento

Una parte clave de su estrategia de seguridad es proteger el acceso a sus cuentas de usuario de Salesforce. Los nombres de usuario y contraseñas por sí solos ya no proporcionan suficiente protección contra ciberataques. Aquí es donde entra en juego MFA. Es una de las formas más sencillas y efectivas de evitar el acceso no autorizado a cuentas y salvaguardar sus datos y los de sus clientes. Estamos requiriendo que los clientes implementen MFA para ayudar a mitigar los riesgos que se originan desde ataques de phishing, el relleno de credenciales y los dispositivos comprometidos.

Volver al principio

 

¿Qué ha hecho Salesforce para ayudar a los clientes a satisfacer el requisito de MFA?

Con una excepción, MFA ahora es una parte permanente del proceso de inicio de sesión directo para todos los productos de Salesforce. Cuando los usuarios inician sesión en un producto de Salesforce con su nombre de usuario y contraseña, también deben proporcionar un método de verificación de MFA. Consulte ¿Cómo se ven afectados mis usuarios cuando se activa la autenticación de múltiples factores (MFA)? para obtener más detalles.

Para los productos desarrollados sobre la base de Salesforce Platform, consulte ¿Cuál es el plan actual para aplicar MFA de manera forzosa a los productos desarrollados sobre la base de Salesforce Platform?

Nota: Los usuarios que acceden a los productos de Salesforce a través de SSO no se ven afectados por la función MFA proporcionada por Salesforce. No obstante, tenga en cuenta que el requisito de MFA es obligatorio contractualmente para todos los usuarios de Salesforce que se autentican a través de SSO. Consulte ¿Aplicará Salesforce MFA para SSO? para obtener más información.

Volver al principio

 

¿Cómo podemos verificar que nuestra implementación de MFA satisface el requisito de MFA?

Para confirmar que está utilizando una solución de MFA que cumpla el requisito, revise las condiciones del servicio en la sección Avisos e información de licencia de la Documentación de confianza y Cumplimiento de Salesforce y la Guía del usuario de Salesforce pertinente, así como los detalles de estas Preguntas más frecuentes.

También puede utilizar el Comprobador de requisitos de MFA, que le guía por unas preguntas para ver si su implementación cumple el requisito. El sitio proporciona los pasos siguientes si aún no está preparado.

Si tiene un equipo de TI o ciberseguridad, recomendamos que reciba su orientación. Siempre podrá llevar sus preguntas al grupo de Trailblazer Community MFA - Getting Started.

Volver al principio

 

¿Es necesario certificar que nuestra implementación de MFA satisface el requisito de MFA?

Salesforce no requiere que los clientes certifiquen el cumplimiento con sus obligaciones contractuales. Para mantener esta práctica, los clientes no necesitan obtener certificación formal o atestiguar a Salesforce que cumplen el requisito contractual de MFA.

Volver al principio

 

¿Qué ocurre si no satisfacemos el requisito de MFA?

El requisito de MFA entró en vigor el 1 de febrero de 2022 y, desde entonces, Salesforce ha habilitado y aplicado MFA para inicios de sesión directos en productos de Salesforce. Si sus productos no cumplen con el requisito de MFA porque no ha implementado la autenticación de múltiples factores para inicios de sesión SSO y/o ha deshabilitado la función MFA de Salesforce de sus productos:

  • No cumple con sus obligaciones contractuales en virtud del Acuerdo de servicios principal (MSA), que incorpora las condiciones de servicio de MFA a través de la sección Avisos e información de licencia de la Documentación de Confianza y cumplimiento de Salesforce.

  • Usted asume cualquier riesgo asociado con no utilizar la MFA al acceder a los productos de Salesforce.

Recomendamos hablar con su equipo legal para comprender las implicaciones de no utilizar MFA. También puede contactar a su representante de Salesforce si está preocupado sobre cómo cumplir el requisito. Trabajaremos con usted para encontrar una solución.

Volver al principio

 

¿Cuál es el plan actual para aplicar MFA de manera forzosa a los productos desarrollados sobre la base de Salesforce Platform?

La protección de datos es una responsabilidad compartida: Salesforce incorpora seguridad en los productos y los clientes aprovechan los recursos y las herramientas (incluida la MFA) para reforzar la seguridad de sus organizaciones de Salesforce. Gracias a la asociación con nuestros clientes y su compromiso de proteger el acceso a cuentas de usuarios, el programa para la activación automática de MFA ha sido todo un éxito.

Debido a la tasa alta de adopción de MFA para los productos desarrollados sobre la base de Salesforce Platform, y con la intención de respetar el tiempo y los recursos valiosos de nuestros clientes, hemos cambiado a un modelo de notificaciones, en lugar de técnicamente forzar la aplicación de MFA. Reconocemos que podría resultar útil para los administradores de Salesforce conservar la opción de desactivar brevemente MFA para realizar pruebas o por temas de configuración. Sin embargo, los clientes deben tener en cuenta que si desactivan la MFA, no cumplen con su obligación contractual de usarla, por lo que deben volver a habilitarla lo antes posible.

Para obtener más información sobre las notificaciones de incumplimiento de MFA, consulte esta nota de la versión.

¿Qué significa este cambio para el requisito de MFA?
El requisito contractual de utilizar MFA sigue vigente. Realizaremos un seguimiento del uso de MFA en todas las organizaciones de Salesforce. Si disminuyen las tasas de adopción de MFA para los productos desarrollados sobre la base de Salesforce Platform, reanudaremos el programa para aplicar la MFA técnicamente de manera forzosa; ¡con previo aviso, por supuesto!

Observe que no hay cambios en la aplicación forzosa de MFA para otros productos de Salesforce.

Volver al principio

 

Como cliente nuevo o potencial, ¿cómo se aplica el requisito de MFA a mis productos de Salesforce?

MFA forma parte automáticamente de la experiencia de inicio de sesión directo para todos los productos de Salesforce. Cuando compra un producto de Salesforce, la MFA se requiere obligatoriamente cada vez que los usuarios inician sesión directamente en la interfaz de usuario de su entorno de producción. Después de introducir el nombre de usuario y contraseña, se les solicita a los usuarios que verifiquen su identidad con un método de verificación adicional. Al iniciar sesión por primera vez, se solicita a los usuarios que seleccionen y registren un método de verificación. Las indicaciones en pantalla guían a los usuarios a través de los pasos a seguir para el registro. Consulte ¿Cómo se ven afectados mis usuarios cuando se activa la autenticación de múltiples factores (MFA)? para obtener más detalles. Y consulte la sección Métodos de verificación para MFA para obtener más información sobre los tipos de métodos disponibles para sus usuarios.

Si piensa integrar sus productos Salesforce con inicio de sesión único (SSO), asegúrese de que MFA esté incluido en su implementación. Puede utilizar el servicio MFA de su proveedor de SSO. O bien, para productos desarrollados sobre la base de Salesforce Platform, puede utilizar la función MFA proporcionada en Salesforce de forma gratuita en lugar de habilitar la MFA a nivel de SSO. Consulte Utilizar MFA de Salesforce para inicios de sesión con SSO en la Ayuda de Salesforce para obtener detalles.

Volver al principio

 

Ámbito del requisito de MFA

 

¿Qué tipos de usuarios, inicios de sesión y entornos requieren MFA?

Los clientes pueden satisfacer el requisito de MFA asegurándose de que MFA está habilitada para todos los usuarios internos que inicien sesión en productos de Salesforce (incluyendo soluciones de socios) a través de la interfaz de usuario. Consulte las siguientes tablas con los detalles completos sobre cómo están afectados sus tipos de usuarios, tipos de inicios de sesión y entornos por el requisito.

Requisitos de MFA para tipos de usuarios

Tipo de usuario

¿Se requiere MFA para iniciar sesión?

Notas

Usuarios internos

Un usuario interno es cualquiera que tenga una licencia de usuario estándar y pueda acceder a la interfaz de usuario de su organización de Salesforce, incluyendo administradores, desarrolladores, usuarios con privilegios, usuarios estándar y usuarios autorizados para actuar en nombre de su empresa, como socios y agencias externas.

Usuarios externos

No

Los usuarios externos solo pueden acceder a los sitios de Experience Cloud, sitios de comercio electrónico o escaparates, portales de ayuda, comunidades de empleados, etcétera de su empresa. Para los productos desarrollados sobre la base de Salesforce Platform, un usuario externo es cualquier persona que tenga una licencia de Comunidad, Comunidad de empleados o Identidad externa. Consulte ¿Se requiere MFA para sitios de Experience Cloud de clientes y socios? para obtener más información.

Clientes de Tableau Cloud: MFA no se requiere para usuarios externos de Tableau Cloud que consuman visualizaciones en contextos integrados o para usuarios externos del sitio de Tableau Cloud de un cliente.

Tenga en cuenta que algunas jurisdicciones locales o sectores tienen requisitos normativos más estrictos con respecto a la MFA que pueden resultar en que este tipo de usuarios requieran MFA.

Usuarios de Chatter External, Chatter Free

No

 

Usuarios de Chatter únicamente (Chatter Plus)

 

 

Requisitos de MFA para tipos de inicios de sesión y métodos de autenticación

Tipo de inicio de sesión / Método de autenticación

¿Se requiere MFA?

Notas

Inicios de sesión directos (humanos) en la interfaz de usuario

Se aplica a todas las interfaces de Salesforce, incluyendo aplicaciones móviles y cliente, como el Cargador de datos. (Observe que el Cargador de datos tiene dos opciones de inicio de sesión. Cuando MFA está activada, la opción de OAuth, un inicio de sesión en la interfaz de usuario, genera un reto de MFA, mientras que Autenticación con contraseña, un inicio de sesión de API, no lo hace. La opción OAuth del cargador de datos no admite claves de seguridad ni métodos de verificación de autenticador integrados).

Se requiere MFA si los administradores o cualquier otra persona inicia sesión en cuentas de usuario de integración (también conocidas como usuarios de API). Consulte ¿Se requiere MFA para mis usuarios de integración? para obtener más información.

Consulte la sección MFA para inicios de sesión directos en productos de Salesforce para obtener más información.

SSO (SAML, OpenID Connect)

Consulte la sección MFA para inicios de sesión SSO en productos de Salesforce para obtener más información.

Pruebas automatizadas e inicios de sesión RPA en cuentas en la interfaz de usuario

No

Consulte ¿Se requiere MFA para RPA o cuentas de pruebas automatizadas? para obtener más información.

Tipos de inicio de sesión de integración del sistema a través de la API

No

Consulte ¿Se requiere MFA para mis usuarios de integración? para obtener más detalles.

Activación de dispositivos / Verificación de identidad

La activación de dispositivos no es la misma que MFA y no cumple el requisito de MFA. Los productos de Salesforce que incluyen activación de dispositivos deben requerir MFA para cada inicio de sesión. Consulte ¿Qué es la activación de dispositivos y cómo se relaciona con MFA? para obtener más información.

Autenticación delegada

 

Autenticación continua/basada en riesgos

Depende

Consulte ¿Cumple la autenticación continua/basada en riesgo el requisito de MFA? para obtener más detalles.

Dispositivos corporativos / Certificados de dispositivos de confianza

Depende

Consulte ¿Cumplen los dispositivos corporativos de confianza el requisito de MFA? para obtener más detalles

Redes de confianza

Depende

Consulte ¿Cumplen el requisito de MFA las restricciones de inicios de sesión en redes de confianza? para obtener más detalles.

Certificados de usuario

Depende

Consulte ¿Cumplen los certificados de usuario el requisito de MFA? para obtener más detalles

 

Requisitos de MFA para tipos de organizaciones y arrendatarios

Organización / Tipo de arrendatario

¿Se requiere MFA?

Notas

Entornos de producción

 

Sitios de Experience Cloud,
sitios de comercio electrónico, portales de ayuda, comunidades de empleados

No

Consulte ¿Se requiere MFA para sitios de Experience Cloud de clientes y socios? para obtener más información.

Entornos de sandbox (Parcial, Completo, Developer, Pro)

Consulte Notas

Consulte ¿Se requiere MFA para entornos Sandbox? para aprender cómo el requisito de MFA se aplica a entornos de prueba internos.

Organizaciones borrador

No

 

Entornos de Developer Edition y Partner Developer Edition

Consulte Notas

El requisito de MFA no se aplica a estos entornos. No obstante, requerimos encarecidamente activar MFA para organizaciones de DE que incluyan datos de clientes, propiedad intelectual u otros datos de producción de Salesforce.

Sitios de habilitación (myTrailhead)

Depende

Si utiliza Salesforce Identity for Enablement como proveedor de autenticación para su sitio de habilitación, se requiere MFA. Una vez que MFA esté activada para su organización de Salesforce, los usuarios que accedan a su sitio de habilitación recibirán automáticamente un reto de MFA cuando inicien sesión.

Si utiliza una cuenta de Trailblazer como proveedor de autenticación para su sitio de habilitación, no se requiere MFA.

Trailhead Playgrounds

No

 

Pruebas

Consulte Notas

Las pruebas tienen un periodo de gracia antes de que se aplique el requisito de MFA. Consulte ¿Se requiere MFA para pruebas de productos? para obtener detalles.

Volver al principio

 

¿Es la MFA obligatoria para productos de Salesforce a los que se accede a través del inicio de sesión único (SSO)?

Sí, el requisito de MFA se aplica a todos los usuarios que accedan a la interfaz de usuario de un producto de Salesforce, independientemente de que lo hagan directamente o a través de SSO. Si sus productos de Salesforce están integrados con SSO, asegúrese de que la MFA esté activada para todos sus usuarios de Salesforce. Por ejemplo, puede utilizar el servicio MFA de su proveedor de SSO. O bien, para productos desarrollados sobre la base de Salesforce Platform, puede utilizar la función MFA proporcionada en Salesforce de forma gratuita en lugar de habilitar la MFA a nivel de SSO. Consulte Utilizar MFA de Salesforce para inicios de sesión con SSO en la Ayuda de Salesforce para obtener más detalles.

Los clientes son completamente responsables de la protección de las cuentas a las que se accede empleando su proveedor de identidad de SSO (IdP). Un proveedor de identidad es un sistema de confianza que almacena y gestiona identidades digitales y autentica sus usuarios.

Consulte también:

Volver al principio

 

¿Se requiere MFA para sitios de Experience Cloud de clientes y socios?

MFA no se requiere para los sitios de Experience Cloud, comunidades de empleados, portales de ayuda o sitios de comercio electrónico/escaparates de su empresa. No tiene que activar MFA para usuarios externos que acceden a estos sitios. Puede identificar los usuarios externos por estos tipos de licencias:

  • Licencias de Comunidad

  • Licencias de Identidad externa

  • Licencias de Comunidad de empleados (ya sea una licencia de Salesforce Platform emparejada con una licencia de conjunto de permisos de Comunidad de empresa para Lightning Platform o una licencia de Comunidad de empresa heredada)

MFA no es obligatorio para usuarios externos a los que se les emitió licencias no de comunidad por parte de Salesforce o un socio de Salesforce únicamente para el propósito de acceder a comunidades de empleados o de otro tipo.

Observe que MFA es obligatorio para usuarios internos (o sea, cualquiera con una licencia de usuario estándar) que inician sesión en la Comunidad de empleados de su empresa u otros sitios de Experience Cloud.

Volver al principio

 

¿Se incluyen en el requisito de MFA los inicios de sesión en aplicaciones móviles y de escritorio de Salesforce?

Sí. Todas las aplicaciones móviles y de escritorio de socios, Salesforce, personalizadas y de AppExchange a las que se acceda a través de inicios de sesión en la interfaz de usuario se incluyen en el requisito de MFA. Esto incluye la aplicación móvil de Salesforce, la aplicación móvil de Marketing Cloud, Salesforce Inbox, Quip y las integraciones con Gmail™ y Outlook®.

Nota: En la página Historial de inicios de sesión en Configuración, los inicios de sesión en las aplicaciones móviles Salesforce se muestran como tipos de inicio de sesión "Acceso remoto 2.0". Y el uso posterior de las aplicaciones a menudo se controla con intercambio de tokens a través de llamadas de API inicio de sesión. No obstante, los usuarios de la aplicación móvil no son usuarios de API. Los inicios de sesión de la aplicación móvil requieren MFA porque los usuarios están iniciando sesión en la interfaz de usuario.

Volver al principio

 

¿Se requiere MFA para entornos sandbox?

El requisito de MFA para sus entornos sandbox depende del producto de Salesforce.

  • Para productos desarrollados sobre la base de Salesforce Platform:

    • Los sandboxes están actualmente excluidos del requisito de MFA. Es posible que el requisito se aplique en el futuro.

    • Aunque MFA no es obligatorio para entornos sandbox en estos momentos, recomendamos encarecidamente utilizar MFA para estos entornos si incluyen cualquier propiedad intelectual, datos de clientes u otros datos de producción de Salesforce.

  • Para B2C Commerce y Marketing Cloud Intelligence: MFA es obligatorio para entornos sandbox. Estos entornos estarán afectados cuando MFA sea obligatorio para clientes de B2C Commerce y Marketing Cloud Intelligence.

  • Para productos que no tienen entornos sandbox formales, como Marketing Cloud, Marketing Cloud Engagement y Tableau Cloud, incluso si tiene arrendatarios, organizaciones o instancias que se utilicen únicamente para fines de prueba, se requiere MFA para estos entornos.

Volver al principio

 

¿Se requiere MFA para mis usuarios de integración?

El requisito de MFA no se aplica a los tipos de inicio de sesión de integración del sistema a través de la API.

Notas:

  • La MFA es obligatoria si los administradores o cualquier otro usuario inician sesión en cuentas del usuario de integración (también conocido como usuario de API), incluso si es solo para configurar por primera vez el usuario o para realizar tareas de mantenimiento ocasionales, como cambiar contraseñas o actualizar tokens de seguridad. Estos tipos de usuarios a menudo tienen privilegios altos, de modo que es importante utilizar MFA para proteger el acceso humano a estas cuentas.

  • Para los productos desarrollados sobre la base de Salesforce Platform: Si una organización se utiliza únicamente con fines de integración, el ajuste Requerir autenticación de múltiples factores (MFA) para todos los inicios de sesión directos de la interfaz de usuario de su organización de Salesforce no afectará de ninguna manera a las operaciones de su organización. Es seguro y se recomienda dejar este ajuste activado.

Volver al principio

 

¿Se requiere MFA para RPA o cuentas de pruebas automatizadas?

No, las cuentas para herramientas de automatización de pruebas, como Selenium™, Cucumber™ o Appium® y sistemas Robotic Process Automation (Automatización robótica de procesos, RPA) como Automation Anywhere®, no requieren MFA. Estos tipos de cuentas no son proclives al phishing. No obstante deberá tomar precauciones con las credenciales para sus cuentas de automatización con el fin de salvaguardarlas frente a atacantes que las utilicen para obtener acceso a sus entornos de Salesforce. Si sus herramientas RPA o de prueba admiten MFA con códigos de aprobación simultáneos basados en tiempo (TOTP) durante el inicio de sesión, le recomendamos utilizarlos. Otras opciones incluyen la gestión de credenciales de cuentas de automatización a través de un sistema de gestión de cuentas privilegiadas (PAM).

Consulte también:

Volver al principio

 

¿Cumple la autenticación continua/basada en riesgo el requisito de MFA?

La autenticación basada en riesgo, también conocida como autenticación adaptativa o Evaluación de la confianza y del riesgo adaptativo continuo (CARTA) es un sistema de autenticación que analiza de forma continua el riesgo asociado con un usuario supervisando múltiples señales procedentes del usuario, el dispositivo del usuario, y cómo y cuándo accede el usuario a los servicios. Si el nivel de riesgo en una situación específica lo justifica, el proveedor de identidad o el servicio de autenticación requiere automáticamente al usuario satisfacer retos de seguridad adicionales. Para conocer más detalles, consulte este artículo.

Si ya ha integrado un sistema de autenticación basado en riesgo con su solución de SSO, su implementación cumple con el requisito de MFA. Si desea considerar este tipo de solución, hay un número de proveedores de tecnología con los que puede trabajar.

Consulte también:

Volver al principio

 

¿Cumplen los dispositivos corporativos de confianza el requisito de MFA?

Por sí mismos, los dispositivos corporativos de confianza con certificados emitidos por servicios como Active Directory o Mobile Device Management (Gestión de dispositivos móviles, MDM) no satisfacen el requisito de MFA porque los certificados de dispositivos pueden verse comprometidos y ser utilizados por cualquiera que tenga acceso al dispositivo.

Si utiliza certificados de dispositivos para el acceso de los usuarios, debe activar MFA para su proveedor de identidad de SSO o sus productos de Salesforce. No obstante, si ello no es posible, puede satisfacer el requisito de MFA cumpliendo estas dos condiciones para SSO o inicios de sesión directos:

  • Los usuarios deben iniciar sesión desde dispositivos corporativos de confianza a los que se les haya emitido un certificado de dispositivo y que estén gestionados por una solución de gestión de dispositivos, y

  • Los dispositivos de confianza se utilicen únicamente en una red de confianza, como una red corporativa a la que se acceda desde la oficina o una solución de acceso de red segura proporcionada de manera corporativa como una VPN o un producto Zero trust network access (ZTNA).


Además, recomendamos seguir prácticas de buena higiene de TI, incluyendo la activación de software de seguridad de extremo, como Windows Defender o CrowdStrike en dispositivos de confianza.

Consulte también:

Volver al principio

 

¿Cumplen el requisito de MFA las restricciones de inicios de sesión en redes de confianza?

Por separado, el uso de una red de confianza no satisface el requisito de MFA. Si requiere que los usuarios estén en una red de confianza para acceder a SSO, debe activar MFA para su proveedor de identidad de SSO. Del mismo modo, si su producto de Salesforce admite el uso de listas de admisión de direcciones IP, intervalos de IP en los que se confía, o intervalos de direcciones IP de inicio de sesión para controlar inicios de sesión directos, recomendamos activar las funciones MFA de sus productos para satisfacer el requisito de MFA.

No obstante si ello no es posible, puede satisfacer el requisito de MFA cumpliendo estas dos condiciones para SSO o inicios de sesión directos:

  • Los usuarios deben iniciar sesión desde dispositivos corporativos de confianza a los que se les haya emitido un certificado de dispositivo y que estén gestionados por una solución de gestión de dispositivos, y

  • Los dispositivos de confianza se utilicen únicamente en una red de confianza, como una red corporativa a la que se acceda desde la oficina o una solución de acceso de red segura proporcionada de manera corporativa como una VPN o un producto Zero trust network access (ZTNA).


Además, recomendamos seguir prácticas de buena higiene de TI, incluyendo el uso de software de seguridad de extremo, como Windows Defender o CrowdStrike en dispositivos de confianza.

Consulte también:

Volver al principio

 

¿Satisface el uso de una VPN o Zero Trust Network Access el requisito de MFA?

Por separado, una solución de acceso a red seguro como una VPN o un producto Zero trust network access (ZTNA) no satisface el requisito de MFA. Si el uso de MFA para SSO o los inicios de sesión directos no es posible, los clientes pueden satisfacer el requisito de MFA requiriendo el uso tanto de redes de confianza como de dispositivos de confianza para acceder a productos de Salesforce.
Si un usuario se conecta a través de tecnología de acceso a redes, como una VPN o un producto ZTNA, satisfacen los criterios para estar en una red de confianza. Para satisfacer el criterio de dispositivo de confianza, es necesario que:

  • Limite el acceso de redes de confianza a dispositivos gestionados corporativos

  • O bien, si permite el uso de dispositivos no gestionados en su red corporativa, asegure el usuario requiriendo MFA para el acceso de red o utilice un sistema de autenticación continua/basada en riesgos


Si el uso de una combinación de dispositivos de confianza y redes de confianza no es una opción, satisfaga el requisito de MFA activando MFA para su proveedor de identidad de SSO o sus productos de Salesforce.

Consulte también:

Volver al principio

 

¿Cumplen los certificados de usuario el requisito de MFA?

Si utiliza la autenticación basada en certificados para su organización de Salesforce, o si su implementación de SSO utiliza certificados de usuario en vez de nombres de usuario y contraseñas, no satisface el requisito de MFA.

Para cumplir el requisito, debe activar MFA para sus productos de Salesforce o su proveedor de identidad de SSO. No obstante, si ello no es posible, puede realizar MFA y satisfacer el requisito configurando su servicio de certificados para requerir un PIN antes de que los usuarios puedan seleccionar o recibir un certificado de usuario (por ejemplo, al iniciar sesión con una tarjeta PIV o CAC).

Consulte también:

Volver al principio

 

¿Podemos utilizar un gestor de contraseñas en lugar de MFA?

Un gestor de contraseñas juega una función importante en su estrategia de defensa en profundidad, pero no es un sustituto de MFA. Puede utilizar este tipo de herramienta para garantizar que los usuarios creen contraseñas sólidas y difíciles de predecir, no reutilizan contraseñas y cambian las contraseñas según una programación recomendada. Pero las contraseñas, incluso las sólidas, no son protección suficiente frente al acceso a cuentas no autorizado porque pueden verse comprometidas por amenazas comunes como los ataques de phishing, el relleno de credenciales y el malware. Los gestores de contraseñas no proporcionan la seguridad para los inicios de sesión mejorada que obtiene requiriendo dos o más factores de autenticación a través de MFA.

Volver al principio

 

¿Se requiere MFA para pruebas de productos?

Las pruebas de productos de Salesforce tienen un periodo de gracia antes de que se aplique el requisito de MFA. Si un periodo de prueba va más allá o es de otro modo superior a 45 días, la MFA debe estar activada para todos los usuarios del entorno en el día 45. Cuando una prueba se convierte a producción, la MFA se activa automáticamente para inicios de sesión directos, y todos los usuarios deben proporcionar un método de verificación además de su nombre de usuario y contraseña.

Volver al principio

 

¿Hay algún producto que esté excluido del requisito de MFA?

Sí. Salesforce no requiere MFA para los siguientes productos en instalaciones:

  • MuleSoft Anypoint Platform On-Premises Edition.

  • On-Premises Tableau Server y Tableau Public. Además, Tableau Desktop, Tableau Prep, Tableau Content Migration Tool (CMT) y Tableau Resource Monitoring Tool (RMT) están excluidos, a no ser que estén conectados a Tableau Cloud.

Volver al principio

 

Si tengo una suscripción de Salesforce con un socio, ¿se aplica el requisito de MFA?

Si adquirió su suscripción de Salesforce de un distribuidor de Salesforce o socio OEM, también se le requerirá activar MFA para sus usuarios. Puede ponerse en contacto con su distribuidor de Salesforce o socio OEM para obtener más información sobre el requisito de MFA.

Volver al principio

 

¿Se requiere MFA para Núcleo de entorno?

(Este tema se aplica a productos desarrollados sobre la base de Salesforce Platform únicamente.)

MFA es obligatorio para cualquier inicio de sesión en Núcleo de entorno que dé como resultado la autenticación en una organización de producción.

El requisito de MFA no se aplica a Developer Edition, Partner Developer Edition u organizaciones borrador. De este modo, si está utilizando Núcleo de entorno para acceder a estos tipos de entornos, MFA no es obligatorio.

Volver al principio

 

¿Podemos activar MFA solo para usuarios con privilegios?

Para satisfacer el requisito de MFA, todos los usuarios internos que inicien sesión en sus productos de Salesforce (incluyendo soluciones de socios) a través de la interfaz de usuario deben utilizar MFA. MFA para administradores y usuarios privilegiados es su máxima prioridad porque estos tipos de usuarios tienen los tipos de permisos que hacen que sus cuentas sean objetivos deseables. Hay mayor riesgo si un atacante obtiene acceso a estos tipos de cuentas.

Volver al principio

 

¿Tenemos que utilizar la misma solución de MFA para todos nuestros usuarios de Salesforce?

La esencia del requisito de MFA es que todos sus usuarios de Salesforce deban proporcionar un método de verificación sólido además de sus contraseñas cuando accedan a productos de Salesforce. Si es necesario, puede cumplir este punto implementando múltiples soluciones de MFA. Por ejemplo, si tiene una mezcla de usuarios con SSO y sin SSO, asegúrese de que MFA esté activada para su implementación de SSO, además de utilizar la función MFA de su producto de Salesforce para usuarios que inician sesión directamente.

Volver al principio

 

MFA para inicios de sesión directos en productos de Salesforce

 

¿Qué productos de Salesforce admiten MFA?

Las funciones MFA se incluyen en estos productos de Salesforce:

  • Todos los productos desarrollados sobre la base de Salesforce Platform, que incluyen: Sales Cloud, Service Cloud, Analytics Cloud, B2B Commerce Cloud, Experience Cloud, productos Industries (Consumer Goods Cloud, Education Cloud, Financial Services Cloud, Government Cloud, Health Cloud, Manufacturing Cloud, Nonprofit Cloud, Philanthropy Cloud), Marketing Cloud Audience Studio (anteriormente DMP), Marketing Cloud Account Engagement (con tecnología de Pardot), Platform, Salesforce Essentials, Salesforce Field Service y soluciones de socios

  • B2C Commerce Cloud

  • Heroku

  • Marketing Cloud Engagement (con tecnología de Correo electrónico, Mensajería y Trayectorias)

  • Marketing Cloud Intelligence (con tecnología de Datorama)

  • Marketing Cloud Social

  • MuleSoft Anypoint Platform

  • Productos Quip

  • Tableau Cloud

Para obtener más información sobre MFA para estos productos, consulte el sitio para clientes de MFA para Salesforce.

Volver al principio

 

¿Cómo podemos excluir los casos de uso exentos de MFA cuando MFA está activada?

Como se documenta en estas preguntas más frecuentes, existen algunos casos de uso donde no se requiere MFA, como las pruebas automatizadas y las cuentas RPA, los tipos de inicio de sesión de integración del sistema a través de la API, Developer Edition y organizaciones borrador, etcétera. La mayoría de estos casos se excluyen automáticamente de la necesidad de utilizar MFA. Pero dependiendo de sus productos, algunos casos de uso requieren que se excluya alguna acción de su parte.

Productos desarrollados sobre la base de Salesforce Platform
Consulte este tema en la Ayuda de Salesforce para ver la lista de casos de uso exentos de MFA que se deben excluir de forma manual de requerir MFA y aprender cómo realizar esta acción.

B2C Commerce Cloud
Si alguno de los siguientes se aplica a su implementación, siga los siguientes pasos antes de activar MFA para su inquilino.


Marketing Cloud Engagement (con tecnología de correo electrónico, mensajería y viajes)
Marketing Cloud Intelligence (con tecnología de Datorama)
Si planifica utilizar una combinación de dispositivos y redes fiables para satisfacer el requisito de MFA, póngase en contacto con su representante de Salesforce.

MuleSoft Anypoint Platform
Consulte este tema en la documentación de MuleSoft para ver la lista de casos de uso exentos de MFA que se deben excluir de forma manual del requisito de MFA, y aprender cómo realizar esta acción.

Tableau Cloud
Póngase en contacto con su equipo de cuentas de Tableau si alguno de los siguientes se aplica a su sitio:

  • Hace que las visualizaciones de Tableau Cloud estén disponibles para consumidores fuera de su empresa inmediata o tiene usuarios externos que pueden acceder a contenido en su sitio de Tableau Cloud de una forma permitida en nuestra guía del usuario.

  • Utiliza una combinación de dispositivos de confianza y redes de confianza para satisfacer el requisito de MFA.

Consulte también:

Volver al principio

 

¿Es Lightning Login una forma de MFA?

Sí, puede utilizar Lightning Login para satisfacer el requisito de MFA para productos desarrollados sobre la base de Salesforce Platform. Esta función da a los usuarios una experiencia de MFA mejorada con acceso rápido, seguro y libre de contraseñas a sus cuentas de Salesforce. Lightning Login cumple el estándar MFA requiriendo dos factores de autenticación: Salesforce Authenticator (algo que el usuario tiene) y un PIN o exploración biométrica en su dispositivo móvil (algo que el usuario es). Consulte Activar inicios de sesión Lightning para inicios de sesión sin contraseñas en la Ayuda de Salesforce para obtener más información.

Volver al principio

 

¿Podemos utilizar una solución de MFA de otro fabricante?

Si su empresa ya está utilizando una solución de MFA como Okta™ o Duo™, recomendamos integrar sus productos de Salesforce con ese sistema en vez de utilizar una función MFA de productos de Salesforce. La integración con una solución existente puede reducir al mínimo la fricción y las necesidades de gestión de cambios, ya que sus usuarios ya estarán familiarizados con el sistema existente.

De manera alternativa, si su empresa tiene una implementación de inicio de sesión único (SSO) existente que requiera MFA, vea si puede integrar sus productos de Salesforce con ese sistema. No obstante tenga en cuenta que todos sus usuarios de Salesforce deberán utilizar MFA. Si tiene usuarios (como administradores de Salesforce) que inicien sesión directamente en sus productos, asegúrese de que estén utilizando la función MFA proporcionada por Salesforce.

Volver al principio

 

¿Qué es la activación de dispositivos y cómo se relaciona con MFA?

Algunos productos de Salesforce incluyen una función llamada Activación de dispositivos o Verificación de identidad. Esta función a veces se confunde con MFA.

Activación de dispositivos requiere que los usuarios proporcionen un factor de autenticación adicional si inician sesión desde un navegador o dispositivo no reconocido, o si la dirección IP del usuario está fuera de un intervalo IP de confianza. Los métodos de verificación admitidos para esta función incluyen el correo electrónico y los mensajes de texto SMS, así como métodos sólidos como Salesforce Authenticator, aplicaciones de autenticador TOTP externas y llaves de seguridad.

MFA, por otra parte, requiere que los usuarios proporcionen un método de verificación sólido cada vez que inicien sesión. Los mensajes de correo electrónico y de texto SMS no se permiten para los inicios de sesión con MFA por su susceptibilidad inherente a ataques por personas malintencionadas, de modo que estas opciones no se permiten para los inicios de sesión con MFA.

Nota: Para productos desarrollados sobre la base de Salesforce Platform y Marketing Cloud Engagement, cuando se activa MFA, la Activación de dispositivos/Verificación de identidad se desactiva.

Volver al principio

 

MFA para inicios de sesión SSO en productos de Salesforce

 

Utilizamos Inicio de sesión único (SSO) para Salesforce. ¿Satisface SSO el requisito de MFA?

Por separado, SSO no satisface el requisito de MFA. Con una estrategia de SSO bien implementada, podrá reducir algunos de los riesgos asociados con contraseñas débiles o reutilizadas, y facilitar a sus usuarios iniciar sesión en aplicaciones utilizadas con frecuencia. Pero si su implementación de SSO depende solo de las credenciales de usuario, las cuentas de usuarios quedan vulnerables ante ataques comunes como el phishing o el relleno de credenciales.

Si sus productos de Salesforce están integrados con SSO, asegúrese de que MFA esté activada para todos sus usuarios de Salesforce. Puede utilizar el servicio MFA de su proveedor de SSO. O bien, para productos desarrollados sobre la base de Salesforce Platform, puede utilizar la función MFA proporcionada en Salesforce de forma gratuita en lugar de habilitar la MFA a nivel de SSO. Consulte Utilizar MFA de Salesforce para inicios de sesión con SSO en la Ayuda de Salesforce para obtener detalles.

Nota: Tenga en cuenta que todos sus usuarios de Salesforce deberán utilizar MFA. Si tiene usuarios (como administradores de Salesforce) que inicien sesión directamente en sus productos, asegúrese de que estén utilizando la función MFA proporcionada por Salesforce.

Consulte también:

Volver al principio

 

¿Por qué requiere Salesforce MFA para SSO?

Si su implementación de SSO se basa únicamente en las credenciales de los usuarios, esta deja las cuentas de los usuarios vulnerables a ataques de seguridad comunes, como el phishing o el relleno de credenciales. MFA es una de las formas más efectivas de evitar el acceso no autorizado a las cuentas. Si no implementa MFA para los usuarios que acceden a Salesforce a través de SSO, correrá un riesgo aun mayor de sufrir ciberataques que podrían hacer daño a su empresa y sus clientes.

Le instamos a que trabaje con sus equipos de seguridad y de TI para poner en sintonía el requisito de MFA con los objetivos de seguridad generales de su empresa, y para obtener su ayuda en el cumplimiento del requisito.

Si no implementa MFA para usuarios que accedan a Salesforce a través de SSO, estará en un riesgo mayor de sufrir ciberataques que podrían dañar a su negocio y clientes.

Volver al principio

 

¿Tenemos que utilizar MFA tanto en los niveles de SSO como de Salesforce?

Para cumplir con el requisito de MFA, asegúrese de que todos los usuarios internos inicien sesión con MFA.

  • Si tiene una combinación de usuarios SSO y no SSO, asegúrese de que tanto el servicio MFA de su proveedor de SSO como la función MFA de sus productos Salesforce para inicios de sesión directos estén habilitados.

  • Incluso si no tiene ningún usuario que inicie sesión directamente en sus productos Salesforce, es una buena práctica recomendada de seguridad dejar habilitada la función MFA de sus productos de Salesforce para inicios de sesión directos. Hacerlo no tiene ningún efecto en los inicios de sesión de SSO y garantiza el pleno cumplimiento del requisito de MFA en caso de que un administrador u otro usuario con privilegios necesiten acceder a sus productos directamente.

Volver al principio

 

¿Con qué frecuencia deben los usuarios proporcionar un método de verificación de MFA cuando inician sesión con SSO?

Recomendamos encarecidamente configurar el servicio MFA para su proveedor de identidad de SSO de modo que se requiera que los usuarios proporcionen un método de verificación sólido además de sus nombres de usuario y contraseñas cada vez que inicien sesión.

Consulte también:

Volver al principio

 

¿Cómo sabrá Salesforce que hemos activado MFA para nuestro proveedor de identidad de SSO y que cumplimos el requisito?

Si utiliza un proveedor de identidad externo (IdP) para acceder a sus productos de Salesforce, Salesforce tiene visibilidad limitada de su implementación de MFA. Para garantizar que tengamos la perspectiva necesaria para gestionar el requisito de MFA, estamos planificando aprovechar atributos basados en estándares en protocolos SSO que describen el método de autenticación utilizado durante un inicio de sesión con SSO.

La mayoría de los proveedores de SSO admiten dos atributos principales: OpenID Connect (OIDC) utiliza la Referencia de método de autenticación (amr) y SAML utiliza el Contexto de autenticación (AuthnContext). En estos momentos, amr de OIDC está disponible en productos desarrollados sobre la base de Salesforce Platform, y puede ver los valores en LoginHistory cuando exporte los datos. En versiones futuras estamos buscando ampliar amr de OIDC a otros productos de Salesforce, y agregar compatibilidad para AuthnContext de SAML para todos los productos.

Volver al principio

 

¿Activará o aplicará Salesforce de manera forzosa MFA para SSO?

No realizaremos ninguna acción en su nombre para activar MFA para su proveedor de identidad de SSO. Tampoco tenemos planes de bloquear el acceso a productos de Salesforce o desencadenar desafíos de MFA si su servicio SSO no requiere MFA. Esta política podría cambiar en el futuro.

No obstante, recuerde que el requisito contractual de MFA, según la sección Avisos e información de licencia de la Documentación de Confianza y cumplimento normativo y la Guía del usuario de Salesforce pertinente, se aplica a todos los usuarios internos de Salesforce que acceden a sus productos de Salesforce a través de SSO. Si no ha habilitado MFA para inicios de sesión SSO, consulte ¿Qué ocurre si no satisfacemos el requisito de MFA? para obtener más información. Y hable con su equipo legal para comprender las implicaciones del no cumplimiento.

Si le preocupa cumplir con el requisito, póngase en contacto con su representante de Salesforce. Trabajaremos con usted para encontrar una solución.

Volver al principio

 

¿Podemos utilizar la función de MFA de Salesforce en lugar de utilizar el servicio de MFA de nuestro proveedor de SSO?

Para productos que están desarrollados sobre la base de Salesforce Platform, puede utilizar la función MFA proporcionada en Salesforce en vez de utilizar el servicio de MFA de su proveedor de SSO. Con este enfoque, los usuarios inician sesión a través de su página de inicio de sesión de SSO. Luego se dirigen a Salesforce, donde se les solicita que proporcionen su método de verificación de MFA para confirmar su identidad. Para conocer más detalles, consulte Utilizar MFA de Salesforce para inicios de sesión SSO en la Ayuda de Salesforce.

Nota: Esta opción no está disponible para otros productos de Salesforce.

Volver al principio

 

¿Puedo habilitar SSO para administradores de Salesforce? ¿Qué ocurre si SSO deja de estar disponible?

Los administradores deberían siempre poder iniciar sesión directamente en sus productos de Salesforce empleando sus nombres de usuario y contraseñas. No recomendamos activar SSO para los administradores de Salesforce porque no podrán iniciar sesión si se produce una interrupción u otro problema con su implementación de SSO. Por ejemplo, si su proveedor de SSO externo tiene una interrupción sostenida, los administradores podrán utilizar la página de inicio de sesión estándar de su producto de Salesforce para iniciar sesión con sus nombres de usuario y contraseñas, para luego desactivar SSO hasta que se resuelva el problema. En vez de utilizar SSO para administradores de Salesforce, recomendamos activar MFA para cuentas de administrador directamente en sus productos de Salesforce.

Volver al principio

 

¿Cómo podemos aplicar los inicios de sesión SSO para usuarios de Salesforce?

Si su empresa utiliza SSO para acceder a Salesforce, recomendamos que desactive los inicios de sesión directos para todos los usuarios estándar. Evitar los inicios de sesión con un nombre de usuario y contraseña de Salesforce garantiza que sus usuarios no omitirán su sistema de SSO. Asegúrese de que los usuarios afectados conocen la URL donde pueden acceder a su página de inicio de sesión con SSO. Para consultar los pasos para ello, consulte Desactivar los inicios de sesión con credenciales de Salesforce para usuarios con SSO en la Ayuda de Salesforce para obtener más información.

Volver al principio

 

¿Qué debemos hacer si SSO no está disponible y los usuarios necesitan iniciar sesión directamente en productos de Salesforce?

Si permite inicios de sesión directos en productos Salesforce como alternativa en caso de que su servicio SSO deje de funcionar, asegúrese de que la función MFA proporcionada por sus productos de Salesforce esté activada y se aplique a todos los usuarios afectados. Y anime a estos usuarios a registrar un método de verificación para sus cuentas de Salesforce ahora, para que no experimenten retrasos si tienen que iniciar sesión directamente. Consulte el sitio para clientes de MFA para Salesforce para obtener enlaces a la documentación de ayuda de MFA para su(s) producto(s).

Volver al principio

 

Métodos de verificación para MFA

 

¿Qué métodos de verificación satisfacen el requisito de MFA?

Empecemos con los métodos de verificación que no satisfacen el requisito, independientemente de que esté utilizando los servicios de MFA de su proveedor de identidad de SSO o MFA de Salesforce para los inicios de sesión directos.


Para satisfacer el requisito de MFA, debe utilizar métodos de verificación que sean altamente resistentes a ciberataques (como ataques de phishing y man-in-the-middle). Los métodos de verificación fuertes ayudan a proporcionar una alta garantía de que los usuarios que acceden a los productos de Salesforce son quienes dicen ser.

Para SSO:
 Con la excepción de las opciones enumeradas anteriormente, utilice cualquier método que sea admitido o esté integrado con la solución MFA de su proveedor de identidad.

Para Salesforce MFA:
Emplee cualquiera de los métodos que admita la función MFA de sus productos de Salesforce:

  • La aplicación móvil Salesforce Authenticator (disponible en App Store® o Google Play™)

  • Aplicaciones de autenticador con códigos de aprobación simultáneos basados en tiempo (TOTP), como Google Authenticator™, Microsoft Authenticator™ o Authy™

  • Llaves de seguridad que admitan WebAuthn o U2F, como YubiKey™ de Yubico o Titan™ Security Key de Google

  • Autenticadores integrados, como Touch ID®, Face ID® o Windows Hello™

Consulte este tema en la Ayuda de Salesforce para ver los beneficios y las consideraciones de cada uno de ellos.

Para su implementación de MFA, seleccione el método o métodos que mejor se ajusten a su negocio y las necesidades de sus usuarios (teniendo en cuenta la orientación de este tema).

Volver al principio

 

¿Pueden los usuarios registrar métodos de verificación múltiples?

Sí. De hecho, instamos a los usuarios a registrar varios métodos de verificación, de manera que tengan un método de respaldo en caso de que olviden o pierdan su método principal.

Si un usuario configura varios métodos de verificación, se les solicitará automáticamente que proporcionen el método más seguro cuando inicien sesión. Salesforce utiliza este orden de precedencia para los métodos de verificación cuando se inicia sesión con la MFA:

  1. Salesforce Authenticator

  2. Autenticadores integrados

  3. Llaves de seguridad

  4. Aplicaciones de autenticador de códigos de aprobación simultáneos basados en tiempo (TOTP) externos

Nota: Los productos de Quip en estos momentos limitan a los usuarios a registrar un método de verificación al mismo tiempo.

Volver al principio

 

¿Podemos utilizar el correo electrónico, los SMS o las llamadas de teléfono como métodos de verificación de MFA?

No. Los códigos de aprobación simultáneos entregados a través de mensajes de correo electrónico y SMS o las llamadas telefónicas no satisfacen el requisito de MFA, independientemente de que esté utilizando MFA de Salesforce para inicios de sesión directos o los servicios de MFA de su proveedor de SSO. Esto se debe a que las credenciales de correo electrónico pueden verse comprometidas, y los mensajes de texto y las llamadas telefónicas pueden interceptarse. Es mucho más difícil para las personas malintencionadas conseguir el control de un dispositivo móvil físico o una llave de seguridad física que infiltrarse en una cuenta de correo electrónico o hackear un número de teléfono móvil.

Nota: Si implementa MFA para su cliente o socio en sitios de Experience Cloud, los usuarios externos podrán iniciar sesión empleando mensajes de texto SMS como método de verificación. Esta opción le permite proporcionar una capa adicional de seguridad para sus sitios manteniendo al mismo tiempo la facilidad de acceso para los usuarios que no interactúan con datos críticos comerciales. Consulte este tema en la Ayuda de Salesforce para obtener detalles completos.

Volver al principio

 

¿Dónde puedo obtener más información acerca de los métodos de verificación de MFA compatibles con Salesforce?

Consulte este tema en la Ayuda de Salesforce.

Volver al principio

 

¿Podemos utilizar autenticadores TOTP basados en sistemas de escritorio o navegadores?

Como práctica recomendada, recomendamos el uso de aplicaciones de autenticador móviles, llaves de seguridad físicas o autenticadores incorporados porque estos tipos de métodos de verificación están de forma separada del equipo portátil o la estación de trabajo de un usuario. De esta forma, si un atacante se las arregla para obtener acceso al equipo de un usuario, el segundo factor del usuario no se ve también comprometido.

Dicho esto, si una aplicación de autenticador TOTP de escritorio, extensión de navegador o herramienta de gestor de contraseñas compatible con TOTP es la única opción que funciona para sus usuarios, puede satisfacer el requisito de MFA con estos tipos de métodos.

Nota: El uso de la extensión Synebo de Chrome para inicios de sesión en entornos de Salesforce no cumple con el requisito de MFA.

Consulte también:

Volver al principio

 

¿Admite Salesforce códigos TOTP generados por un gestor de contraseñas?

Como práctica recomendada, fomentamos el uso de métodos de verificación como una aplicación móvil o una llave de seguridad física porque están de forma separada del equipo portátil o la estación de trabajo de un usuario. De esta forma, si un atacante se las arregla para obtener acceso al equipo de un usuario, el segundo factor del usuario no se ve también comprometido. Muchos gestores de contraseñas permiten a los usuarios generar contraseñas simultáneas basadas en tiempo (TOTP) para la autenticación con MFA. Recomendamos utilizar esta capacidad únicamente de gestores de contraseñas a los que se acceda desde dispositivos móviles, o si el gestor de contraseñas tiene en sí protección con MFA (por ejemplo, empleando autenticación biométrica).

Volver al principio

 

Ninguno de los métodos de verificación de MFA admitidos funciona para mi empresa. ¿Cómo podemos satisfacer el requisito de MFA?

Comprendemos que algunos clientes puedan tener dificultades a la hora de implementar MFA. Estamos aquí para ayudarle a encontrar un camino a seguir para MFA con el fin de evitar implicaciones de seguridad y cumplimiento para su organización. Si está preocupado porque no puede satisfacer el requisito, póngase en contacto con su representante de Salesforce y trabajaremos con usted para encontrar una solución.

Volver al principio

 

Nuestros usuarios no tienen dispositivos móviles. ¿Podemos utilizar MFA?

Sí, los productos de Salesforce admiten los métodos de verificación de MFA que no requieren el uso de una aplicación de autenticador y un dispositivo móvil. Recomendamos llaves de seguridad físicas o autenticadores integrados.

Si estas opciones no funcionan debido a restricciones de presupuesto o limitaciones de hardware, también puede satisfacer el requisito utilizando aplicaciones de autenticador de escritorio TOTP o extensiones de navegador.

Consulte también:

Volver al principio

 

¿Es necesaria una conexión de datos para utilizar una aplicación de autenticador móvil? Si un usuario pierde su conectividad, ¿puede iniciar sesión?

La aplicación móvil Salesforce Authenticator requiere una conexión de datos para autenticar a través de notificaciones distribuidas o la verificación automatizada basada en ubicación. No obstante, si el dispositivo móvil del usuario queda sin conexión, el usuario podrá seguir autenticándose empleando uno de los códigos de contraseña simultánea basado en tiempo (TOTP) que la aplicación genera continuamente. Del mismo modo, las aplicaciones de autenticador TOTP externas son aptas si un dispositivo no tiene conexión.

Volver al principio

 

Prepárese para la MFA

 

¿Cómo se ven afectados mis usuarios cuando se activa la autenticación de múltiples factores (MFA)?

Cuando MFA se activa para los inicios de sesión en la interfaz de usuario, cada usuario debe tener al menos un método de verificación registrado antes de poder iniciar sesión en Salesforce. El proceso de registro conecta un método con la cuenta de Salesforce del usuario. Los usuarios pueden registrar métodos en cualquier momento. Si un usuario no tiene un método preparado en el momento en que se activa la MFA, se le solicita automáticamente que registre uno la próxima vez que inicia sesión. Las solicitudes en pantalla guían a los usuarios en el proceso.

Posteriormente, en todos los procesos de inicio de sesión se solicita a los usuarios que proporcionen un método registrado además de su nombre de usuario y contraseña.

Vea este breve vídeo para obtener una visión general de cómo afecta la MFA a la experiencia de inicio de sesión.

Volver al principio

 

¿Cómo preparo mis usuarios para MFA?

Consulte Cómo preparar a sus usuarios para la autenticación de múltiples factores en la Ayuda de Salesforce para obtener ideas y prácticas recomendadas. Y descargue también el Paquete de implantación de Autenticación de múltiples factores para obtener plantillas de gestión de cambios e incorporación personalizables.

Volver al principio

 

¿Con qué frecuencia deben los usuarios proporcionar un método de verificación cuando inician sesión directamente en productos de Salesforce?

Si está utilizando las funciones de MFA de Salesforce, los usuarios deben responder a un reto de MFA cada vez que inician sesión en un producto de Salesforce. Esto se aplica a todos los inicios de sesión, incluyendo aquellos debido a la inactividad y las sesiones caducadas. No se puede modificar la frecuencia de los retos de MFA.

Volver al principio

 

¿Puedo automatizar o controlar con qué frecuencia se requiere el paso de autenticación adicional por los productos de Salesforce para reducir la repercusión sobre mis usuarios?

Para garantizar que MFA esté proporcionando la protección prevista, los usuarios deben proporcionar un método de verificación cada vez que inician sesión directamente en un producto de Salesforce. Para reducir la fricción para los usuarios, recomendamos utilizar Salesforce Authenticator. La aplicación puede automatizar el paso de autenticación adicional cuando un usuario trabaja desde un lugar de confianza, como la oficina o el domicilio, lo que significa que los usuarios no tienen que tocar sus teléfonos cuando inician sesión desde estas ubicaciones. Los usuarios pueden establecer esta opción por ellos mismos. Consulte Automatizar la autenticación de múltiples factores desde una ubicación de confianza con Salesforce Authenticator en la Ayuda de Salesforce para obtener más detalles.

Además, Salesforce Authenticator puede confiar automáticamente en una ubicación después de que un usuario se autentique desde el mismo lugar tres veces. Para configurar esta opción, consulte Dejar que Salesforce Authenticator guarde de manera inteligente sus ubicaciones de confianza.

Volver al principio

 

¿Qué deben hacer los usuarios si necesitan sustituir un método de verificación o si su método deja de funcionar?

(Este tema se aplica a productos desarrollados sobre la base de Salesforce Platform únicamente).

Con el tiempo, es inevitable que los usuarios cambien sus teléfonos móviles y ordenadores por otros modelos más nuevos. Si alguien usó su dispositivo antiguo para ejecutar una aplicación de autenticación o un autenticador integrado de MFA, tendrá que cambiar el método de verificación a su nuevo hardware. De forma similar, es posible que un usuario termine sustituyendo su llave de seguridad física por una nueva. En estas situaciones, empiece por desconectar el método de verificación actual del usuario para que este pueda registrar el método nuevo. Si un usuario notifica que su método de verificación ha dejado de funcionar al intentar iniciar sesión, se debe restablecer ese método. Para ello, el usuario tiene que desconectarlo y volver a registrarlo para MFA.

Consulte el sitio para clientes de MFA para Salesforce para obtener orientación específica del producto. Y consulte ¿Cómo pueden los usuarios recuperar el acceso si pierden u olvidan sus métodos de verificación? para restaurar rápidamente el acceso del usuario.

Volver al principio

¿Cómo pueden los usuarios recuperar el acceso si pierden u olvidan sus métodos de verificación?

Sus opciones para ayudar a los usuarios si pierden u olvidan sus métodos de verificación habituales dependen de su producto Salesforce.

Nota: Si usted es el único administrador de su producto y queda bloqueado, póngase en contacto con el Servicio de atención al cliente de Salesforce.

Códigos de verificación temporales generados por el administrador
Para algunos productos, los administradores pueden generar códigos temporales que permiten a los usuarios iniciar sesión sin un método de verificación. Siga los pasos para:

Códigos de recuperación generados por el usuario
Para estos productos, los usuarios pueden generar una lista de diez códigos de recuperación de un solo uso que pueden guardar en un lugar seguro hasta que los necesiten. Estos códigos se deberán utilizar solo como un método de respaldo cuando el método de verificación habitual de un usuario no está disponible. Siga los pasos para:

Restablecer MFA
Para MuleSoft Anypoint Platform, los administradores pueden restablecer MFA para un usuario que haya perdido u olvidado sus métodos de verificación. A continuación se le solicita al usuario que registre un nuevo método la próxima vez que inicie sesión.

Volver al principio

 

¿Cómo podemos evitar que los administradores queden bloqueados después de activar MFA?

Asegúrese de que su plan de recuperación del acceso incluya pasos para ayudarle a usted y a sus compañeros administradores si pierde el acceso a sus métodos de verificación habituales. Tenga en cuenta estas prácticas recomendadas:

  • Cada administrador deberá registrar al menos dos métodos de verificación.

  • Mantenga una llave de seguridad de respaldo en un lugar seguro en el trabajo.

  • Establezca al menos dos cuentas que tengan permiso para gestionar usuarios y parámetros de MFA. De esta forma, si una cuenta queda bloqueada, podrá utilizar la otra cuenta para restaurar el acceso.

Volver al principio

 

Algunos de sus usuarios comparten una única cuenta de Salesforce. ¿Cómo funciona la MFA en esta situación?

Salesforce prohíbe compartir credenciales de usuario con varios usuarios. Esta práctica es incompatible con MFA porque cada usuario debe registrar y conectar un método de verificación exclusivo con su cuenta de Salesforce antes de que pueda iniciar sesión. Si varios usuarios están compartiendo una cuenta única, solo una persona podrá iniciar sesión en esa cuenta una vez activada la MFA.

Resuelva cualquier cuenta o credencial compartida que se esté utilizando. Asegúrese de tener suficientes licencias para configurar cuentas separadas para cada persona que necesite acceder a sus productos de Salesforce. Si necesita ayuda con la configuración de cuentas de usuario exclusivas, póngase en contacto con su ejecutivo de cuenta o equipo de ventas. O bien consulte Comprobación de Salesforce y Autoservicio para gestionar su cuenta.

Volver al principio

 

¿Cómo funciona MFA en entornos sandbox?

(Este tema se aplica a productos desarrollados sobre la base de Salesforce Platform únicamente.)

Para ayudar a desarrollar una estrategia para gestionar MFA para sus entornos sandbox, revise las consideraciones en Consideraciones de configuración de entornos sandbox con autenticación de múltiples factores en la Ayuda de Salesforce.

Consulte también:

Volver al principio

 

Guía de requisitos de MFA para socios/proveedores de servicios de Salesforce

 

¿Se requiere MFA cuando los proveedores de servicio de Salesforce utilizan licencias proporcionadas por clientes para acceder a organizaciones de clientes para realizar servicios administrativos?

Sí. Consulte ¿Pueden los clientes asignar una única licencia a su proveedor de servicio de Salesforce, donde la licencia será compartida por múltiples usuarios del proveedor? para obtener más información.

Volver al principio

 

¿Pueden los clientes asignar una única licencia a su proveedor de servicio de Salesforce, donde la licencia será compartida por múltiples usuarios del proveedor?

Sí, pero solo mientras se cumplan los siguientes criterios y sujeto a las siguientes condiciones adicionales: (i) todos esos Usuarios deben ser personal de un proveedor de servicio de Salesforce autorizado que utilicen suscripciones únicamente para el propósito de proporcionar asistencia u otros servicios al Cliente en conexión con el uso por parte del Cliente de los Servicios en dicha Organización del Cliente, (ii) todos esos Usuarios deberán utilizar una herramienta de gestión de cuentas con privilegios, o una solución de gestión de contraseñas corporativa, en conexión con el uso anterior que permite la implementación de MFA a pesar del uso de una única suscripción por parte de múltiples usuarios del proveedor de servicio, y que proporcione la capacidad de restringir los permisos de acceso solo a Usuarios autorizados, empleando técnicas como el control de acceso basado en funciones y el menor privilegio, y (iii) el Cliente mantendrá la responsabilidad del uso por parte de dichos Usuarios de estas suscripciones.

Salesforce se reserva el derecho de cambiar en cualquier momento los criterios del caso de uso anterior o interrumpir este uso permitido al completo.

Para obtener una orientación detallada sobre cómo satisfacer el requisito de MFA para esta situación, consulte el artículo de conocimiento Cómo satisfacer el requisito de MFA para el caso de uso de inicio de sesión compartido de administrador de socios.

Volver al principio

 

Utilizamos licencias de usuario de Plataforma para Comunidades. ¿Cómo se aplica el requisito MFA a este caso de uso?

MFA no es necesaria para usuarios externos que solo pueden acceder a los sitios de Experience Cloud de su empresa, como por ejemplo las comunidades de empleados. Para los productos desarrollados sobre la base de Salesforce Platform, un usuario externo es cualquier persona que tenga una licencia de Comunidad, Comunidad de empleados o Identidad externa.

Si su solución de socio ha desarrollado una comunidad para usuarios externos pero utiliza una licencia de plataforma en lugar de Experience Cloud, envíe un caso de asistencia siguiendo estas instrucciones:

  1. En la Ayuda de Salesforce, abra un caso en la asistencia del Programa de socios de Salesforce.

  2. Presente el caso en Programas y beneficios para socios y registre el tema como una Solicitud de tecnología ISV.

Volver al principio

 

¿Cómo afecta el requisito de MFA al uso de la consola de suscriptor?

  • Se requiere MFA al iniciar sesión en la organización de gestión de licencias (LMO); consulte Requerir autenticación de múltiples factores para inicios de sesión en organizaciones de suscriptores en las Notas de la versión de Salesforce para obtener detalles completos. Y para obtener información sobre MFA e Iniciar sesión como, consulte esta nota de la versión.

  • Los socios deberán configurar MFA en su organización de gestión de licencias (LMO) para acceder a la función Consola de asistencia para suscriptores. Tenga en cuenta que el método anterior de liberar tarea para probar la configuración de alta seguridad ya no está disponible. Los socios que utilizan conjuntos de permisos MFA ahora pueden usar Informes y paneles (Reports & Dashboards) para probar si su configuración de alta seguridad se ha configurado correctamente. Para confirmar que una cuenta de usuario del conjunto de permisos MFA tiene una sesión de alta seguridad, siga estos pasos.

Volver al principio

 

 

Más información

 

¿Dónde puedo obtener más información acerca de MFA para nuestros productos de Salesforce?

Estamos comprometidos con ayudarle a que tenga éxito con la MFA. Contamos con una variedad de recursos para ayudarle a sentirse más cómodo con la autenticación de múltiples factores y para que aprenda a gestionarla para sus productos.

Volver al principio

 

¿A dónde puedo dirigirme si tengo preguntas sobre MFA o el requisito de MFA?

Si tiene más preguntas o necesita ayuda, visite MFA - Getting Started en Trailblazer Community. Podrá publicar sus preguntas para expertos en seguridad de Salesforce y otros administradores Trailblazers que estén trabajando en la implementación de MFA.

Para los socios y proveedores de servicios de Salesforce, únase a nuestro camino en la Partner Community.

Volver al principio

 

Historial de revisiones

 

Fecha

Revisiones

28 de mayo de 2024

2021 - 2024

  • El historial de revisiones de este artículo se ha archivado.


 

Número del artículo de conocimiento

000396727

 
Cargando
Salesforce Help | Article