Loading

FAQ sur l'authentification multifacteur de Salesforce

Date de publication: Apr 22, 2025
Description

Chez Salesforce, la confiance des clients est notre priorité. Les menaces de sécurité sont en constante évolution et les types d’attaques qui peuvent paralyser une entreprise et exploiter les données des consommateurs sont en hausse. Afin de se protéger de ces types de menaces, Salesforce exige que tous les clients utilisent l’authentification multifacteur (MFA) lorsqu’ils accèdent aux produits Salesforce. La MFA est l’un des outils les plus simples et les plus efficaces pour renforcer la sécurité des connexions et protéger votre entreprise et vos données contre les menaces de sécurité.

Utilisez ce document pour comprendre les politiques d’exigences MFA et pour vous assurer que vos utilisateurs satisfont à cette exigence contractuelle. Pour obtenir des conseils sur la configuration de MFA pour votre produit Salesforce, consultez la section « Aide MFA pour vos produits Salesforce » sur le site client MFA.

Date de dernière mise à jour de cet article : 28 juin 2024.

Résolution

Forum aux questions

Exigence d'activation de la MFA

Étendue de l'exigence de la MFA

MFA pour les connexions directes aux produits Salesforce

MFA pour les connexions SSO aux produits Salesforce

Méthodes de vérification pour la MFA

Préparation pour la MFA

Guide relatif à l’exigence de la MFA pour les partenaires/fournisseurs de services Salesforce

En savoir plus

 

Exigence d'activation de la MFA

 

Qu'est-ce que la MFA et comment fonctionne-t-elle ?

La MFA renforce la protection des comptes utilisateur face aux menaces courantes telles que les attaques par hameçonnage, le bourrage d’identifiants et le piratage de compte. Elle ajoute une couche de sécurité à votre processus de connexion en demandant aux utilisateurs de saisir deux éléments de preuve (ou facteurs) ou plus pour confirmer leur identité. L'un des facteurs est une information que l'utilisateur connaît, par exemple la combinaison de nom d'utilisateur et de mot de passe. Les autres facteurs sont des méthodes de vérification que l’utilisateur possède, par exemple une application d’authentification ou une clé de sécurité. Les deux facteurs nécessaires pour retirer de l'argent à un distributeur automatique illustrent la MFA. Votre carte de crédit est un élément que vous possédez et votre code PIN est une information que vous connaissez.

En associant l'accès de l'utilisateur à différents types de facteur d'authentification, l'accès à votre environnement Salesforce est beaucoup plus difficile pour une personne malveillante. Par exemple, même si le mot de passe d'un utilisateur est volé, il est peu probable qu'un assaillant puisse deviner ou pirater le code de l'application d'authentification de l'utilisateur.

Pour en savoir plus, regardez la vidéo Fonctionnement de l'authentification multifacteur pour protéger l'accès aux comptes.

Haut de page

 

Quelle est l’exigence de la MFA ?

Tous les utilisateurs Salesforce internes sont contractuellement tenus d’utiliser la MFA pour chaque connexion aux produits Salesforce (y compris aux solutions partenaires) effectuée via l’interface utilisateur. Cette exigence s’applique également aux connexions directes à l’aide d’un nom d’utilisateur et d’un mot de passe Salesforce, et aux connexions à l’aide de l’authentification unique (SSO).

L'exigence de la MFA est entrée en vigueur le 1er février 2022. L’exigence est documentée dans les conditions de service dans la section Notices et informations sur les licences de la documentation sur la confiance et la conformité de Salesforce et le guide de l’utilisateur Salesforce applicable.

Pour les connexions directes aux produits Salesforce, la fonctionnalité MFA est fournie sans frais supplémentaires. Pour les connexions SSO, utilisez le service MFA de votre fournisseur SSO.

Voir aussi :

Haut de page

 

Pourquoi la MFA est-elle exigée par Salesforce ?

Rien n'est plus important que la confiance et la réussite de nos clients. À mesure que les menaces de sécurité évoluent, les types d’attaques susceptibles de paralyser une entreprise en vue d’exploiter les consommateurs se multiplient

La protection de l’accès à vos comptes utilisateur Salesforce est un élément clé de votre stratégie de sécurité. Seuls, le nom d'utilisateur et le mot de passe ne représentent plus une protection efficace contre les cyberattaques. L'authentification multifacteur prend ici tout son sens. Elle est l'une des méthodes les plus simples et les plus efficaces pour empêcher tout accès non autorisé aux comptes, et protéger vos données et celles de vos clients. Nous demandons aux clients d'implémenter la MFA pour parer efficacement aux menaces et aux risques que représentent les attaques par hameçonnage, bourrage d'identifiants et piratage d'appareil.

Haut de page

 

Qu’a fait Salesforce pour aider les clients à satisfaire à l’exigence de la MFA ?

À une exception près, la MFA fait désormais partie intégrante du processus de connexion directe pour tous les produits Salesforce. Lorsque les utilisateurs se connectent à un produit Salesforce avec leur nom d’utilisateur et leur mot de passe, ils sont également invités à appliquer une méthode de vérification par MFA. Pour plus de détails, consultez l’article Quelle est l’incidence de l’activation de la MFA sur mes utilisateurs ?.

Pour les produits reposant sur Salesforce Platform, consultez la section Quel est le plan actuel en vue d’appliquer automatiquement la MFA pour les produits élaborés sur Salesforce Platform ?

Remarque : Les utilisateurs qui accèdent aux produits Salesforce via l’authentification unique ne sont pas concernés par la fonctionnalité MFA fournie par Salesforce. Retenez que la MFA est contractuellement obligatoire pour tous les utilisateurs Salesforce qui s'authentifient par SSO. Pour plus d’informations, consultez Salesforce appliquera-t-elle la MFA pour l’authentification unique ?

Haut de page

 

Comment vérifier que notre implémentation de la MFA répond à l'exigence d'authentification multifacteur ?

Pour confirmer que vous utilisez une solution MFA répondant à cette exigence, lisez les conditions de service dans Notices et informations sur les licences de la Documentation sur la confiance et la conformité de Salesforce et dans le Guide de l'utilisateur Salesforce applicable, ainsi que les informations présentées dans cette FAQ.

Vous pouvez également utiliser le Vérificateur des exigences de la MFA, qui vous guidera à travers quelques questions pour voir si votre implémentation répond à l’exigence. Le site indique les étapes à suivre si vous n’êtes pas encore tout à fait au point.

Si vous disposez d’une équipe informatique ou de cybersécurité, nous vous recommandons de lui demander conseil. Vous pouvez toujours poser des questions dans le groupe MFA - Getting Started de la Trailblazer Community.

Haut de page

 

Est-ce nécessaire de certifier que notre implémentation de la MFA répond à l'exigence d'authentification multifacteur ?

Salesforce ne demande pas aux clients de certifier la conformité avec leurs obligations contractuelles. Conformément à cette pratique, il n'est pas demandé aux clients d'obtenir une certification formelle ni d'attester auprès de Salesforce qu'ils satisfont à l'exigence contractuelle de la MFA.

Haut de page

 

Que se passe-t-il si nous ne satisfaisons pas à l’exigence de la MFA ?

L’exigence de la MFA est entrée en vigueur le 1er février 2022. Depuis cette date, Salesforce a activé et appliqué la MFA pour les connexions directes aux produits Salesforce. Si vos produits ne satisfont pas à l’exigence de la MFA, car vous n’avez pas implémenté la MFA pour les connexions SSO et/ou vous avez désactivé la fonctionnalité MFA de Salesforce de vos produits :

  • Vous ne respectez pas vos obligations contractuelles en vertu du Contrat de service principal, qui intègre les conditions de service de la MFA dans la section Notices et informations sur les licences de la documentation sur la confiance et la conformité de Salesforce.

  • Vous assumez tous les risques associés à la non-utilisation de la MFA lorsque vous accédez aux produits Salesforce.

Nous recommandons de contacter votre équipe juridique pour comprendre les implications de la non-utilisation de la MFA. Si vous avez des inquiétudes sur la satisfaction de l'exigence, vous pouvez également contacter votre représentant Salesforce. Nous vous aiderons à trouver une solution.

Haut de page

 

Quel est le plan actuel en vue d’appliquer automatiquement la MFA pour les produits élaborés sur Salesforce Platform ?

La protection des données est une responsabilité partagée : Salesforce intègre la sécurité dans ses produits et les clients s’appuient sur les ressources et les outils fournis (dont la MFA) pour renforcer davantage la sécurité de leurs organisations Salesforce. Grâce à la collaboration avec nos clients et à leur volonté de sécuriser l’accès aux comptes utilisateur, le programme d’activation automatique de la MFA a connu un grand succès.

En raison du taux d’adoption élevé de la MFA pour les produits créés sur Salesforce Platform et dans le souci d’éviter à nos clients de mobiliser trop de temps et de ressources, nous sommes passés à un modèle de notifications au lieu de recourir à une application automatique de la MFA par voie technique. Nous savons qu’il pourrait être utile pour les administrateurs Salesforce de conserver la possibilité de désactiver brièvement la MFA à des fins de tests ou de configuration. Cependant, les clients ne doivent pas oublier que s’ils désactivent la MFA, ils ne respectent pas leur obligation contractuelle imposant son utilisation. Ils doivent donc la réactiver dès que possible.

Pour plus d’informations sur les notifications de non-conformité à la MFA, consultez cette note de publication.

Quelles conséquences a ce changement sur l’exigence de la MFA ?
L’exigence contractuelle imposant l’utilisation de la MFA reste en vigueur. Nous assurerons un suivi de l’utilisation de la MFA dans toutes les organisations Salesforce. En cas de baisse des taux d’adoption de la MFA pour les produits élaborés sur Salesforce Platform, nous relancerons le programme visant à imposer la MFA via des moyens techniques. Vous serez bien entendu avertis à l’avance.

Notez qu’il n’y a aucun changement dans l’application de la MFA pour les autres produits Salesforce.

Haut de page

 

En tant que client potentiel ou nouveau client, comment l’exigence de la MFA s’applique-t-elle à mes produits Salesforce ?

La MFA fait automatiquement partie de l’expérience de connexion directe pour tous les produits Salesforce. Lorsque vous achetez un produit Salesforce, la MFA est exigée chaque fois que les utilisateurs se connectent directement à l’interface utilisateur de votre environnement de production. Après avoir saisi leur nom d’utilisateur et leur mot de passe, les utilisateurs sont invités à confirmer leur identité avec une méthode de vérification supplémentaire. Lors de leur première connexion, les utilisateurs sont invités à sélectionner et à enregistrer une méthode de vérification. Des invites à l’écran guident les utilisateurs à travers les étapes d’inscription. Pour plus de détails, consultez l’article Quelle est l’incidence de l’activation de la MFA sur mes utilisateurs ?. Consultez la section relative aux méthodes de vérification en lien avec la MFA afin d’en savoir plus sur les types de méthodes disponibles pour vos utilisateurs.

Si vous envisagez d’intégrer vos produits Salesforce avec l’authentification unique (SSO), assurez-vous que la MFA est incluse dans votre implémentation. Vous pouvez utiliser le service MFA de votre fournisseur SSO. Ou, pour les produits élaborés sur Salesforce Platform, vous pouvez utiliser la fonctionnalité MFA gratuite fournie dans Salesforce au lieu d’activer la MFA au niveau SSO. Pour obtenir des détails, consultez Utilisation de la MFA Salesforce pour les connexions SSO dans l’aide Salesforce.

Haut de page

 

Étendue de l'exigence de la MFA

 

Quels sont les types d'utilisateur, de connexion et d'environnement requis pour la MFA ?

Les clients peuvent satisfaire à l’exigence de la MFA en s’assurant que la MFA est activée pour tous les utilisateurs internes qui se connectent aux produits Salesforce (y compris à des solutions partenaires) via l’interface utilisateur. Pour plus de détails sur les types d'utilisateur, les types de connexion et les environnements affectés par cette exigence, consultez les tableaux ci-dessous.

Exigences de la MFA par type d'utilisateur

Type d'utilisateur

MFA requise pour se connecter ?

Remarques

Utilisateurs internes

Oui

Un utilisateur interne désigne toute personne détentrice d'une licence utilisateur standard ayant accès à l'interface utilisateur de votre organisation Salesforce, à savoir les administrateurs, les développeurs, les utilisateurs privilégiés, les utilisateurs standard et les utilisateurs autorisés à agir au nom de votre entreprise, notamment les partenaires et les agences tierces.

Utilisateurs externes

Non

Les utilisateurs externes peuvent accéder uniquement aux sites Experience Cloud, aux sites ou boutiques e-commerce, aux portails d'aide, aux communautés d'employés, etc., de votre entreprise. Pour les produits élaborés sur Salesforce Platform, un utilisateur externe désigne toute personne détentrice d'une licence Community, Employee Community ou External Identity. Pour en savoir plus, consultez La MFA est-elle requise pour les sites Experience Cloud de clients et de partenaires ?

Clients de Tableau Cloud : La MFA n’est pas requise pour les utilisateurs externes de Tableau Cloud qui consomment des visualisations dans des contextes incorporés ou pour les utilisateurs externes du site Tableau Cloud d’un client.

Notez que certaines juridictions ou industries locales ont des exigences réglementaires plus strictes concernant la MFA, pouvant exiger la MFA pour ces types d’utilisateurs.

Utilisateurs de Chatter External, Chatter Free

Non

 

Utilisateurs de Chatter Only (Chatter Plus)

Oui

 

 

Exigences de la MFA pour les différents types de connexion et méthodes d'authentification

Type de connexion / Méthode d'authentification

MFA requise ?

Remarques

Connexions (humaines) directes à l’interface utilisateur

Oui

Cela s’applique à toutes les interfaces Salesforce, notamment aux applications mobiles et aux applications clientes telles que Data Loader. Notez que Data Loader propose deux options de connexion. Lorsque la MFA est activée, l'option OAuth (une connexion à l'interface utilisateur) génère un défi MFA alors que l'authentification par mot de passe (une connexion par API) ne génère aucun défi. L’option OAuth du chargeur de données ne prend pas en charge les méthodes de vérification de type clés de sécurité ou authentificateur intégré.)

La MFA est requise si un administrateur ou toute autre personne se connecte à des comptes d’utilisateurs d’intégration (aussi appelés utilisateurs d’API). Pour en savoir plus, consultez la section La MFA est-elle requise pour les utilisateurs d’intégration ?.

Pour en savoir plus, consultez la section MFA pour les connexions directes aux produits Salesforce.

SSO (SAML, OpenID Connect)

Oui

Pour en savoir plus, consultez la section MFA pour les connexions SSO aux produits Salesforce.

Connexions de comptes tests automatisés et RPA (automatisation robotisée des processus) à l'interface utilisateur

Non

Pour en savoir plus, consultez La MFA est-elle requise pour les comptes tests automatisés ou RPA (automatisation robotisée des processus) ?

Types de connexion d'intégration système via l'API

Non

Pour plus d'informations, consultez La MFA est-elle requise pour les utilisateurs d'intégration ?

Activation de l’appareil / Vérification de l’identité

Oui

L’activation de l'appareil est différente de la MFA et ne répond pas à l’exigence de la MFA. Les produits Salesforce qui incluent l'activation de l'appareil doivent utiliser la MFA à chaque connexion. Pour en savoir plus, consultez Qu'est-ce que l’Activation de l'appareil et comment est-elle liée à la MFA ?

Authentification déléguée

Oui

 

Authentification continue / basée sur le risque

Cela dépend

Pour en savoir plus, consultez L’authentification continue / basée sur le risque satisfait-elle à l’exigence de la MFA ?

Appareils d'entreprise approuvés / certificats d'entreprise approuvés

Cela dépend

Pour en savoir plus, consultez Les appareils d'entreprise approuvés répondent-ils à l’exigence de la MFA ?.

Réseaux approuvés

Cela dépend

Pour en savoir plus, consultez Les connexions restreintes pour réseaux approuvés répondent-elles à l’exigence de la MFA ?

Certificats utilisateurs

Cela dépend

Pour en savoir plus, consultez Les certificats utilisateurs répondent-ils à l’exigence de la MFA ?.

 

Exigences de la MFA pour des types d'organisation et de locataire

Type d'organisation / de locataire

MFA requise ?

Remarques

Environnements de production

Oui

 

Sites Experience Cloud,
sites e-commerce, portails d’aide, communautés d’employés

Non

Pour en savoir plus, consultez La MFA est-elle requise pour les sites Experience Cloud de clients et de partenaires ?

Environnements sandbox (Partial, Full, Developer, Pro)

Voir les remarques

Pour découvrir comment l'exigence de la MFA s'applique aux environnements de test interne, consultez La MFA est-elle requise pour les environnements sandbox ?

Organisations tests

Non

 

Environnements Partner Developer Edition et Developer Edition

Voir les remarques

L'exigence de la MFA ne s'applique pas à ces environnements. Cependant, nous vous encourageons vivement à activer la MFA pour les organisations Developer qu'ils contiennent des données clients, une propriété intellectuelle ou d'autres données de production Salesforce.

Sites d’habilitation (myTrailhead)

Cela dépend

Si vous utilisez Salesforce Identity pour l’habilitation comme fournisseur d'authentification pour votre site d’habilitation, la MFA est requise. Une fois la MFA activée pour votre organisation Salesforce, les utilisateurs qui accèdent à votre site enablement sont automatiquement invités à répondre à un défi MFA lors de la connexion.

Si vous utilisez un compte Trailblazer comme fournisseur d’authentification pour votre site enablement, la MFA n’est pas requise.

Trailhead Playground

Non

 

Évaluations

Voir les remarques

Les évaluations ont une période de grâce avant que l’exigence de la MFA s’applique. Pour en savoir plus, consultez la section La MFA est-elle requise pour les évaluations de produits ?.

Haut de page

 

La MFA est-elle requise pour les produits Salesforce accessibles via l’authentification unique (SSO) ?

Oui, l’exigence de la MFA s’applique à tous les utilisateurs qui accèdent à l’interface utilisateur d’un produit Salesforce, que ce soit via une connexion directe ou par SSO. Si vos produits Salesforce intègrent la SSO, assurez-vous que la MFA est activée pour tous vos utilisateurs Salesforce. Par exemple, vous pouvez utiliser le service MFA de votre fournisseur SSO. Ou, pour les produits élaborés sur Salesforce Platform, vous pouvez utiliser la fonctionnalité MFA gratuite fournie dans Salesforce au lieu d’activer la MFA au niveau SSO. Pour plus d’informations, consultez Utilisation de la MFA Salesforce pour les connexions SSO dans l’Aide de Salesforce.

Les clients sont entièrement responsables de la protection des comptes auxquels ils accèdent à l’aide de leur fournisseur d’identité SSO. Un fournisseur d'identité est un système approuvé qui stocke et gère les identités numériques, et authentifie vos utilisateurs.

Voir aussi :

Haut de page

 

La MFA est-elle requise pour les sites Experience Cloud de clients et de partenaires ?

La MFA n'est pas requise pour les sites Experience Cloud, les communautés d'employés, les portails d'aide ou les sites et vitrines e-commerce de votre entreprise. Il n'est pas nécessaire d'activer la MFA pour les utilisateurs externes qui accèdent à ces sites. Vous pouvez identifier les utilisateurs externes par les types de licences suivants :

  • Licences Community

  • Licences External Identity

  • Licences Employee Community (licence Salesforce Platform associée à une licence d'ensemble d'autorisations Company Community pour Lightning Platform ou une licence Company Community héritée)

La MFA n'est pas requise pour les utilisateurs externes qui ont reçu de Salesforce ou de partenaires de Salesforce des licences de non-communauté dans le seul but d'accéder à des communautés d'employés ou à d'autres communautés.

Notez que la MFA est requise pour les utilisateurs internes (c’est-à-dire, toute personne disposant d'une licence utilisateur standard) qui se connecte à la communauté d’employés de votre entreprise ou à d’autres sites Experience Cloud.

Haut de page

 

Les connexions aux applications mobiles et pour le bureau de Salesforce exigent-elles la MFA ?

Oui. Toutes les applications Salesforce, personnalisées, AppExchange et mobiles ou de bureau partenaires, accessibles par connexion à l'interface utilisateur, sont incluses dans l'exigence de la MFA. Elles comprennent l'application mobile Salesforce, l'application mobile Marketing Cloud, Salesforce Inbox, Quip et les intégrations à Gmail™ et à Outlook®.

Remarque : Dans la page Historique de connexion de la Configuration, les connexions aux applications mobiles Salesforce sont affichées sous le type de connexion 'Accès distant 2.0'. L'utilisation des applications est souvent gérée par des échanges de jetons via des appels d'API. Cependant, les utilisateurs d'applications mobiles ne sont pas des utilisateurs API. Les connexions aux applications mobiles nécessitent la MFA, car les utilisateurs se connectent à l'interface utilisateur.

Haut de page

 

La MFA est-elle requise pour les environnements sandbox ?

L'exigence de la MFA pour vos environnements sandbox dépend du produit Salesforce.

  • Pour les produits élaborés sur Salesforce Platform :

    • Les environnements sandbox sont actuellement exclus de l’exigence de la MFA. Cette exigence pourrait s’appliquer à l’avenir.

    • Bien que la MFA ne soit pas actuellement requise pour les sandbox, nous recommandons vivement d'adopter la MFA pour ces environnements s'ils contiennent une propriété intellectuelle, des données clients ou d'autres données de production Salesforce.

  • Pour B2C Commerce et Marketing Cloud Intelligence : la MFA est requise pour les environnements sandbox. Ces environnements seront affectés lorsque la MFA sera automatiquement appliquée pour les clients de B2C Commerce et Marketing Cloud Intelligence.

  • Pour les produits qui n’ont pas d’environnement sandbox formel, la MFA est requise pour ces environnements avec des produits tels que Marketing Cloud Engagement et Tableau Cloud, même si vous avez des locataires, des organisations ou des instances utilisés exclusivement pour effectuer des tests.

Haut de page

 

La MFA est-elle requise pour les utilisateurs d'intégration ?

L’exigence de la MFA ne s’applique pas aux types de connexions d’intégration système via l’API.

Remarques :

  • La MFA est requise si les administrateurs ou toute autre personne se connectent à des comptes d’utilisateurs d’intégration (également appelés utilisateurs d’API), même si c’est uniquement pour la configuration initiale de l’utilisateur ou pour effectuer des tâches de maintenance occasionnelles, telles que le changement d’un mot de passe ou la mise à jour de jetons de sécurité. Ces types d’utilisateurs sont souvent dotés de privilèges élevés. Par conséquent, il est important d’utiliser la MFA afin de protéger ces comptes contre tout accès humain.

  • Pour les produits élaborés sur Salesforce Platform : Si une organisation est utilisée uniquement à des fins d’intégration, le paramètre Demander l’authentification multifacteur (MFA) pour toutes les connexions directes de l’interface utilisateur à votre organisation Salesforce n’a aucune incidence sur les activités de votre organisation. Le fait de laisser ce paramètre activé est recommandé et ne pose aucun problème de sécurité.

Haut de page

 

La MFA est-elle requise pour les comptes tests automatisés ou RPA (automatisation robotisée des processus) ?

Non, les comptes pour les outils d'automatisation test tels que Selenium™, Cucumber™ ou Appium®, et les systèmes RPA tels que Automation Anywhere®, ne nécessitent pas la MFA. Il est peu probable que ces types de comptes soient hameçonnés. Cependant, vous devez prendre des précautions avec les identifiants de vos comptes d’automatisation, afin d’éviter que les acteurs malveillants qui les utilisent n’accèdent à vos environnements Salesforce. Si vos outils RPA ou de test prennent en charge l’automatisation MFA avec des codes secrets temporels à usage unique (TOTP) lors de la connexion, nous vous recommandons d’utiliser la MFA. D’autres options incluent la gestion des identifiants de compte d’automatisation via un système de gestion de compte privilégié (PAM).

Voir aussi :

Haut de page

 

L’authentification continue / basée sur le risque satisfait-elle à l’exigence de la MFA ?

L'authentification basée sur le risque, également appelée authentification adaptative ou CARTA (évaluation adaptative continue du risque et de la confiance numérique), est un système d'authentification qui analyse en permanence le risque associé à un utilisateur en surveillant plusieurs signaux provenant de l'utilisateur, de l'appareil de l'utilisateur, et de l'heure et de la méthode avec lesquelles l'utilisateur accède aux services. Si le niveau de risque d'une solution donnée le permet, le fournisseur d'identité ou le service d'authentification demande automatiquement à l'utilisateur de répondre à des défis de sécurité supplémentaires. Pour en savoir plus, consultez cet article.

Si vous avez déjà intégré un système d'authentification basé sur le risque à votre solution SSO, votre implémentation répond à l'exigence de la MFA. Si vous souhaitez envisager ce type de solution, plusieurs fournisseurs de technologies peuvent l'implémenter.

Voir aussi :

Haut de page

 

Les appareils d'entreprise approuvés répondent-ils à l’exigence de la MFA ?

Utilisés seuls, les appareils d'entreprise approuvés dotés de certificats émis par des services tels que Active Directory ou Mobile Device Management (MDM) ne satisfont pas à l'exigence de la MFA, car les certificats d'entreprise peuvent être compromis et utilisés par quiconque a accès à l'appareil.

Si vous utilisez les certificats d’appareil pour l’accès utilisateur, vous devez activer la MFA pour votre fournisseur d'identité SSO. Si cette solution n'est pas envisageable, vous pouvez répondre à l'exigence de MFA en satisfaisant à ces deux conditions pour l’authentification unique ou les connexions directes :

  • Les utilisateurs doivent se connecter à partir d'appareils d'entreprise approuvés pour lesquels un certificat d'appareil a été émis, et qui sont gérés par une solution de gestion d’appareil, et

  • Les appareils approuvés sont utilisés uniquement sur un réseau approuvé, tel qu'un réseau d’entreprise accessible depuis le bureau ou une solution d’accès réseau sécurisé fournie par l’entreprise telle qu'un VPN ou un produit Zero Trust Network Access (ZTNA).


De plus, nous vous recommandons de suivre de bonnes pratiques en matière d’hygiène informatique sur les appareils approuvés, notamment en activant un logiciel de sécurité des terminaux, tel que Windows Defender ou CrowdStrike.

Voir aussi :

Haut de page

 

Les restrictions de connexion aux réseaux approuvés répondent-elles à l’exigence de la MFA ?

À elle seule, l’utilisation d’un réseau approuvé ne satisfait pas à l’exigence de la MFA. Si vous demandez aux utilisateurs d'utiliser un réseau approuvé pour accéder par SSO, vous devez activer la MFA pour votre fournisseur d'identité SSO. De même, si votre produit Salesforce prend en charge l’utilisation de listes d'autorisations d’adresses IP, de plages d'adresses IP de confiance ou de plages IP de connexion pour contrôler les connexions directes, nous vous recommandons d’activer la fonctionnalité MFA de vos produits pour répondre à l’exigence de la MFA.

Cependant, si cela n’est pas possible, vous pouvez satisfaire à l’exigence de la MFA en remplissant ces deux conditions pour l’authentification unique ou les connexions directes :

  • Les utilisateurs doivent se connecter à partir d'appareils d'entreprise approuvés pour lesquels un certificat d'appareil a été émis, et qui sont gérés par une solution de gestion d’appareil, et

  • Les appareils approuvés sont utilisés uniquement sur un réseau approuvé, tel qu'un réseau d’entreprise accessible depuis le bureau ou une solution d’accès réseau sécurisé fournie par l’entreprise telle qu'un VPN ou un produit Zero Trust Network Access (ZTNA).


De plus, nous vous recommandons de suivre de bonnes pratiques en matière d’hygiène informatique sur les appareils approuvés, notamment en activant un logiciel de sécurité des terminaux, tel que Windows Defender ou CrowdStrike.

Voir aussi :

Haut de page

 

L’utilisation d’un VPN ou d'un Zero Trust Network Access satisfait-elle à l’exigence de la MFA ?

À elle seule, une solution d’accès réseau sécurisée telle qu'un VPN ou un produit Zero Trust Network Access (ZTNA) ne satisfait pas à l’exigence de la MFA. Si l’utilisation de la MFA pour l’authentification unique ou les connexions directes n’est pas possible, les clients peuvent satisfaire à l’exigence de la MFA en exigeant l’utilisation de réseaux et d’appareils approuvés afin d’accéder aux produits Salesforce.
Si un utilisateur se connecte via une technologie d’accès au réseau, telle qu’un VPN ou un produit ZTNA, il remplit les critères d’appartenance à un réseau approuvé. Pour satisfaire au critère d'utilisation d'un appareil approuvé, vous devez :

  • Limiter l'accès au réseau approuvé aux appareils gérés par l'entreprise

  • Alternativement, si vous autorisez les appareils non gérés sur votre réseau d'entreprise, sécurisez l'utilisateur en demandant la MFA pour l’accès au réseau ou en utilisant un système d'authentification continu/basé sur le risque.


Si l’utilisation d’une combinaison d’appareils approuvés et de réseaux approuvés n’est pas possible, répondez à l’exigence de la MFA en activant la MFA pour votre fournisseur d’identité SSO ou vos produits Salesforce.

Voir aussi :

Haut de page

 

Les certificats utilisateurs répondent-ils à l'exigence de la MFA ?

Si vous utilisez une authentification basée sur le certificat pour votre organisation Salesforce, ou si votre implémentation SSO utilise des certificats utilisateur au lieu de noms d'utilisateur et de mots de passe, vous ne remplissez pas l’exigence de la MFA.

Pour répondre à l’exigence, vous devez activer la MFA pour vos produits Salesforce ou votre fournisseur d’identité SSO. Si cette solution n'est pas envisageable, vous pouvez implémenter la MFA et répondre à l'exigence en configurant votre service de certificat pour demander un code PIN avant d'autoriser les utilisateurs à sélectionner ou à recevoir un certificat utilisateur, par exemple en se connectant avec une carte d'accès commun (CAC) ou une carte de vérification d'identité personnelle (PIV).

Voir aussi :

Haut de page

 

Puis-je utiliser un gestionnaire de mots de passe à la place de la MFA ?

Un gestionnaire de mots de passe joue un rôle important dans votre stratégie de défense en profondeur, mais ne remplace pas la MFA. Vous pouvez utiliser ce type d'outil afin de vérifier que les utilisateurs créent des mots de passe forts et difficiles à deviner, qu'ils ne réutilisent pas les mots de passe et qu'ils changent leur mot de passe à la fréquence recommandée. Cependant, les mots de passe, même les plus forts, ne suffisent pas à protéger les comptes contre les accès non autorisés, car ils peuvent être compromis par des menaces courantes telles que les attaques par hameçonnage, le bourrage d’identifiants et les malwares. Les gestionnaires de mot de passe n'offrent pas la sécurité des connexions optimisée dont vous bénéficiez avec la MFA, qui nécessite deux facteurs d'authentification ou plus.

Haut de page

 

La MFA est-elle requise pour les évaluations de produits ?

Les évaluations des produits Salesforce ont une période de grâce avant que l’exigence de la MFA ne s’applique. Si une période d’évaluation est prolongée ou supérieure à 45 jours, la MFA doit être activée pour tous les utilisateurs de l’environnement au plus tard le 45e jour. Lorsqu’une version d’évaluation est convertie en version de production, la MFA est automatiquement activée pour les connexions directes, et tous les utilisateurs doivent appliquer une méthode de vérification en plus de leur nom d’utilisateur et de leur mot de passe.

Haut de page

 

Existe-t-il des produits exclus de l'exigence de la MFA ?

Oui. Salesforce n'exige pas la MFA pour les produits sur site suivants :

  • MuleSoft Anypoint Platform On-Premises Edition.

  • On-Premises Tableau Server et Tableau Public. De plus, Tableau Desktop, Tableau Prep, Tableau Content Migration Tool (CMT) et Tableau Resource Monitoring Tool (RMT) sont exclus, sauf s'ils sont connectés à Tableau Cloud.

Haut de page

 

Si j'ai un abonnement Salesforce via un partenaire, l'exigence de la MFA s'applique-t-elle ?

Si vous avez acheté votre abonnement Salesforce auprès d'un revendeur Salesforce ou partenaire OEM, vous devez activer la MFA pour vos utilisateurs. Pour en savoir plus sur l'exigence de la MFA, contactez votre revendeur Salesforce ou partenaire OEM.

Haut de page

 

La MFA est-elle requise pour la plate-forme d'environnement ?

(Cette rubrique s'applique uniquement aux produits élaborés sur Salesforce Platform).

La MFA est requise pour toute connexion à la plate-forme d'environnement qui entraîne une authentification dans une organisation de production.

L’exigence de la MFA ne s’applique pas à Developer Edition, Partner Developer Edition, ou aux organisations tests. Si vous utilisez la plate-forme d'environnement pour accéder à ces types d'environnement, la MFA n'est pas requise.

Haut de page

 

Puis-je activer la MFA uniquement pour les utilisateurs disposant de privilèges ?

Pour satisfaire à l’exigence de la MFA, tous les utilisateurs internes qui se connectent à vos produits Salesforce (y compris à des solutions partenaires) via l’interface interne utilisateur doivent utiliser l’authentification multifacteur. La MFA pour les administrateurs et les utilisateurs dotés de privilèges est votre priorité absolue, car ces types d’utilisateurs disposent de types d’autorisations qui font de leurs comptes des cibles de choix. Une personne malveillante essaiera d’abord d’accéder à ce type de compte.

Haut de page

 

Devons-nous utiliser la même solution MFA pour tous nos utilisateurs Salesforce ?

Le point crucial de l’exigence de la MFA est que tous vos utilisateurs Salesforce doivent fournir une méthode de vérification solide en plus de leur mot de passe lorsqu’ils accèdent aux produits Salesforce. Si nécessaire, vous pouvez accomplir cela en déployant plusieurs solutions MFA. Par exemple, si vous avez à la fois des utilisateurs SSO et non SSO, assurez-vous que la MFA est activée pour votre implémentation SSO en plus d’utiliser la fonctionnalité MFA de votre produit Salesforce pour les utilisateurs qui se connectent directement.

Haut de page

 

MFA pour les connexions directes aux produits Salesforce

 

Quels produits Salesforce prennent en charge la MFA ?

La fonctionnalité MFA est incluse dans les produits Salesforce suivants :

  • Tous les produits élaborés sur Salesforce Platform, notamment : Sales Cloud, Service Cloud, Analytics Cloud, B2B Commerce Cloud, Experience Cloud, les produits Industries (Consumer Goods Cloud, Education Cloud, Financial Services Cloud, Government Cloud, Health Cloud, Manufacturing Cloud, Nonprofit Cloud, Philanthropy Cloud), Marketing Cloud- Audience Studio (auparavant appelé DMP), Marketing Cloud Account Engagement (piloté par Pardot), Platform, Salesforce Essentials, Salesforce Field Service et les solutions de partenaires

  • B2C Commerce Cloud

  • Heroku

  • Marketing Cloud Engagement (piloté par e-mail, messagerie et parcours)

  • Marketing Cloud Intelligence (piloté par Datorama)

  • Marketing Cloud Social

  • MuleSoft Anypoint Platform

  • Produits Quip

  • Tableau Cloud

Afin d’en savoir plus sur la MFA pour ces produits, consultez le site client de la MFA pour Salesforce.

Haut de page

 

Comment pouvons-nous exclure les cas d’utilisation exemptés de la MFA lorsque la MFA est activée ?

Comme indiqué dans ce FAQ, la MFA n'est pas requise dans certains cas d'utilisation, par exemple pour les comptes tests automatisés ou RPA (automatisation robotisée des processus), les types de connexion d'intégration système via l'API, l'édition Developer et les organisations tests, entre autres. La plupart de ces cas sont automatiquement exclus de la nécessité d’utiliser la MFA. Cependant, selon vos produits, quelques cas d’utilisation nécessitent une action de votre part pour être exclus.

Produits élaborés sur Salesforce Platform
Afin de consulter la liste des cas d’utilisation exemptés de la MFA qui doivent être manuellement exclus de l’exigence et de savoir comment faire cette opération, reportez-vous à cette rubrique dans l’aide Salesforce.

B2C Commerce Cloud
Si l’un des cas suivants s’applique à votre implémentation, suivez les étapes indiquées avant d’activer la MFA pour votre locataire.


Marketing Cloud Engagement (piloté par e-mail, messagerie et parcours)
Marketing Cloud Intelligence (piloté par Datorama)
Si vous prévoyez d’utiliser une combinaison d’appareils de confiance et de réseaux sécurisés pour satisfaire à l’exigence de la MFA, contactez votre représentant Salesforce.

MuleSoft Anypoint Platform
Afin de consulter la liste des cas d’utilisation exemptés de la MFA qui doivent être manuellement exclus de l’exigence et de savoir comment effectuer cette opération, reportez-vous à cette rubrique de la documentation MuleSoft.

Tableau Cloud
Contactez l’équipe de compte Tableau si l’un des cas suivants s’applique à votre site :

  • Vous accordez l'accès aux visualisations Tableau Cloud à des consommateurs extérieurs à votre entreprise immédiate ou vous avez des utilisateurs externes qui peuvent accéder aux contenus de votre site Tableau Cloud en suivant une méthode autorisée par votre guide de l'utilisateur.

  • Vous utilisez une combinaison d'appareils approuvés et de réseaux réprouvés pour satisfaire à l'exigence de la MFA.

Voir aussi :

Haut de page

 

Lightning Login est-il une forme de MFA ?

Oui, vous pouvez utiliser Lightning Login afin de répondre à l’exigence de la MFA pour les produits élaborés sur Salesforce Platform. Cette fonctionnalité offre aux utilisateurs une expérience MFA améliorée grâce à un accès rapide, sécurisé et sans mot de passe à leurs comptes Salesforce. Lightning Login répond à la norme MFA en exigeant deux facteurs d’authentification : Salesforce Authenticator (un élément que l’utilisateur possède) et un code PIN ou une analyse biométrique sur l’appareil mobile (un élément qui représente l’utilisateur). Pour en savoir plus, consultez Lightning Login pour les connexions sans mot de passe dans l’Aide de Salesforce.

Haut de page

 

Puis-je utiliser une solution MFA tierce ?

Si votre entreprise utilise déjà une solution de MFA, telle que Okta™ ou Duo™, nous recommandons d’intégrer vos produits Salesforce à ce système au lieu d’utiliser la fonctionnalité MFA d’un produit Salesforce. L’intégration à une solution existante peut limiter les conflits et la nécessité de gérer les changements, car vos utilisateurs connaissent déjà le système existant.

Alternativement, si votre entreprise a une implémentation d’authentification unique (SSO) existante qui nécessite la MFA, vérifiez si vous pouvez intégrer vos produits Salesforce à ce système. Notez que tous vos utilisateurs Salesforce doivent utiliser la MFA. Si vous avez des utilisateurs (tels que des administrateurs Salesforce) qui se connectent directement à vos produits, assurez-vous qu’ils utilisent la fonctionnalité MFA offerte par Salesforce.

Haut de page

 

Qu'est-ce que l’Activation de l'appareil et comment est-elle liée à la MFA ?

Certains produits Salesforce contiennent une fonctionnalité appelée Activation de l'appareil, ou Vérification de l'identité. Cette fonctionnalité est parfois confondue avec la MFA.

L’activation de l'appareil nécessite que les utilisateurs fournissent un facteur d'authentification supplémentaire s'ils se connectent depuis un navigateur ou un appareil non reconnu, ou si l'adresse IP est extérieure à une plage d'adresses IP de confiance. Les méthodes de vérification prises en charge pour cette fonctionnalité comprennent les e-mails et les SMS, ainsi que des méthodes fortes telles que Salesforce Authenticator, les applications d'authentification TOTP tierces et les clés de sécurité.

De son côté, la MFA nécessite que les utilisateurs fournissent une méthode de vérification forte à chaque connexion. Les e-mails et les SMS ne sont pas autorisés pour les connexions par MFA, en raison de leur exposition inhérente aux attaques de personnes malveillantes. Par conséquent, ces options ne peuvent pas être utilisées avec la MFA.

Remarque : Pour les produits élaborés sur Salesforce Platform et Marketing Cloud Engagement, lorsque la MFA est activée, l’option Activation de l’appareil/Vérification de l’identité est désactivée.

Haut de page

 

MFA pour les connexions SSO aux produits Salesforce

 

Nous utilisons l'authentification unique (SSO) pour Salesforce. La SSO satisfait-elle à l'exigence de la MFA ?

Seule, l’authentification unique ne répond pas à l’exigence de la MFA. Avec une stratégie SSO correctement implémentée, vous pouvez réduire certains risques associés aux mots de passe faibles ou réutilisés, et faciliter la connexion de vos utilisateurs aux applications fréquemment utilisées. Cependant, si votre implémentation SSO s’appuie uniquement sur les identifiants de l’utilisateur, les comptes utilisateur peuvent être plus vulnérables aux attaques courantes telles que l’hameçonnage ou le bourrage d’identifiants.

Si vos produits Salesforce sont intégrés avec l’authentification unique, assurez-vous que la MFA est activée pour tous vos utilisateurs Salesforce. Vous pouvez utiliser le service MFA de votre fournisseur SSO. Ou, pour les produits élaborés sur Salesforce Platform, vous pouvez utiliser la fonctionnalité MFA gratuite fournie dans Salesforce au lieu d’activer la MFA au niveau SSO. Pour plus d’informations, consultez Utilisation de la MFA Salesforce pour les connexions SSO dans l’Aide de Salesforce.

Remarque : Notez que tous vos utilisateurs Salesforce doivent utiliser la MFA. Si vous avez des utilisateurs (tels que des administrateurs Salesforce) qui se connectent directement à vos produits, assurez-vous qu’ils utilisent la fonctionnalité MFA offerte par Salesforce.

Voir aussi :

Haut de page

 

Pourquoi Salesforce exige-t-elle la MFA pour l’authentification unique ?

Si votre implémentation SSO s’appuie uniquement sur les identifiants de l’utilisateur, les comptes utilisateur peuvent être plus vulnérables aux attaques courantes telles que l’hameçonnage ou le bourrage d’identifiants. La MFA est l’un des moyens les plus efficaces de prévenir les accès non autorisés aux comptes. Si vous n’implémentez pas la MFA pour les utilisateurs qui accèdent à Salesforce via SSO, vous êtes grandement exposé aux cyberattaques qui pourraient nuire à votre entreprise et à vos clients.

Nous vous encourageons à travailler avec vos équipes IT et de sécurité pour aligner l’exigence de la MFA sur les objectifs de sécurité généraux de votre entreprise, ainsi que pour obtenir leur aide pour répondre à l’exigence.

Si vous ne mettez pas en œuvre la MFA pour les utilisateurs qui accèdent à Salesforce via l’authentification unique, vous courez un risque accru d’attaques informatiques qui pourraient nuire à votre entreprise et à vos clients.

Haut de page

 

Devons-nous utiliser la MFA à la fois au niveau SSO et au niveau Salesforce ?

Pour satisfaire à l’exigence de la MFA, assurez-vous que tous les utilisateurs internes se connectent avec la MFA.

  • Si vous avez à la fois des utilisateurs SSO et non SSO, assurez-vous que le service MFA de votre fournisseur SSO et la fonctionnalité MFA de vos produits Salesforce pour les connexions directes sont activés.

  • Même si aucun de vos utilisateurs ne se connecte directement à vos produits Salesforce, il est recommandé de laisser activée la fonctionnalité MFA de vos produits Salesforce pour les connexions directes. Cela n’a aucune incidence sur les connexions SSO et garantit une conformité totale avec l’exigence de la MFA dans le cas où un administrateur ou un autre utilisateur doté de privilèges aurait besoin d’accéder directement à vos produits.

Haut de page

 

À quelle fréquence les utilisateurs doivent-ils fournir une méthode de vérification par MFA lorsqu'ils se connectent par SSO ?

Nous recommandons vivement de configurer le service MFA pour votre fournisseur d'identité SSO afin de demander aux utilisateurs de fournir une méthode de vérification forte, en plus de leur nom d'utilisateur et de leur mode passe, chaque fois qu'ils se connectent.

Voir aussi :

Haut de page

 

Comment Salesforce saura-t-elle que nous avons activé l’authentification multifacteur pour notre fournisseur d’identité SSO et que nous répondons à l’exigence ?

Si vous utilisez un fournisseur d’identité tiers (IdP) pour accéder à vos produits Salesforce, Salesforce a une visibilité limitée sur votre implémentation MFA. Afin de nous assurer de disposer des informations nécessaires pour gérer l’exigence de la MFA, nous prévoyons de tirer parti des attributs s’appuyant sur des normes dans les protocoles SSO qui décrivent la méthode d’authentification utilisée lors d’une connexion SSO.

La plupart des fournisseurs SSO prennent en charge deux attributs principaux : OpenID Connect (OIDC) utilise la Référence de la méthode d’authentification (amr) et SAML utilise le Contexte d’authentification (AuthnContext). Actuellement, OIDC amr est disponible dans les produits élaborés sur Salesforce Platform, et vous pouvez afficher les valeurs dans LoginHistory lorsque vous exportez les données. Dans les prochaines versions, nous souhaitons étendre OIDC amr à d’autres produits Salesforce et ajouter la prise en charge de SAML AuthnContext à tous les produits.

Haut de page

 

Salesforce activera-t-elle ou appliquera-t-elle automatiquement la MFA pour l’authentification unique ?

Nous n’agirons pas en votre nom afin d’activer la MFA pour votre fournisseur d’identité SSO, et vos utilisateurs SSO ne perdront pas l’accès à vos produits Salesforce et ne déclencheront pas les défis de la MFA si votre service SSO n'exige pas la MFA. Cette politique pourrait changer à l’avenir.

Retenez que l'exigence contractuelle de la MFA, conformément à la section Notices et informations sur les licences de la Documentation sur la confiance et la conformité Salesforce et au Guide de l'utilisateur Salesforce correspondant, s'applique à tous les utilisateurs Salesforce internes qui accèdent à vos produits Salesforce via l’authentification unique. Si vous n’avez pas activé la MFA pour les connexions SSO, consultez la rubrique Que se passe-t-il si nous ne satisfaisons pas à l’exigence de la MFA ? pour plus d’informations. Contactez également votre équipe juridique pour comprendre les implications d’une non-conformité.

Si vous souhaitez satisfaire à cette exigence, contactez votre représentant Salesforce. Nous vous aiderons à trouver une solution.

Haut de page

 

Pouvons-nous utiliser la fonctionnalité MFA de Salesforce au lieu d’utiliser le service MFA de notre fournisseur SSO ?

Pour les produits élaborés sur Salesforce Platform, vous pouvez utiliser la fonctionnalité MFA fournie dans Salesforce au lieu d’utiliser le service MFA de votre fournisseur SSO. Avec cette approche, les utilisateurs se connectent via votre page de connexion SSO. Ils sont ensuite dirigés vers Salesforce, où ils sont invités à fournir leur méthode de vérification par MFA pour confirmer leur identité. Pour en savoir plus, consultez Utilisation de l'authentification multifacteur Salesforce pour l’authentification unique dans l'Aide de Salesforce.

Remarque : Cette option n'est pas disponible pour les autres produits Salesforce.

Haut de page

 

Puis-je activer la SSO pour les administrateurs Salesforce ? Que se passe-t-il si la SSO ne fonctionne pas ?

Les administrateurs doivent toujours être en mesure de se connecter directement à vos produits Salesforce en utilisant leur nom d'utilisateur et leur mot de passe. Nous recommandons de ne pas activer la SSO pour les administrateurs Salesforce, car ils risquent de ne pas pouvoir se connecter en cas de panne ou d'un autre problème avec votre implémentation SSO. Par exemple, si votre fournisseur SSO tiers subit une panne prolongée, les administrateurs peuvent utiliser la page de connexion standard de votre produit Salesforce pour se connecter avec leur nom d'utilisateur et leur mot de passe, puis désactiver la SSO jusqu'à ce que le problème soit résolu. Au lieu d’utiliser la SSO pour les administrateurs Salesforce, nous vous recommandons d’activer la MFA pour les comptes d’administrateur directement dans vos produits Salesforce.

Haut de page

 

Comment appliquer les connexions SSO pour les utilisateurs Salesforce ?

Si votre entreprise utilise l’authentification unique pour accéder à Salesforce, nous vous recommandons de désactiver les connexions directes pour tous les utilisateurs standard. Le fait d’empêcher les connexions avec un nom d'utilisateur et un mot de passe Salesforce garantit que les utilisateurs ne peuvent pas contourner votre système SSO. Assurez-vous que les utilisateurs concernés connaissent l’URL à laquelle ils peuvent accéder à votre page de connexion SSO. Pour obtenir plus d’informations et connaître les étapes à suivre, reportez-vous à Disable Logins with Salesforce Credentials for SSO Users dans l’Aide de Salesforce.

Haut de page

 

Comment procéder si la SSO n'est pas disponible et que les utilisateurs doivent se connecter directement aux produits Salesforce ?

Si vous autorisez les connexions directes aux produits Salesforce comme solution de secours en cas de panne de votre service SSO, assurez-vous que la fonctionnalité MFA fournie par vos produits Salesforce est activée et appliquée à tous les utilisateurs concernés. Encouragez également ces utilisateurs à enregistrer dès maintenant une méthode de vérification pour leur compte Salesforce afin qu’ils ne rencontrent aucun problème s’ils doivent se connecter directement. Consultez le site client de la MFA pour Salesforce afin d’obtenir des liens vers la documentation d’aide relative à la MFA pour vos produits.

Haut de page

 

Méthodes de vérification pour la MFA

 

Quelles méthodes de vérification satisfont à l'exigence de la MFA ?

Commençons par les méthodes de vérification qui ne répondent pas à l'exigence, que vous utilisiez les services MFA de votre fournisseur d'identité SSO ou la MFA Salesforce pour les connexions directes.


Pour satisfaire à l’exigence de la MFA, vous devez utiliser des méthodes de vérification très résistantes aux cyberattaques, comme les attaques de type Hameçonnage et Intercepteur (ou man-in-the-middle). Ces méthodes de vérification éprouvées offrent un niveau d’assurance élevé lors de la vérification de l’identité des utilisateurs qui accèdent aux produits Salesforce.

Pour l’authentification unique :
à l’exception des options répertoriées ci-dessus, utilisez une méthode prise en charge par la solution MFA de votre fournisseur d’identité ou intégrée à celle-ci.

Pour la MFA Salesforce :
utilisez l’une des méthodes prises en charge par la fonctionnalité MFA de vos produits Salesforce :

  • Application mobile Salesforce Authenticator (disponible sur App Store® ou Google Play™)

  • Applications d'authentification par code secret temporel à usage unique (TOTP) telles que Google Authenticator™, Microsoft Authenticator™ ou Authy™

  • Clés de sécurité qui prennent en charge WebAuthn ou U2F, telles que la clé de sécurité YubiKey™ de Yubico ou Titan™ de Google

  • Authentificateurs intégrés, tels que Touch ID®, Face ID® ou Windows Hello™

Pour connaître les avantages et les particularités de chaque méthode, reportez-vous à cette rubrique dans l’aide Salesforce.

Pour votre implémentation de la MFA, choisissez la ou les méthodes qui conviennent le mieux à votre entreprise et qui répondent aux besoins de vos utilisateurs (compte tenu des conseils donnés dans cette rubrique).

Haut de page

 

Les utilisateurs peuvent-ils enregistrer plusieurs méthodes de vérification ?

Oui. Nous encourageons les utilisateurs à enregistrer plusieurs méthodes de vérification afin de disposer d’une solution de secours en cas d’oubli ou de perte de leur méthode principale.

Si un utilisateur configure plusieurs méthodes de vérification, il est automatiquement invité à appliquer la méthode la plus sûre lorsqu’il se connecte. Lors de la connexion par MFA, Salesforce applique l’ordre de priorité suivant pour les méthodes de vérification :

  1. Salesforce Authenticator

  2. Authentificateurs intégrés

  3. Clés de sécurité

  4. Applications d'authentification par code secret temporel à usage unique (TOTP) tierces

Remarque : Avec les produits Quip, actuellement les utilisateurs peuvent enregistrer une seule méthode de vérification à la fois.

Haut de page

 

Puis-je utiliser des e-mails, des SMS et des appels téléphoniques en tant que méthodes de vérification par MFA ?

Non. Les codes secrets à usage unique envoyés par e-mail, SMS ou appel téléphonique ne satisfont pas à l'exigence de la MFA, que vous utilisiez la MFA Salesforce pour des connexions directes ou les services MFA de votre fournisseur SSO. En effet, les identifiants envoyés par e-mail peuvent être compromis, et les transmissions par SMS et appels téléphoniques peuvent être interceptées. Il est beaucoup plus difficile pour une personne malveillante de contrôler un appareil mobile ou une clé de sécurité physique que d'infiltrer un compte de messagerie ou de pirater un numéro de téléphone mobile.

Remarque : Si vous implémentez la MFA pour vos sites Experience Cloud clients ou partenaires, les utilisateurs externes peuvent se connecter en utilisant des SMS comme méthode de vérification. Cette option permet d'ajouter une couche de sécurité à vos sites sans gêner l'accès des utilisateurs qui n'interagissent pas avec les données critiques de l'entreprise. Pour plus d’informations, consultez cette rubrique dans l’aide Salesforce.

Haut de page

 

Où puis-je en savoir plus sur les méthodes de vérification par MFA prises en charge par Salesforce ?

Consultez cette rubrique dans l’aide Salesforce.

Haut de page

 

Puis-je utiliser des authentificateurs TOTP de bureau ou de navigateur ?

La meilleure pratique consiste à utiliser des applications d'authentification mobiles, des clés de sécurité physiques ou des authentificateurs intégrés, car ces dispositifs existent séparément de l'ordinateur portable ou de la station de travail de l'utilisateur. Ainsi, si une personne malveillante parvient à accéder à l’ordinateur de l’utilisateur, le second facteur reste inaccessible.

Cependant, si une extension de navigateur, une application d’authentification de bureau TOTP (mot de passe à usage unique basé sur le temps) ou un gestionnaire de mots de passe prenant en charge le système TOTP est la seule option qui fonctionne pour vos utilisateurs, vous pouvez satisfaire à l’exigence de la MFA avec ces types de méthodes.

Remarque : Utilisez l'extension Synebo Chrome pour les connexions aux environnements Salesforce qui ne satisfont pas à l'exigence de la MFA.

Voir aussi :

Haut de page

 

Les codes TOTP générés par un gestionnaire de mot de passe sont-ils pris en charge par Salesforce ?

La meilleure pratique recommande d'utiliser des méthodes de vérification telles qu'une application mobile ou une clé de sécurité physique, qui existent séparément de l'ordinateur portable ou de la station de travail de l'utilisateur. Ainsi, si une personne malveillante parvient à accéder à l'ordinateur de l'utilisateur, le deuxième facteur reste inaccessible. De nombreux gestionnaires de mot de passe permettent aux utilisateurs de générer des mots de passe temporels à usage unique (TOTP) pour l'authentification par MFA. Nous recommandons d’utiliser cette possibilité uniquement avec un gestionnaire de mots de passe accessible depuis un appareil mobile ou protégé par la MFA (en utilisant l’authentification biométrique, par exemple).

Haut de page

 

Parmi les méthodes de vérification par MFA prises en charge, aucune ne fonctionne pour mon entreprise. Comment puis-je répondre à l'exigence de la MFA ?

Nous comprenons toutefois que certains clients puissent rencontrer des difficultés lors de l’implémentation de la MFA. Nous sommes à votre disposition pour rechercher comment implémenter la MFA afin d'éviter à votre organisation les problèmes de sécurité et de conformité. En cas de doute sur votre capacité à répondre à l'exigence, contactez votre représentant Salesforce, nous vous aiderons à trouver une solution.

Haut de page

 

Nos utilisateurs n'ont pas d'appareil mobile. Pouvons-nous utiliser la MFA ?

Oui, les produits Salesforce prennent en charge les méthodes de vérification par MFA qui ne nécessitent pas l'utilisation d'une application d'authentification et d'un appareil mobile. Nous vous recommandons des clés de sécurité physiques et des authentificateurs intégrés.

Si ces options ne fonctionnent pas en raison de contraintes budgétaires ou de limitations en matériel, vous pouvez également satisfaire à l'exigence en utilisant des applications d'authentification de bureau TOTP (mot de passe temporaire) ou des extensions de navigateur.

Voir aussi :

Haut de page

 

Une connexion de données est-elle nécessaire pour utiliser une application d'authentification mobile ? Si l'utilisateur perd sa collectivité, peut-il se connecter ?

L'application mobile Salesforce Authenticator nécessite une connexion de données pour l'authentification via des notifications push ou la vérification automatisée basée sur l'emplacement. Cependant, si son appareil mobile est hors ligne, l'utilisateur peut s'authentifier en utilisant l'un des codes TOTP (mot de passe temporel à usage unique) que l'application continue de générer. De la même façon, les applications d'authentification TOTP tierces fonctionnent si un appareil est hors connexion.

Haut de page

 

Préparation pour la MFA

 

Quelle est l’incidence de l’activation de la MFA sur mes utilisateurs ?

Une fois la MFA activée pour les connexions à l’interface utilisateur, chaque utilisateur doit avoir au moins une méthode de vérification enregistrée pour pouvoir se connecter. Le processus d’enregistrement connecte une méthode au compte Salesforce de l’utilisateur. Les utilisateurs peuvent enregistrer des méthodes à tout moment. Si l’utilisateur n’a pas préparé de méthode avant l’activation de la MFA, il est automatiquement invité à en enregistrer une lors de la connexion suivante. Des invites à l’écran le guident à travers le processus.

Lors des connexions suivantes, le processus de connexion invite l’utilisateur à fournir une méthode enregistrée en plus de son nom d’utilisateur et de son mot de passe.

Regardez cette courte vidéo pour avoir un aperçu de l’impact de la MFA sur l’expérience de connexion.

Haut de page

 

Comment puis-je préparer mes utilisateurs à la MFA ?

Pour obtenir des idées et connaître les meilleures pratiques, consultez la rubrique Préparation de vos utilisateurs à l’authentification multifacteur dans l’aide Salesforce. Téléchargez également le pack de déploiement de l’authentification multifacteur pour obtenir des modèles d’intégration et de gestion des modifications personnalisables.

Haut de page

 

À quelle fréquence les utilisateurs doivent-ils fournir une méthode de vérification lorsqu'ils se connectent directement aux produits Salesforce ?

Si vous utilisez la fonctionnalité MFA de Salesforce, les utilisateurs doivent répondre à un défi de vérification MFA chaque fois qu'ils se connectent à un produit Salesforce. Cela s'applique à toutes les connexions, y compris à celles dues à une inactivité ou à une expiration de session. La fréquence des défis de la MFA peut être modifiée.

Haut de page

 

Puis-je automatiser ou contrôler la fréquence à laquelle l'étape d'authentification supplémentaire est requise par les produits Salesforce afin de limiter l'impact pour mes utilisateurs ?

Afin de garantir le niveau de protection qu'offre la MFA, les utilisateurs doivent fournir une méthode de vérification chaque fois qu'ils se connectent directement à un produit Salesforce. Pour faciliter l'adhésion des utilisateurs, nous recommandons d'utiliser Salesforce Authenticator. Cette application peut automatiser l'étape d'authentification supplémentaire lorsque les utilisateurs travaillent à un emplacement approuvé, par exemple depuis leur bureau ou leur domicile. Ils peuvent ainsi se connecter sans toucher leur téléphone à partir d'emplacements connus. Ils peuvent définir eux-mêmes cette option. Pour plus d'informations, consultez Automatisation de l'authentification multifacteur avec Salesforce Authenticator dans l'Aide de Salesforce.

Salesforce Authenticator peut également faire automatiquement confiance lorsqu'un utilisateur s'authentifie à trois reprises depuis le même emplacement. Pour configurer cette option, consultez Enregistrement intelligent de vos emplacements approuvés par Salesforce Authenticator.

Haut de page

 

Que doivent faire les utilisateurs s’ils doivent remplacer une méthode de vérification ou si leur méthode ne fonctionne plus ?

(Cette rubrique s'applique uniquement aux produits élaborés sur Salesforce Platform.)

Au fil du temps, il est inévitable que les utilisateurs changent de téléphone mobile et d’ordinateur pour passer à de nouveaux modèles. Si une personne utilisait son ancien appareil pour exécuter une application d’authentification ou un authentificateur intégré pour la MFA, elle devra adapter sa méthode de vérification à son nouveau matériel. De même, un utilisateur peut finir par remplacer sa clé de sécurité physique par une nouvelle clé. Dans ces situations, commencez par déconnecter la méthode de vérification existante de l'utilisateur pour que l’utilisateur puisse enregistrer son remplacement. Si un utilisateur signale que sa méthode de vérification a cessé de fonctionner lorsqu’il a essayé de se connecter, réinitialisez la méthode en la déconnectant, puis en demandant à l’utilisateur de l’enregistrer à nouveau pour la MFA.

Consultez le site client de la MFA pour Salesforce pour obtenir des conseils propres au produit concerné. Consultez également la rubrique Comment les utilisateurs peuvent-ils rétablir l’accès s’ils perdent ou oublient leur méthode de vérification ? afin de restaurer rapidement l’accès des utilisateurs.

Haut de page

Comment les utilisateurs peuvent-ils rétablir l'accès s'ils perdent ou oublient leur méthode de vérification ?

Les options dont vous disposez pour aider les utilisateurs qui oublient ou perdent leur méthode de vérification habituelle dépendent du produit Salesforce.

Remarque : si vous êtes le seul administrateur de votre produit et que votre accès est bloqué, contactez le support client Salesforce.

Codes de vérification temporaires générés par un administrateur
Pour certains produits, les administrateurs peuvent générer des codes temporaires permettant aux utilisateurs de se connecter sans méthode de vérification. Suivez les étapes décrites dans la rubrique qui vous concerne :

Codes de récupération générés par un utilisateur
Pour ces produits, les utilisateurs peuvent générer une liste de dix codes de récupération à usage unique qu’ils peuvent conserver en lieu sûr jusqu’à ce qu’ils en aient besoin. Ces codes doivent être utilisés uniquement comme méthode de secours lorsque la méthode de vérification habituelle d’un utilisateur n’est pas disponible. Suivez les étapes décrites dans la rubrique qui vous concerne :

Réinitialisation de la MFA
Sur MuleSoft Anypoint Platform, les administrateurs peuvent réinitialiser la MFA pour un utilisateur qui a perdu ou oublié ses méthodes de vérification. L’utilisateur est invité à enregistrer une nouvelle méthode lors de sa prochaine connexion.

Haut de page

 

Comment puis-je éviter le blocage des administrateurs une fois la MFA activée ?

Assurez-vous que votre plan de récupération de l’accès comprend des mesures pour vous aider, vous et vos collègues administrateurs, en cas de perte d’accès à vos méthodes de vérification habituelles. Respectez les meilleures pratiques suivantes :

  • Chaque administrateur doit enregistrer au moins deux méthodes de vérification.

  • Conservez une clé de sécurité de secours à un emplacement sécurisé dans l'entreprise.

  • Définissez au moins deux comptes dotés d'autorisations de gestion des utilisateurs et des paramètres de la MFA. Ainsi, si un compte est verrouillé, vous pouvez utiliser l'autre compte pour rétablir l'accès.

Haut de page

 

Certains de nos utilisateurs partagent un seul compte Salesforce. Comment la MFA fonctionne-t-elle dans cette situation ?

Salesforce interdit le partage d'identifiants entre les utilisateurs. Cette pratique est incompatible avec la MFA, car chaque utilisateur doit enregistrer et connecter à son compte Salesforce une méthode de vérification unique avant de se connecter. Si plusieurs utilisateurs partagent un même compte, un seul pourra se connecter à ce compte après l’activation de la MFA.

Résolvez les problèmes de comptes partagés ou d’identifiants. Veillez à disposer de suffisamment de licences afin de configurer des comptes distincts pour chaque personne ayant besoin d’accéder à vos produits Salesforce. Si vous avez besoin d'aide pour configurer des comptes utilisateur uniques, contactez votre chargé de compte ou l'équipe commerciale. Vous pouvez également consulter Salesforce Checkout et le libre-service pour gérer votre compte et acheter en ligne.

Haut de page

 

Comment la MFA fonctionne-t-elle dans des environnements sandbox ?

(Cette rubrique s'applique uniquement aux produits élaborés sur Salesforce Platform).

Pour développer une stratégie de gestion de la MFA pour vos enregistrements sandbox, consultez les considérations dans Considérations relatives à la configuration sandbox de l'authentification multifacteur dans l’Aide de Salesforce.

Voir aussi :

Haut de page

 

Guide relatif à l’exigence de la MFA pour les partenaires/fournisseurs de services Salesforce

 

La MFA est-elle requise lorsque les fournisseurs de services Salesforce utilisent les licences fournies par le client afin d’accéder aux organisations clientes pour la réalisation de services administratifs ?

Oui. Pour plus d’informations, consultez Les clients peuvent-ils attribuer une seule licence à leur fournisseur de services Salesforce alors que la licence sera partagée par plusieurs utilisateurs du fournisseur de services ?

Haut de page

 

Les clients peuvent-ils attribuer une seule licence à leur fournisseur de services Salesforce alors que la licence sera partagée par plusieurs utilisateurs du fournisseur de services ?

Oui, pour autant que les critères suivants soient remplis et conformes aux conditions complémentaires suivantes : (i) tous ces utilisateurs doivent faire partie du personnel d’un fournisseur de services Salesforce utilisant ces abonnements uniquement dans le but de fournir une assistance et d’autres services au client dans le cadre de l’utilisation des services par le client dans son organisation ; (ii) tous ces utilisateurs doivent utiliser un outil de gestion de compte avec privilèges ou une solution de gestion de mots de passe d’entreprise, dans le cadre de l’utilisation susmentionnée qui permet l’implémentation de la MFA malgré l’utilisation d’un seul abonnement par plusieurs utilisateurs du fournisseur de services, et qui offre la possibilité de restreindre les autorisations d’accès uniquement aux utilisateurs autorisés, à l’aide de techniques telles que le contrôle d’accès basé sur les rôles et le moindre privilège ; et (iii) le client est responsable de l’utilisation de ces abonnements par les utilisateurs.

Salesforce se réserve le droit, à tout moment, de modifier les critères relatifs au cas d’utilisation susmentionné ou d’interrompre totalement cette utilisation autorisée.

Pour des conseils détaillés sur la manière de satisfaire à l’exigence de la MFA dans cette situation, consultez l’article KnowlegdeComment satisfaire à l’exigence de la MFA pour le cas d’utilisation d’une connexion partagée d’un administrateur partenaire.

Haut de page

 

Nous utilisons des licences utilisateur Platform pour les communautés. Comment l’exigence de la MFA s’applique-t-elle à ce cas d’utilisation ?

La MFA n’est pas requise pour les utilisateurs externes qui peuvent accéder uniquement aux sites Experience Cloud de votre entreprise, tels que les communautés d’employés. Pour les produits élaborés sur Salesforce Platform, un utilisateur externe désigne toute personne détentrice d’une licence Community, Employee Community ou External Identity.

Si votre solution partenaire a créé une communauté pour les utilisateurs externes mais utilise une licence Platform plutôt qu’Experience Cloud, veuillez nous envoyer une demande d’assistance en procédant comme suit :

  1. Dans l’aide Salesforce, ouvrez une demande sous Support pour le programme de partenaires de Salesforce.

  2. Créez la demande sous Programmes de partenaires et avantages, et indiquez Demande de technologie ISV comme sujet.

Haut de page

 

Quel est l’impact de l’exigence de la MFA sur l’utilisation de la console d’abonné ?

  • La MFA est requise lors de la connexion à l’organisation de gestion des licences (LMO). Pour en savoir plus, consultez Exigence de l’authentification multifacteur pour les connexions aux organisations abonnées dans les notes de publication de Salesforce. Pour plus d’informations sur la MFA et la connexion sous une certaine identité, consultez cette note de publication.

  • Les partenaires devront configurer la MFA dans leur organisation de gestion des licences (LMO) afin d’accéder à la fonctionnalité Console de support des abonnés. La méthode précédente consistant à utiliser la tâche de publication pour tester la configuration Assurance élevée n’est plus disponible. Les partenaires utilisant des ensembles d’autorisations de la MFA peuvent désormais utiliser Rapports et tableaux de bord afin de tester si leur configuration Assurance élevée est correcte. Pour vérifier qu’un compte utilisateur d’ensemble d’autorisations MFA dispose d’une session Assurance élevée, procédez comme indiqué ici.

Haut de page

 

 

En savoir plus

 

Où puis-je en savoir plus sur la MFA pour nos produits Salesforce ?

Nous nous engageons à vous aider avec la MFA. Nous disposons d’une variété de ressources pour vous aider à vous familiariser avec la MFA et à apprendre à la gérer pour vos produits.

Haut de page

 

Où puis-je poser des questions sur la MFA ou l’exigence de la MFA ?

Si vous avez d'autres questions ou besoin d'aide, visitez le groupe MFA - Getting Started de la Trailblazer Community. Vous pouvez poser vos questions aux experts en sécurité Salesforce et à d'autres administrateurs Trailblazer qui implémentent actuellement la MFA.

Les partenaires et prestataires de services Salesforce peuvent nous rejoindre sur le parcours dans la Partner Community.

Haut de page

 

Historique des révisions

 

Date

Révisions

28 mai 2024

2021 à 2024

  • L’historique des révisions de cet article a été archivé.


 

Numéro d’article de la base de connaissances

000396727

 
Chargement
Salesforce Help | Article