Domande frequenti

Necessità di abilitare la MFA

• Che cos'è la MFA e come funziona?
• Che cos'è il requisito della MFA?
• Perché Salesforce richiede la MFA?
• Che cosa ha fatto Salesforce per aiutare i clienti a rispettare il requisito della MFA?
• Come possiamo verificare che la nostra implementazione della MFA soddisfi il requisito della MFA?
• È necessario certificare che la nostra implementazione della MFA soddisfa il requisito della MFA?
• Cosa accade se non rispettiamo il requisito della MFA?
• Qual è il piano attuale per l'imposizione della MFA per i prodotti creati in Salesforce Platform?
• In quanto cliente nuovo o potenziale, in che modo il requisito della MFA si applica ai miei prodotti Salesforce?

Ambito del requisito della MFA

• Quali tipi di utenti, accessi e ambienti richiedono la MFA?
• La MFA è obbligatoria per i prodotti Salesforce a cui si accede tramite Single Sign-On (SSO)? 
• La MFA è obbligatoria per i siti Experience Cloud di clienti e partner?
• Gli accessi alle app mobili e desktop di Salesforce sono inclusi nel requisito della MFA?
• La MFA è obbligatoria per gli ambienti Sandbox?
• La MFA è obbligatoria per gli utenti integrazione?
• La MFA è obbligatoria per gli account RPA o di test automatici?
• L'autenticazione basata sul rischio/continua rispetta il requisito della MFA?
• I dispositivi aziendali affidabili rispettano il requisito della MFA?
• Limitare gli accessi a reti affidabili rispetta il requisito della MFA?
• L'utilizzo di una VPN o di Zero Trust Network Access soddisfa il requisito della MFA?
• I certificati utente rispettano il requisito della MFA?
• Possiamo usare un gestore password anziché la MFA?
• La MFA è obbligatoria per le prove dei prodotti?
• Esistono dei prodotti che sono esclusi dal requisito della MFA?
• Gli abbonamenti Salesforce con un partner richiedono la MFA?
• La MFA è obbligatoria per l'hub d'ambiente?
• Possiamo attivare la MFA solo per gli utenti privilegiati?
• Dobbiamo usare la stessa soluzione MFA per tutti i nostri utenti Salesforce?

MFA per gli accessi diretti ai prodotti Salesforce

• Quali prodotti Salesforce supportano la MFA?
• In che modo possiamo escludere i casi d'uso esenti da MFA quando la MFA viene attivata?
• Lightning Login è una forma di MFA?
• Possiamo usare una soluzione MFA di terzi?
• Che cos'è l'attivazione del dispositivo e come è collegata alla MFA?

MFA per gli accessi SSO ai prodotti Salesforce

• L'SSO soddisfa il requisito della MFA?
• Perché Salesforce richiede la MFA per l'SSO?
• Dobbiamo utilizzare la MFA sia a livello di SSO sia a livello di Salesforce?
• Con quale frequenza gli utenti devono fornire un metodo di verifica per la MFA quando accedono al nostro portale SSO?
• Come farà Salesforce a sapere se abbiamo abilitato la MFA per il nostro provider di identità SSO?
• Salesforce abiliterà o imporrà la MFA per l'SSO?
• Possiamo utilizzare la funzionalità MFA di Salesforce invece di usare il servizio MFA del nostro provider SSO?
• Possiamo abilitare l'SSO per gli amministratori Salesforce?
• In che modo possiamo imporre gli accessi SSO per gli utenti Salesforce?
• Cosa dobbiamo fare se l'SSO non funziona e gli utenti necessitano di accedere direttamente ai prodotti Salesforce?

Metodi di verifica per la MFA

• Quali metodi di verifica soddisfano il requisito della MFA?
• Gli utenti possono registrare più metodi di verifica?
• È possibile utilizzare l'email, gli SMS o le telefonate come metodi di verifica per la MFA?
• Dove posso trovare informazioni sui metodi di verifica MFA supportati da Salesforce?
• Possiamo utilizzare autenticatori TOTP per desktop o basati su browser?
• Salesforce supporta i codici TOTP di un gestore password?
• Cosa accade se nessuno dei metodi di verifica per la MFA supportati funziona per noi?
• I nostri utenti non dispongono di dispositivi mobili. Possiamo comunque usare la MFA?
• È necessaria una connessione dati per usare un'app di autenticazione mobile?

Prepararsi per la MFA

• Quando viene attivata la MFA, in che modo questa influisce sugli utenti?
• Come si possono preparare gli utenti alla MFA?
• Con quale frequenza gli utenti devono fornire un metodo di verifica quando accedono direttamente?
• Posso automatizzare o controllare la frequenza del passaggio di verifica della MFA?
• Che cosa devono fare gli utenti se hanno bisogno di sostituire un metodo di verifica oppure se il loro metodo di verifica smette di funzionare?
• In che modo gli utenti possono ripristinare l'accesso nel caso in cui non abbiano il loro metodo di verifica?
• Come possiamo impedire che gli amministratori vengano bloccati quando la MFA viene abilitata?
• Possiamo abilitare la MFA se gli utenti condividono un account Salesforce?
• Come funziona la MFA negli ambienti Sandbox?

Indicazioni sul requisito della MFA per i partner/provider di servizi Salesforce

• La MFA è obbligatoria quando i provider di servizi Salesforce utilizzano le licenze fornite dai clienti per accedere alle organizzazioni dei clienti per l'esecuzione di servizi amministrativi?
• I clienti possono assegnare al loro provider di servizi Salesforce una licenza singola che verrà condivisa da più utenti del provider di servizi?
• In che modo si applica il requisito della MFA quando si utilizzano le licenze Platform per le Comunità?
• Come influisce il requisito della MFA sull'uso della console dell'abbonato?

Ulteriori informazioni

• Dove si possono trovare altre informazioni sulla MFA per i nostri prodotti Salesforce?
• A chi ci si può rivolgere in caso di domande sulla MFA o sul requisito della MFA?

Necessità di abilitare la MFA

Che cos'è la MFA e come funziona?

La MFA aumenta la protezione degli account utente contro minacce comuni quali attacchi di phishing, credential stuffing e account-takeover (ossia l'acquisizione fraudolenta dell'account). Questo metodo aggiunge un ulteriore livello di sicurezza al processo di login richiedendo all'utente di aggiungere due o più prove, o fattori, per dimostrare la propria identità. Un fattore è un'informazione che l'utente conosce, ad esempio la combinazione di nome utente e password. Gli altri fattori sono i metodi di verifica in possesso dell'utente, ad esempio un'app di autenticazione o una chiave di protezione. Un esempio familiare di MFA in pratica è costituito dai due fattori necessari per prelevare contanti da uno sportello bancomat. La tessera bancomat è l'elemento di cui l'utente ha il possesso e il PIN è l'informazione che l'utente conosce.

Se l'accesso utente è vincolato a più tipi diversi di fattori di autenticazione, è molto più difficile per un malintenzionato accedere all'ambiente Salesforce. Ad esempio, anche se riesce a impossessarsi della password di un utente, un utente malintenzionato ha una scarsa probabilità di indovinare il codice di un'app di autenticazione utente o di violare l'app per ottenerlo.

Per maggiori informazioni, vedere il video How Multi-Factor Authentication Works to Protect Account Access (Come funziona l'autenticazione a più fattori per proteggere l'accesso agli account).

Torna all'inizio

Che cos'è il requisito della MFA?

Tutti gli utenti Salesforce interni sono contrattualmente tenuti a utilizzare la MFA per ogni accesso ai prodotti Salesforce effettuato tramite l'interfaccia utente (incluse le soluzioni partner). Il requisito si applica allo stesso modo agli accessi diretti tramite un nome utente e password Salesforce e agli accessi tramite Single Sign-On (SSO).

Il requisito della MFA è entrato in vigore il 1° febbraio 2022. Il requisito è documentato nei termini di servizio della sezione Notices and Licenses Information (Note e informazioni sulle licenze) della Salesforce Trust and Compliance Documentation (Documentazione sulla conformità e affidabilità di Salesforce) e la Guida dell'utente di Salesforce applicabile.

Per gli accessi diretti ai prodotti Salesforce, la funzionalità MFA è fornita senza costi aggiuntivi. Per gli accessi SSO, utilizzare il servizio MFA del provider SSO.

Vedere anche:

• Annuncio del requisito futuro di abilitare l'autenticazione a più fattori (MFA)

• Che cosa ha fatto Salesforce per aiutare i clienti a rispettare il requisito della MFA?

Torna all'inizio

Perché Salesforce richiede la MFA?

Per noi niente è più importante della fiducia e del successo dei nostri clienti. Mentre lo scenario delle minacce globali evolve, si assiste a un aumento dei tipi di attacchi che possono paralizzare un'azienda e sfruttare i consumatori. 

Un aspetto fondamentale delle strategia della sicurezza è costituito dalla salvaguardia degli account utente Salesforce. Da soli, i nomi utente e le password non garantiscono più una protezione sufficiente contro i cyberattacchi. È qui che entra in gioco la MFA. Si tratta di uno dei modi più semplici ed efficaci per evitare l'accesso non autorizzato agli account e salvaguardare i propri dati e quelli dei clienti. Chiediamo ai clienti di implementare la MFA per contribuire a ridurre i rischi associati a minacce quali attacchi di phishing, credential stuffing e dispositivi compromessi.

Torna all'inizio

Che cosa ha fatto Salesforce per aiutare i clienti a rispettare il requisito della MFA?

Con una sola eccezione, la MFA è ora una parte permanente della procedura di accesso diretto per tutti i prodotti Salesforce. Quando gli utenti accedono a un prodotto Salesforce con il nome utente e la password, viene richiesto loro di fornire anche un metodo di verifica MFA. Per maggiori informazioni, vedere Quando viene attivata la MFA, in che modo questa influisce sugli utenti?.

Per i prodotti creati in Salesforce Platform, vedere Qual è il piano attuale per l'imposizione della MFA per i prodotti creati in Salesforce Platform?

Nota: gli utenti che accedono ai prodotti Salesforce tramite SSO non sono interessati dalla funzionalità MFA fornita da Salesforce. Tuttavia, è importante ricordare che tutti i clienti Salesforce che eseguono l'autenticazione tramite SSO sono obbligati per contratto a utilizzare la MFA. Per maggiori informazioni, vedere Salesforce imporrà la MFA per l'SSO?

Torna all'inizio

Come possiamo verificare che la nostra implementazione della MFA soddisfi il requisito della MFA?

Per confermare che la soluzione MFA in uso soddisfi il requisito, rivedere i termini di servizio della sezione Notices and Licenses Information (Note e informazioni sulle licenze) della Salesforce Trust and Compliance Documentation (Documentazione sulla conformità e affidabilità di Salesforce) e la guida dell'utente di Salesforce applicabile, oltre alle informazioni fornite in queste Domande frequenti.

Si può utilizzare anche l'app MFA Requirement Checker (Controllo del requisito della MFA), che verifica la conformità dell'implementazione in uso al requisito della MFA chiedendo all'utente di rispondere a una serie di domande. Il sito indica i passaggi successivi da effettuare, se necessario.

Se si dispone di un team IT o di cybersecurity, è consigliabile consultarlo per ottenere le direttive del caso. Inoltre, gli utenti possono sottoporre le proprie domande al gruppo MFA - Getting Started (MFA - Per iniziare) della Trailblazer Community.

Torna all'inizio

È necessario certificare che la nostra implementazione della MFA soddisfa il requisito della MFA?

Salesforce non richiede ai clienti la certificazione della conformità ai propri obblighi contrattuali. In linea con questa pratica, i clienti non sono tenuti a richiedere una certificazione ufficiale o altrimenti ad attestare a Salesforce il rispetto del requisito della MFA previsto dal contratto.

Torna all'inizio

Cosa accade se non rispettiamo il requisito della MFA?

Il requisito della MFA è entrato in vigore il 1° febbraio 2022 e da quel momento Salesforce ha abilitato e imposto la MFA per gli accessi diretti ai prodotti Salesforce. Se i propri prodotti non soddisfano il requisito della MFA perché non si è implementata la MFA per gli accessi SSO e/o si è disabilitata la funzionalità MFA di Salesforce per i propri prodotti:

• Si stanno violando i propri obblighi contrattuali ai sensi dell'Accordo Principale di Servizio di Salesforce (MSA) che incorpora i termini di servizio della MFA tramite la sezione Notices and Licenses Information (Note e informazioni sulle licenze) della Salesforce Trust and Compliance Documentation (Documentazione sulla conformità e affidabilità di Salesforce).

• Ci si assumono tutti i rischi associati al mancato utilizzo della MFA per l'accesso ai prodotti Salesforce.

Si consiglia di rivolgersi all'ufficio legale per valutare le ripercussioni del mancato utilizzo della MFA. È anche possibile rivolgersi al rappresentante Salesforce in caso di dubbi su come rispettare il requisito. Insieme, troveremo la soluzione migliore.

Torna all'inizio

Qual è il piano attuale per l'imposizione della MFA per i prodotti creati in Salesforce Platform?

La protezione dei dati è una responsabilità condivisa: Salesforce implementa la sicurezza nei suoi prodotti e i clienti sfruttano le risorse e gli strumenti forniti, inclusa la MFA, per rafforzare ulteriormente la sicurezza delle loro organizzazioni Salesforce. Grazie alla collaborazione dei nostri clienti e al loro impegno nel proteggere l'accesso agli account utente, il programma di abilitazione automatica della MFA ha avuto un grande successo.

Data la percentuale elevata di adozione della MFA per i prodotti creati in Salesforce Platform e la nostra volontà di rispettare il tempo prezioso e le risorse dei nostri clienti, siamo passati a un modello di notifica anziché imporre la MFA in modo tecnico. Siamo consapevoli che potrebbe essere utile per gli amministratori Salesforce mantenere l'opzione di disabilitare temporaneamente la MFA a scopi di test o di configurazione. Tuttavia, i clienti devono tener presente che disabilitando la MFA non saranno conformi al loro obbligo contrattuale di utilizzarla e dovranno quindi riattivarla il prima possibile.

Per ulteriori informazioni sulle notifiche riguardanti la non conformità alla MFA, vedere questa nota di rilascio.

Cosa significa questa modifica ai fini del requisito della MFA?
Il requisito contrattuale di utilizzare la MFA resta in vigore. Terremo traccia dell'utilizzo della MFA in tutte le organizzazioni Salesforce. Se le percentuali di adozione della MFA per i prodotti creati in Salesforce Platform diminuiscono, riprenderemo il programma di imposizione tecnica della MFA, ovviamente con ampio preavviso.

Tenere presente che non sono previste modifiche all'imposizione della MFA per altri prodotti Salesforce.

Torna all'inizio

In quanto cliente nuovo o potenziale, in che modo il requisito della MFA si applica ai miei prodotti Salesforce?

La MFA è automaticamente parte dell'esperienza di accesso diretto per tutti i prodotti Salesforce. Quando si acquista un prodotto Salesforce, la MFA viene richiesta ogni volta che gli utenti accedono direttamente all'interfaccia utente dell'ambiente di produzione. Dopo che avranno immesso il nome utente e la password, agli utenti verrà chiesto di verificare la loro identità mediante un ulteriore metodo di verifica. Al primo accesso, agli utenti viene chiesto di selezionare e registrare un metodo di verifica. Prompt su schermo guidano gli utenti nel processo di registrazione. Per maggiori informazioni, vedere Quando viene attivata la MFA, in che modo questa influisce sugli utenti?. Inoltre, vedere la sezione Metodi di verifica per la MFA per informazioni sui tipi di metodi disponibili agli utenti.

Se si sta pensando di integrare i prodotti Salesforce con Single Sign-On (SSO), assicurarsi che la MFA sia inclusa nella propria implementazione. È possibile utilizzare il servizio MFA del provider SSO. In alternativa, per i prodotti creati in Salesforce Platform, è possibile utilizzare la funzionalità MFA gratuita fornita in Salesforce anziché abilitare la MFA a livello SSO. Per i dettagli, vedere Use Salesforce MFA for SSO Logins (Utilizza la MFA di Salesforce per gli accessi SSO) nella Guida di Salesforce.

Torna all'inizio

Ambito del requisito della MFA

Quali tipi di utenti, accessi e ambienti richiedono la MFA?

I clienti possono soddisfare il requisito della MFA assicurandosi che la MFA sia abilitata per tutti gli utenti interni che accedono ai prodotti Salesforce (incluse le soluzioni partner) tramite l'interfaccia utente. Per i dettagli completi su come i diversi tipi di utenti, di accessi e di ambienti sono interessati da tale requisito, vedere le tabelle seguenti.

Requisiti della MFA per i tipi di utenti

 

Requisiti della MFA per tipi di accesso e metodi di autenticazione

 

Requisiti della MFA per i tipi di organizzazioni e tenant

Torna all'inizio

La MFA è obbligatoria per i prodotti Salesforce a cui si accede tramite Single Sign-On (SSO)?

Sì, il requisito della MFA si applica a tutti gli utenti che accedono all'interfaccia utente di un prodotto Salesforce, sia che l'accesso avvenga direttamente o tramite SSO. Se i propri prodotti Salesforce sono integrati con SSO, assicurarsi che la MFA sia abilitata per tutti gli utenti Salesforce. Ad esempio, è possibile utilizzare il servizio MFA del proprio provider SSO. In alternativa, per i prodotti creati in Salesforce Platform, è possibile utilizzare la funzionalità MFA gratuita fornita in Salesforce anziché abilitare la MFA a livello SSO. Per i dettagli, vedere Use Salesforce MFA for SSO Logins (Utilizza la MFA di Salesforce per gli accessi SSO) nella Guida di Salesforce.

I clienti sono interamente responsabili della protezione degli account a cui viene effettuato l'accesso tramite il loro provider di identità SSO. Un provider di identità è un sistema affidabile che archivia e gestisce le identità digitali e autentica gli utenti.

Vedere anche:

• Quali metodi di verifica soddisfano il requisito della MFA?

Torna all'inizio

La MFA è obbligatoria per i siti Experience Cloud di clienti e partner?

La MFA non è obbligatoria per i siti Experience Cloud, le comunità di dipendenti, i portali di assistenza o i siti di e-commerce/storefront dell'azienda. Non è necessario abilitare la MFA per gli utenti esterni che accedono a questi siti. È possibile identificare gli utenti esterni in base a questi tipi di licenze:

• Licenze Community

• Licenze External Identity

• Licenze Employee Community (una licenza Salesforce Platform abbinata a una licenza insieme di autorizzazioni Company Community per Lightning Platform o una licenza Company Community legacy)

La MFA non è obbligatoria per gli utenti esterni per i quali sono state emesse licenze non Community da Salesforce o da un partner Salesforce esclusivamente allo scopo di accedere alla comunità dei dipendenti o ad altre comunità.

Tenere presente che la MFA è obbligatoria per gli utenti interni (ovvero tutti gli utenti con una licenza utente standard) che accedono alla comunità dei dipendenti della società o ad altri siti Experience Cloud.

Torna all'inizio

Gli accessi alle app mobili e desktop di Salesforce sono inclusi nel requisito della MFA?

Sì. Tutte le app mobili e desktop di Salesforce, personalizzate, di AppExchange o di partner a cui si accede tramite accessi dell'interfaccia utente sono incluse nel requisito della MFA. Sono comprese l'app mobile Salesforce, l'app mobile Marketing Cloud, Salesforce Inbox, Quip e le integrazioni con Gmail™ e Outlook®.

Nota: nella pagina Cronologia accessi in Imposta, gli accessi alle app mobili Salesforce vengono visualizzati come tipi di accesso 'Remote Access 2.0'. Inoltre, il successivo utilizzo dell'app è spesso gestito con scambi di token tramite chiamate API. Tuttavia, gli utenti dell'app mobile non sono utenti dell'API. Gli accessi all'app mobile richiedono la MFA poiché gli utenti accedono all'interfaccia utente.

Torna all'inizio

La MFA è obbligatoria per gli ambienti Sandbox?

L'obbligatorietà della MFA per gli ambienti Sandbox varia a seconda del prodotto Salesforce.

• Per i prodotti creati in Salesforce Platform:

  • Gli ambienti Sandbox sono attualmente esclusi dal requisito della MFA. Tale requisito potrebbe applicarsi in futuro.

  • Sebbene la MFA non sia attualmente richiesta per gli ambienti Sandbox, si consiglia vivamente di utilizzare la MFA per questi ambienti se comprendono dati dei clienti, proprietà intellettuale o altri dati di produzione di Salesforce.

• Per B2C Commerce e Marketing Cloud Intelligence: La MFA è obbligatoria per gli ambienti Sandbox. Questi ambienti saranno interessati quando la MFA viene imposta per i clienti di B2C Commerce e Marketing Cloud Intelligence.

• Per i prodotti come Marketing Cloud Engagement e Tableau Cloud che non includono ambienti Sandbox ufficiali, anche se sono presenti tenant, organizzazioni o istanze utilizzate esclusivamente a scopo di test, la MFA è obbligatoria per questi ambienti.

Torna all'inizio

La MFA è obbligatoria per gli utenti integrazione?

Il requisito della MFA non si applica ai tipi di accesso per l'integrazione di sistema tramite l'API.

Note:

• La MFA è obbligatoria se gli amministratori o qualsiasi altro utente accede agli account degli utenti integrazione (chiamati anche utenti API), anche solo per configurare per la prima volta l'utente o per eseguire attività di manutenzione occasionali, ad esempio la modifica delle password o l'aggiornamento dei token di sicurezza. Poiché questi tipi di utenti hanno spesso privilegi elevati, è importante utilizzare la MFA per proteggere l'accesso umano a questi account.

• Per i prodotti creati in Salesforce Platform: se un'organizzazione è utilizzata esclusivamente per scopi di integrazione, l'impostazione Richiedi l'autenticazione a più fattori (MFA) per tutti gli accessi diretti interfaccia utente all'organizzazione Salesforce non ha alcun impatto sulle operazioni della propria organizzazione. Per sicurezza, si consiglia di lasciare questa impostazione attivata.

Torna all'inizio

La MFA è obbligatoria per gli account RPA o di test automatici?

No, gli account di strumenti di automazione dei test, quali Selenium™, Cucumber™ o Appium®, e i sistemi di automazione robotica dei processi (Robotic Process Automation o RPA) come Automation Anywhere® non richiedono la MFA. È improbabile, infatti, che questi tipi di account subiscano tentativi di phishing. Tuttavia, è comunque importante fare attenzione con le credenziali degli account di automazione, per evitare che utenti malintenzionati possano usarle per ottenere l'accesso agli ambienti Salesforce. Se supportata dal sistema RPA o dai propri strumenti di testing, consigliamo di utilizzare l'automazione della MFA con i codici di accesso validi una sola volta e basati sul tempo (TOTP) durante l'accesso. Altre opzioni includono la gestione delle credenziali degli account di automazione tramite un sistema di gestione degli account privilegiati (PAM).

Vedere anche:

• In che modo possiamo escludere i casi d'uso esenti da MFA quando la MFA viene attivata?

Torna all'inizio

L'autenticazione basata sul rischio/continua rispetta il requisito della MFA?

L'autenticazione basata sul rischio, nota anche come autenticazione adattiva o valutazione continua e adattiva del rischio e della fiducia (Continuous Adaptive Risk and Trust Assessment o CARTA), è un sistema di autenticazione che analizza continuamente il rischio associato a un utente, monitorando svariati segnali provenienti dall'utente e dai dispositivi che utilizza e analizzando le modalità e la tempistica con cui l'utente accede ai servizi. Se il livello di rischio in una determinata situazione lo giustifica, il provider di identità o il servizio di autenticazione richiede automaticamente all'utente di soddisfare alcune verifiche della sicurezza aggiuntive. Per maggiori informazioni, consultare questo articolo.

Se un sistema di autenticazione basata sul rischio è già stato integrato con la soluzione SSO in uso, l'implementazione è conforme al requisito della MFA. Gli utenti che desiderano prendere in considerazione questo tipo di soluzione possono avvalersi della collaborazione di vari provider di tecnologia.

Vedere anche:

• Quali metodi di verifica soddisfano il requisito della MFA?

Torna all'inizio

I dispositivi aziendali affidabili rispettano il requisito della MFA?

Di per sé, i dispositivi aziendali affidabili dotati di certificati emessi da servizi quali Active Directory o Mobile Device Management (MDM) non soddisfano il requisito della MFA, in quanto i certificati dispositivo possono essere compromessi e utilizzati da chiunque abbia accesso al dispositivo.

Se vengono utilizzati certificati dispositivo per l'accesso utente, attivare la MFA per il provider di identità SSO o per i prodotti Salesforce in uso. Tuttavia, se ciò non fosse possibile, gli utenti possono soddisfare il requisito della MFA, purché si adeguino alle due condizioni elencate di seguito per gli accessi SSO o gli accessi diretti:

• Gli utenti devono effettuare l'accesso tramite dispositivi aziendali affidabili per i quali è stato emesso un certificato dispositivo e che sono gestiti da una soluzione di gestione dei dispositivi, e

• I dispositivi affidabili sono utilizzati esclusivamente in una rete affidabile, quale una rete aziendale a cui si ha accesso dall'ufficio oppure una soluzione di accesso protetto alla rete fornita dall'azienda, ad esempio una VPN o un prodotto ZTNA (Zero Trust Network Access).

Inoltre, consigliamo di attenersi a solide procedure di igiene informatica, inclusa l'abilitazione di software di sicurezza degli endpoint, quali Windows Defender o CrowdStrike, sui dispositivi affidabili.

Vedere anche:

• In che modo possiamo escludere i casi d'uso esenti da MFA quando la MFA viene attivata?

Torna all'inizio

Limitare gli accessi a reti affidabili rispetta il requisito della MFA?

Di per sé, l'uso di una rete affidabile non soddisfa il requisito della MFA. Se è richiesto che gli utenti usino una rete affidabile per accedere ai prodotti Salesforce, attivare la MFA per il provider di identità SSO in uso. Analogamente, se il prodotto Salesforce supporta l'utilizzo di elenchi di indirizzi IP consentiti, intervalli di indirizzi IP affidabili o intervalli IP di accesso per controllare gli accessi diretti, è consigliabile attivare la funzionalità MFA del prodotto per soddisfare il requisito della MFA.

Se ciò non fosse possibile, gli utenti possono soddisfare il requisito della MFA, purché si adeguino alle due condizioni elencate di seguito per gli accessi SSO o gli accessi diretti:

• Gli utenti devono effettuare l'accesso tramite dispositivi aziendali affidabili per i quali è stato emesso un certificato dispositivo e che sono gestiti da una soluzione di gestione dei dispositivi, e

• I dispositivi affidabili sono utilizzati esclusivamente in una rete affidabile, quale una rete aziendale a cui si ha accesso dall'ufficio oppure una soluzione di accesso protetto alla rete fornita dall'azienda, ad esempio una VPN o un prodotto ZTNA (Zero Trust Network Access).

Inoltre, consigliamo di attenersi a solide procedure di igiene informatica, incluso l'utilizzo di software di sicurezza degli endpoint, quali Windows Defender o CrowdStrike, sui dispositivi affidabili.

Vedere anche:

• In che modo possiamo escludere i casi d'uso esenti da MFA quando la MFA viene attivata?

Torna all'inizio

L'utilizzo di una VPN o di Zero Trust Network Access soddisfa il requisito della MFA?

Di per sé, una soluzione di accesso protetto alla rete, quale una VPN o un prodotto ZTNA (Zero Trust Network Access), non soddisfa il requisito della MFA. Se non è fattibile l'utilizzo della MFA per gli accessi SSO o gli accessi diretti, i clienti possono soddisfare il requisito della MFA richiedendo l'utilizzo sia di reti affidabili sia di dispositivi affidabili per accedere ai prodotti Salesforce.
Se un utente si connette tramite una tecnologia di accesso alla rete, quale una VPN o un prodotto ZTNA, soddisfa il criterio per il fatto di trovarsi in una rete affidabile. Per soddisfare il criterio di un dispositivo affidabile, è necessario:

• Limitare l'accesso alla rete affidabile ai dispositivi gestiti dall'azienda

• Oppure, se si consente ai dispositivi non gestiti di accedere alla rete aziendale, proteggere l'utente richiedendo la MFA per l'accesso alla rete o utilizzando un sistema di autenticazione basata sul rischio/continua

Se l'utilizzo di una combinazione di dispositivi affidabili e reti affidabili non è un'opzione fattibile, soddisfare il requisito della MFA attivando la MFA per il proprio provider di identità SSO o per i propri prodotti Salesforce.

Vedere anche:

• L'autenticazione basata sul rischio/continua rispetta il requisito della MFA?

• I dispositivi aziendali affidabili rispettano il requisito della MFA?

• Limitare gli accessi a reti affidabili rispetta il requisito della MFA?

• In che modo possiamo escludere i casi d'uso esenti da MFA quando la MFA viene attivata?

Torna all'inizio

I certificati utente rispettano il requisito della MFA?

Se si utilizza l'autenticazione basata su certificato per l'organizzazione Salesforce, o se l'implementazione SSO impiega certificati utente anziché nomi utente e password, non si soddisfa il requisito della MFA.

Per soddisfare il requisito è necessario attivare la MFA per i prodotti Salesforce o per il provider di identità SSO in uso. Tuttavia, se ciò non fosse possibile, gli utenti possono soddisfare la MFA e il relativo requisito configurando il servizio certificati in modo tale che venga richiesto un PIN agli utenti che intendono selezionare o ricevere un certificato utente (ad esempio, quando si esegue l'accesso con una scheda PIV o CAC).

Vedere anche:

• In che modo possiamo escludere i casi d'uso esenti da MFA quando la MFA viene attivata?

Torna all'inizio

Possiamo usare un gestore password anziché la MFA?

Un gestore password riveste un ruolo importante nella propria strategia di defense-in-depth (difesa in profondità), ma non è un sostituto della MFA. È possibile utilizzare questo tipo di strumento per assicurarsi che gli utenti creino password forti e difficili da prevedere, che non riutilizzino le password e che cambino le password in base a un programma consigliato. Tuttavia le password, anche le più forti, non sono sufficienti a proteggere dagli accessi non autorizzati perché possono essere compromesse da minacce comuni quali attacchi di phishing, credential stuffing e malware. I gestori password non offrono la sicurezza degli accessi ottimizzata che si ottiene, invece, richiedendo due o più fattori di autenticazione tramite la MFA.

Torna all'inizio

La MFA è obbligatoria per le prove dei prodotti?

Le prove dei prodotti Salesforce hanno un periodo di tolleranza prima che venga imposto il requisito della MFA. Se un periodo di prova viene esteso o dura più di 45 giorni, la MFA deve essere abilitata per tutti gli utenti nell'ambiente entro il 45esimo giorno. Quando una versione di prova viene convertita in produzione, la MFA viene automaticamente abilitata per gli accessi diretti e tutti gli utenti devono fornire un metodo di verifica in aggiunta al nome utente e alla password.

Torna all'inizio

Esistono dei prodotti che sono esclusi dal requisito della MFA?

Sì. Salesforce non richiede la MFA per i seguenti prodotti in loco:

• MuleSoft Anypoint Platform On-Premises Edition.

• On-Premises Tableau Server e Tableau Public. Inoltre, sono esclusi anche Tableau Desktop, Tableau Prep, Tableau Content Migration Tool (CMT) e Tableau Resource Monitoring Tool (RMT), a meno che non siano collegati a Tableau Cloud.

Torna all'inizio

Nel caso di un abbonamento Salesforce con un partner, si applica comunque il requisito della MFA?

Se gli abbonamenti Salesforce sono stati acquistati da un rivenditore Salesforce o partner OEM, viene comunque richiesto di abilitare la MFA per i propri utenti. È possibile contattare il proprio rivenditore Salesforce o partner OEM per maggiori informazioni sul requisito della MFA.

Torna all'inizio

La MFA è obbligatoria per l'hub d'ambiente?

(Questo argomento si applica solo ai prodotti creati in Salesforce Platform).

La MFA è obbligatoria per tutti gli accessi all'hub d'ambiente che prevedono l'autenticazione in un'organizzazione di produzione.

Il requisito della MFA non si applica alle organizzazioni Developer Edition, Partner Developer Edition o alle organizzazioni vuote. Se si utilizza l'hub d'ambiente per accedere a questi tipi di ambiente, la MFA non è obbligatoria.

Torna all'inizio

Possiamo attivare la MFA solo per gli utenti privilegiati?

Per soddisfare il requisito della MFA, tutti gli utenti interni che accedono ai propri prodotti Salesforce (incluse le soluzioni partner) tramite l'interfaccia utente devono utilizzare la MFA. La MFA per gli amministratori e gli utenti con privilegi è una priorità assoluta perché questi utenti dispongono di tipi di autorizzazioni che rendono i loro account dei bersagli appetibili. Se un aggressore riesce ad accedere a questi tipi di account, il rischio è più elevato.

Torna all'inizio

Dobbiamo usare la stessa soluzione MFA per tutti i nostri utenti Salesforce?

Il punto cruciale del requisito della MFA è che tutti gli utenti Salesforce devono fornire un metodo di verifica forte, oltre alla loro password, quando accedono ai prodotti Salesforce. Se necessario, è possibile distribuire più di una soluzione per la MFA. Ad esempio, se sono presenti utenti SSO e non SSO, assicurarsi che la MFA sia abilitata per l'implementazione SSO oltre a utilizzare la funzionalità MFA del proprio prodotto Salesforce per gli utenti che accedono direttamente.

Torna all'inizio

MFA per gli accessi diretti ai prodotti Salesforce

Quali prodotti Salesforce supportano la MFA?

La funzione MFA è inclusa nei seguenti prodotti Salesforce:

• Tutti i prodotti creati in Salesforce Platform, come: Sales Cloud, Service Cloud, Analytics Cloud, B2B Commerce Cloud, Experience Cloud, Prodotti di settore (Consumer Goods Cloud, Education Cloud, Financial Services Cloud, Government Cloud, Health Cloud, Manufacturing Cloud, Nonprofit Cloud, Philanthropy Cloud), Marketing Cloud Audience Studio (in precedenza DMP), Marketing Cloud Account Engagement (basato su Pardot), Platform, Salesforce Essentials, Salesforce Field Service e le soluzioni partner

• B2C Commerce Cloud

• Heroku

• Marketing Cloud Engagement (basato su Email, Messaggistica e Journey)

• Marketing Cloud Intelligence (basato su Datorama)

• Marketing Cloud Social

• MuleSoft Anypoint Platform

• Prodotti Quip

• Tableau Cloud

Per saperne di più sulla MFA per questi prodotti, vedere il sito relativo alla MFA per i clienti Salesforce.

Torna all'inizio

In che modo possiamo escludere i casi d'uso esenti da MFA quando la MFA viene attivata?

Come descritto in queste Domande frequenti, in alcuni casi d'uso la MFA non è obbligatoria, ad esempio gli account di test automatici e RPA, i tipi di accesso all'integrazione di sistema tramite l'API, le organizzazioni Developer Edition e vuote e così via. La maggior parte dei casi viene esclusa automaticamente dalla necessità di utilizzare la MFA. In base ai prodotti, tuttavia, alcuni casi d'uso richiedono l'intervento dell'utente per essere esclusi.

Prodotti creati in Salesforce Platform
Consultare questo argomento nella Guida di Salesforce per vedere l'elenco dei casi d'uso esenti da MFA che devono essere esclusi manualmente dal requisito della MFA e per capire come intraprendere questa azione.

B2C Commerce Cloud
Se uno dei seguenti elementi si applica alla propria implementazione, attenersi alla procedura descritta di seguito prima di attivare la MFA nel tenant.

• Tipo di concessione ROPC:  può essere necessario passare al tipo di concessione credenziali client o al tipo di concessione autorizzazione. Vedere Modifiche al tipo di concessione di password per Salesforce B2C Commerce.

• Strumenti per test automatizzati dell'interfaccia utente:  Vedere la domanda sull'uso della MFA con utenti di sistema e processi automatizzati nelle Domande frequenti sull'autenticazione a più fattori di B2C Commerce.

• Accessi che utilizzano una combinazione di dispositivo affidabile e rete affidabile:  Contattare il rappresentante Salesforce.

Marketing Cloud Engagement (basato su Email, Messaggistica e Journey)
Marketing Cloud Intelligence (basato su Datorama)
Se si prevede di utilizzare una combinazione di dispositivi affidabili e reti affidabili per soddisfare il requisito della MFA, contattare il rappresentante Salesforce.

MuleSoft Anypoint Platform
Consultare questo argomento nella documentazione di MuleSoft per vedere l'elenco dei casi d'uso esenti da MFA che devono essere esclusi manualmente dal requisito della MFA e per capire come intraprendere questa azione.

Tableau Cloud
Contattare il proprio team account Tableau se una di queste condizioni è valida per il proprio sito:

• Si rendono le visualizzazioni di Tableau Cloud disponibili per i consumatori esterni alla propria azienda o si hanno utenti esterni che possono accedere ai contenuti nel sito di Tableau Cloud nel modo consentito dal manuale per l'utente.

• Si utilizza una combinazione di dispositivi affidabili e reti affidabili per soddisfare il requisito della MFA.

Vedere anche:

• Quali tipi di utenti, accessi e ambienti richiedono la MFA?

Torna all'inizio

Lightning Login è una forma di MFA?

Sì, è possibile utilizzare Lightning Login per soddisfare il requisito della MFA per i prodotti creati in Salesforce Platform. Questa funzione offre agli utenti un'esperienza MFA ottimizzata consentendo loro di accedere agli account Salesforce in modo rapido, sicuro e senza password. Lightning Login soddisfa lo standard MFA richiedendo due fattori di autenticazione: Salesforce Authenticator (già in possesso dell'utente) e l'inserimento di un PIN o di una scansione biometrica nel dispositivo mobile (già in possesso dell'utente). Per ulteriori informazioni, vedere Abilitazione di Lightning Login per accessi senza password nella Guida di Salesforce.

Torna all'inizio

Possiamo usare una soluzione MFA di terzi?

Se la propria azienda sta già usando una soluzione per la MFA come Okta™ o Duo™, consigliamo di integrare i propri prodotti Salesforce in quella soluzione anziché utilizzare una funzionalità MFA per tali prodotti Salesforce. L'integrazione con una soluzione esistente può limitare al massimo i problemi e le esigenze di gestione del cambiamento, perché gli utenti conoscono già la soluzione implementata.

In alternativa, se nella propria azienda è già stato implementato un sistema di Single Sign-On che richiede la MFA, vedere se è possibile integrare i prodotti Salesforce con quel sistema. Tenere presente, tuttavia, che tutti i propri utenti Salesforce devono utilizzare la MFA. Se si hanno utenti (ad esempio, gli amministratori Salesforce) che accedono direttamente ai propri prodotti, assicurarsi che stiano utilizzando la funzionalità MFA fornita da Salesforce.

Torna all'inizio

Che cos'è l'attivazione del dispositivo e come è collegata alla MFA?

Alcuni prodotti Salesforce includono una funzione chiamata Attivazione del dispositivo o Verifica dell'identità. Questa funzionalità viene a volte confusa con la MFA.

L'Attivazione del dispositivo richiede agli utenti di fornire un fattore di autenticazione supplementare se accedono da un browser o da un dispositivo non riconosciuto, oppure se l'indirizzo IP dell'utente non rientra in un intervallo di IP affidabili. I metodi di verifica supportati per questa funzione includono l'email e i messaggi SMS, nonché metodi forti come Salesforce Authenticator, app di autenticazione TOTP di terze parti e chiavi di protezione.

La MFA, d'altro canto, richiede agli utenti di fornire un metodo di verifica forte ogni volta che accedono. L'email e gli SMS non sono opzioni consentite per gli accessi con MFA a causa della loro suscettibilità intrinseca agli attacchi da parte di utenti malintenzionati.

Nota: Per i prodotti creati in Salesforce Platform e in Marketing Cloud Engagement, quando la MFA è abilitata, l'Attivazione del dispositivo/Verifica dell'identità è disabilitata.

Torna all'inizio

MFA per gli accessi SSO ai prodotti Salesforce

Noi utilizziamo il Single Sign-On (SSO) per Salesforce. L'SSO soddisfa il requisito della MFA?

Da solo, l'SSO non soddisfa il requisito della MFA. Con una strategia di SSO implementata correttamente si possono ridurre i rischi associati a password deboli o riutilizzate e facilitare gli accessi degli utenti alle applicazioni di uso frequente. Con un'implementazione SSO basata solo sulle credenziali utente, tuttavia, si lasciano gli account utente vulnerabili alle minacce più comuni, quali gli attacchi di phishing o di credential stuffing.

Se i propri prodotti Salesforce sono integrati con SSO, assicurarsi che la MFA sia abilitata per tutti gli utenti Salesforce. È possibile utilizzare il servizio MFA del provider SSO. In alternativa, per i prodotti creati in Salesforce Platform, è possibile utilizzare la funzionalità MFA gratuita fornita in Salesforce anziché abilitare la MFA a livello SSO. Per i dettagli, vedere Use Salesforce MFA for SSO Logins (Utilizza la MFA di Salesforce per gli accessi SSO) nella Guida di Salesforce.

Nota: tenere presente che tutti i propri utenti Salesforce devono utilizzare la MFA. Se si hanno utenti (ad esempio, gli amministratori Salesforce) che accedono direttamente ai propri prodotti, assicurarsi che stiano utilizzando la funzionalità MFA fornita da Salesforce.

Vedere anche:

• Quali metodi di verifica soddisfano il requisito della MFA?

Torna all'inizio

Perché Salesforce richiede la MFA per l'SSO?

Con un'implementazione SSO basata solo sulle credenziali utente, si lasciano gli account utente vulnerabili alle minacce alla sicurezza più comuni, quali gli attacchi di phishing o di credential stuffing. La MFA rappresenta una delle soluzioni più efficaci per impedire gli accessi non autorizzati agli account. Se non si implementa la MFA per gli utenti che accedono a Salesforce tramite SSO, si sarà più vulnerabili ai cyberattacchi che potrebbero danneggiare non solo il business, ma anche i clienti

Invitiamo a collaborare con i propri team IT e di sicurezza per allineare il requisito della MFA agli obiettivi di sicurezza generali della propria azienda e a richiedere la loro assistenza per rispettare tale requisito.

Se non si implementa la MFA per gli utenti che accedono a Salesforce tramite SSO, si sarà più vulnerabili ai cyberattacchi che potrebbero danneggiare non solo il business, ma anche i clienti.

Torna all'inizio

Dobbiamo utilizzare la MFA sia a livello di SSO sia a livello di Salesforce?

Per soddisfare il requisito della MFA, assicurarsi che tutti gli utenti interni effettuino l'accesso con la MFA.

• Se si ha un mix di utenti SSO e non SSO, assicurarsi che siano abilitati sia il servizio MFA del proprio provider SSO sia la funzionalità MFA dei prodotti Salesforce per gli accessi diretti.

• Anche se non si hanno utenti che accedono ai propri prodotti Salesforce direttamente, è buona norma, in termini di sicurezza, lasciare abilitata la funzionalità MFA dei propri prodotti Salesforce per gli accessi diretti. Così facendo non si ha alcun impatto sugli accessi SSO e si assicura una conformità completa al requisito della MFA nell'eventualità in cui un amministratore o un altro utente con privilegi abbia necessità di accedere direttamente ai prodotti degli utenti.

Torna all'inizio

Con quale frequenza gli utenti devono fornire un metodo di verifica per la MFA quando accedono con SSO?

Consigliamo vivamente di configurare il servizio MFA per il proprio provider di identità SSO, per obbligare gli utenti a fornire un metodo di verifica forte, oltre a nome utente e password, ogni volta che effettuano l'accesso.

Vedere anche:

• Quali metodi di verifica soddisfano il requisito della MFA?

Torna all'inizio

In che modo Salesforce saprà che abbiamo abilitato la MFA per il nostro provider di identità SSO e che rispettiamo il requisito?

Se si utilizza un provider di identità di terze parti per accedere ai propri prodotti Salesforce, Salesforce ha una visibilità limitata sull'implementazione della MFA in uso. Per assicurarci di avere le informazioni approfondite necessarie per gestire il requisito della MFA, prevediamo di sfruttare gli attributi basati sugli standard nei protocolli SSO che descrivono il metodo di autenticazione utilizzato durante un accesso SSO.

La maggior parte dei provider SSO supportano due attributi principali: OpenID Connect (OIDC) utilizza amr (Authentication Method Reference) mentre SAML utilizza AuthnContext (Authentication Context). Attualmente, OIDC amr è disponibile nei prodotti creati in Salesforce Platform ed è possibile vedere i valori in LoginHistory quando si esportano i dati. Nei rilasci futuri puntiamo a estendere OIDC amr ad altri prodotti Salesforce, nonché ad aggiungere il supporto per l'elemento AuthnContext di SAML a tutti i prodotti.

Torna all'inizio

Salesforce abiliterà o imporrà la MFA per l'SSO?

Non ci sarà alcuna azione da parte nostra per abilitare la MFA per conto dei nostri clienti per il loro provider di identità SSO. Inoltre, non prevediamo di bloccare l'accesso ai prodotti Salesforce o di attivare delle richieste di verifica tramite MFA in caso il servizio SSO dei clienti non richieda la MFA. Questa policy potrebbe cambiare in futuro.

Tuttavia, si ricorda che il requisito della MFA previsto dal contratto, in base alla sezione Notices and Licenses Information (Note e informazioni sulle licenze) della Salesforce Trust and Compliance Documentation (Documentazione sulla conformità e affidabilità di Salesforce) e alla guida dell'utente di Salesforce applicabile, si applica a tutti gli utenti Salesforce interni che accedono ai prodotti Salesforce tramite SSO. Se non è stata abilitata la MFA per gli accessi SSO, vedere Cosa accade se non rispettiamo il requisito della MFA? per ulteriori informazioni. Inoltre, rivolgersi all'ufficio legale per valutare le ripercussioni della non conformità.

In caso di dubbi riguardo il rispetto del requisito, rivolgersi al rappresentante Salesforce. Insieme, troveremo la soluzione migliore.

Torna all'inizio

Possiamo utilizzare la funzionalità MFA di Salesforce invece di usare il servizio MFA del nostro provider SSO?

Per i prodotti creati in Salesforce Platform, è possibile utilizzare la funzionalità MFA fornita in Salesforce anziché usare il servizio MFA del proprio provider SSO. Con questo approccio, gli utenti accedono tramite la propria pagina di accesso SSO. Successivamente vengono indirizzati a Salesforce dove viene loro richiesto di fornire il metodo di verifica MFA per confermare la loro identità. Per maggiori informazioni, vedere Uso della MFA di Salesforce per l'SSO nella Guida di Salesforce.

Nota: questa opzione non è disponibile per altri prodotti Salesforce.

Torna all'inizio

Possiamo abilitare l'SSO per gli amministratori Salesforce? Cosa accade se l'SSO non funziona?

Gli amministratori dovrebbero sempre essere in grado di accedere direttamente ai prodotti Salesforce degli utenti utilizzando nome utente e password. Non consigliamo di abilitare l'SSO per gli amministratori Salesforce in quanto non riuscirebbero ad accedere nel caso si verificasse un'interruzione o altri problemi con l'implementazione SSO. Ad esempio, se il proprio provider SSO di terze parti sta subendo un'interruzione prolungata, gli amministratori possono usare la pagina di accesso standard dei prodotti Salesforce degli utenti per accedere con nome utente e password, quindi possono disabilitare l'SSO finché il problema non viene risolto. Anziché utilizzare l'SSO per gli amministratori Salesforce, consigliamo di abilitare la MFA per gli account amministratore direttamente nei prodotti Salesforce.

Torna all'inizio

In che modo possiamo imporre gli accessi SSO per gli utenti Salesforce?

Se la propria azienda utilizza SSO per accedere a Salesforce, consigliamo di disabilitare gli accessi diretti per tutti gli utenti standard. Impedire gli accessi con nome utente e password di Salesforce, infatti, garantisce che gli utenti non possano bypassare il sistema SSO. Assicurarsi che gli utenti interessati conoscano l'URL da cui possono accedere alla pagina di accesso SSO. Per la procedura, vedere Disable Logins with Salesforce Credentials for SSO Users (Disabilitazione degli accessi con credenziali Salesforce per gli utenti SSO) nella Guida di Salesforce.

Torna all'inizio

Cosa dobbiamo fare se l'SSO non funziona e gli utenti necessitano di accedere direttamente ai prodotti Salesforce?

Se si consentono gli accessi diretti ai prodotti Salesforce come fallback nel caso in cui il servizio SSO non funzioni, assicurarsi che la funzionalità MFA fornita dai propri prodotti Salesforce sia attivata e applicata a tutti gli utenti interessati. Inoltre, invitare gli utenti a registrare un metodo di verifica per i loro account Salesforce in modo che non riscontrino ritardi se hanno necessità di accedere direttamente. Per i link alla documentazione della guida sulla MFA per i propri prodotti, vedere il sito relativo alla MFA per i clienti Salesforce.

Torna all'inizio

Metodi di verifica per la MFA

Quali metodi di verifica soddisfano il requisito della MFA?

Iniziamo dai metodi di verifica che non soddisfano il requisito, sia che si utilizzino i servizi MFA del provider di identità SSO o la MFA di Salesforce per gli accessi diretti.

• L'utilizzo dei codici di accesso validi una sola volta tramite le opzioni riportate di seguito non è consentito perché questi metodi sono per natura vulnerabili a intercettazioni, spoofing e altri attacchi.

  • Messaggi email

  • SMS

  • Telefonate

• Domande di sicurezza

• Da soli, la VPN, i dispositivi affidabili o le reti affidabili non sono metodi di verifica sufficientemente solidi per il requisito MFA (tuttavia, quando i dispositivi affidabili e le reti affidabili vengono utilizzati insieme offrono una protezione equivalente alla MFA e possono soddisfare il requisito della MFA. Per maggiori dettagli, vedere I dispositivi aziendali affidabili rispettano il requisito della MFA?, Limitare gli accessi a reti affidabili rispetta il requisito della MFA? e L'utilizzo di una VPN o di Zero Trust Network Access soddisfa il requisito della MFA?).

Per soddisfare il requisito della MFA, è necessario utilizzare metodi di verifica che siano fortemente resistenti ai cyberattacchi (ad esempio gli attacchi di tipo phishing e man-in-the-middle). I metodi di verifica forte consentono di garantire che gli utenti che accedono ai prodotti Salesforce siano chi dicono di essere.

Per SSO:
Fatta eccezione per le opzioni indicate sopra, utilizzare qualsiasi metodo che sia supportato da, o integrato con, la soluzione MFA del proprio provider di identità.

Per la MFA di Salesforce:
Utilizzare uno dei metodi supportati dalla funzionalità MFA dei prodotti Salesforce:

• App mobile Salesforce Authenticator (disponibile nell'App Store® o su Google Play™)

• App di autenticazione con codice di accesso valido una sola volta e basato sul tempo (TOTP), come Google Authenticator™, Microsoft Authenticator™ o Authy™

• Chiavi di protezione che supportano WebAuthn o U2F, quali YubiKey™ di Yubico o Titan™ Security Key di Google

• Autenticatori integrati quali Touch ID®, Face ID® o Windows Hello™

Per i vantaggi offerti da ciascun metodo e le relative considerazioni, consultare questo argomento nella Guida di Salesforce.

Per l'implementazione della MFA, scegliere il metodo o i metodi più adatti alla propria azienda e alle esigenze degli utenti, tenendo presenti le indicazioni di questo argomento.

Torna all'inizio

Gli utenti possono registrare più metodi di verifica?

Sì. Anzi, invitiamo gli utenti a registrare più metodi di verifica in modo da avere un backup nel caso in cui dimentichino o perdano il loro metodo principale.

Se un utente imposta svariati metodi di verifica, all'accesso gli viene automaticamente richiesto di fornire il metodo più sicuro. Salesforce utilizza questo ordine di precedenza per i metodi di verifica quando si accede con la MFA:

1. Salesforce Authenticator

2. Autenticatori integrati

3. Chiavi di protezione

4. App di autenticazione con codice di accesso valido una sola volta e basato sul tempo (TOTP) di terze parti

Nota: attualmente i prodotti Quip limitano gli utenti alla registrazione di un solo metodo di verifica alla volta.

Torna all'inizio

È possibile utilizzare l'email, gli SMS o le telefonate come metodi di verifica per la MFA?

No. I codici di accesso validi una sola volta forniti via email, messaggi SMS o telefonate non soddisfano il requisito della MFA, sia che si utilizzi la MFA di Salesforce per gli accessi diretti, sia che si utilizzino i servizi MFA del proprio provider SSO. Il motivo è che le credenziali email possono essere compromesse e sia gli SMS che le telefonate possono essere intercettati. È molto più difficile per i malintenzionati ottenere il controllo di un dispositivo mobile reale o una chiave di protezione fisica rispetto a infiltrarsi in un account email o hackerare un numero di cellulare.

Nota: se si implementa la MFA per i siti Experience Cloud di clienti e partner, gli utenti esterni sono in grado di accedere utilizzando i messaggi di testo SMS come metodo di verifica. Questa opzione consente di aggiungere un ulteriore livello di sicurezza per i propri siti mantenendo al contempo un accesso agevole per gli utenti che non hanno interazioni con i dati critici dell'azienda. Vedere questo argomento nella Guida di Salesforce per i dettagli completi.

Torna all'inizio

Dove posso trovare informazioni sui metodi di verifica MFA supportati da Salesforce?

Vedere questo argomento nella Guida di Salesforce.

Torna all'inizio

Possiamo utilizzare autenticatori TOTP per desktop o basati su browser?

Come procedura ottimale, consigliamo di usare app di autenticazione mobile, chiavi di protezione fisica o autenticatori integrati poiché questi metodi di verifica esistono come elementi distinti dal laptop o dalla workstation dell'utente. In questo modo, se un utente malintenzionato riuscisse a ottenere l'accesso al computer dell'utente, almeno il secondo fattore dell'utente non verrebbe compromesso.

Detto questo, se un'app di autenticazione TOTP per desktop, un'estensione del browser o uno strumento di gestione delle password che supporta TOTP è l'unica opzione che funziona per gli utenti, è possibile soddisfare il requisito della MFA con questi tipi di metodi.

Nota: l'uso dell'estensione Chrome Synebo per gli accessi agli ambienti Salesforce non è conforme al requisito della MFA.

Vedere anche:

• Dove posso trovare informazioni sui metodi di verifica MFA supportati da Salesforce?

• Salesforce supporta i codici TOTP generati da un gestore password?

Torna all'inizio

Salesforce supporta i codici TOTP generati da un gestore password?

Come procedura ottimale, consigliamo di usare l'app mobile o una chiave di protezione fisica come metodi di verifica perché sono elementi distinti dal laptop o workstation dell'utente. In questo modo, se un utente malintenzionato riuscisse a ottenere l'accesso al computer dell'utente, almeno il secondo fattore dell'utente non verrebbe compromesso. Molti gestori password consentono agli utenti di generare password valide una sola volta e basate sul tempo (TOTP) per la MFA. Consigliamo, tuttavia, di usare questa funzionalità solo con i gestori password a cui viene effettuato l'accesso da dispositivi mobili, oppure se il gestore password stesso presenta una protezione con MFA (ad es. mediante autenticazione biometrica).

Torna all'inizio

Nessuno dei metodi di verifica MFA supportati funziona per la mia azienda. Come posso soddisfare il requisito della MFA?

Siamo consapevoli che alcuni clienti potrebbero avere delle difficoltà nell'implementazione della MFA. Siamo a disposizione per illustrare il percorso verso la MFA, così da evitare eventuali ripercussioni sull'azienda a seguito di problemi di sicurezza e conformità. In caso di dubbi riguardo alla possibilità di rispettare il requisito, rivolgersi al rappresentante Salesforce; insieme, troveremo la soluzione migliore.

Torna all'inizio

I nostri utenti non dispongono di dispositivi mobili. Possiamo comunque usare la MFA?

Sì, i prodotti Salesforce supportano i metodi di verifica MFA che non richiedono l'utilizzo di un'app di autenticazione e di un dispositivo mobile. Consigliamo di utilizzare chiavi di protezione fisica o autenticatori integrati.

Se queste opzioni non possono essere applicate a causa di vincoli di budget o limitazioni hardware, è anche possibile rispettare il requisito utilizzando app di autenticazione TOTP per desktop o estensioni del browser.

Vedere anche:

• Dove posso trovare informazioni sui metodi di verifica MFA supportati da Salesforce?

• Possiamo utilizzare autenticatori TOTP per desktop o basati su browser?

Torna all'inizio

È necessaria una connessione dati per usare un'app di autenticazione mobile? Se un utente perde la connettività, può comunque accedere?

L'app mobile Salesforce Authenticator richiede una connessione dati per eseguire l'autenticazione tramite notifiche push o verifica automatica basata sulla posizione. Se il dispositivo mobile di un utente risulta offline, tuttavia, l'utente può comunque autenticarsi tramite uno dei codici univoci basati sul tempo (TOTP) che l'app genera continuamente. Analogamente, le app di autenticazione TOTP di terze parti funzionano anche se il dispositivo non ha una connessione.

Torna all'inizio

Prepararsi per la MFA

Quando viene attivata la MFA, in che modo questa influisce sugli utenti?

Quando la MFA è abilitata per gli accessi da interfaccia utente, ciascun utente deve disporre di almeno un metodo di verifica registrato per poter eseguire l'accesso. La procedura di registrazione collega un metodo all'account Salesforce dell'utente. Gli utenti possono registrare i metodi in qualsiasi momento. Se gli utenti non dispongono di un metodo pronto al momento dell'abilitazione della MFA, viene automaticamente richiesto loro di registrare un metodo al successivo accesso. Prompt su schermo guidano gli utenti nel processo di registrazione.

Per tutti gli accessi successivi, la procedura di login chiede agli utenti di specificare un metodo registrato oltre al nome utente e alla password.

Vedere questo breve video per una panoramica di come la MFA incide sull'esperienza di accesso.

Torna all'inizio

Come si possono preparare gli utenti alla MFA?

Per altre idee e procedure ottimali, consultare Preparazione degli utenti per l'autenticazione a più fattori nella Guida di Salesforce. Scaricare, inoltre, il pacchetto di distribuzione dell'autenticazione a più fattori per ottenere modelli personalizzabili di orientamento e gestione del cambiamento.

Torna all'inizio

Con quale frequenza gli utenti devono fornire un metodo di verifica quando accedono direttamente ai prodotti Salesforce?

Se si utilizza la funzionalità MFA di Salesforce, gli utenti devono rispondere a una richiesta di verifica tramite MFA ogni volta che accedono a un prodotto Salesforce. Questo vale per tutti gli accessi, inclusi gli accessi dovuti all'inattività e alle sessioni scadute. La frequenza delle richieste di verifica tramite MFA non può essere modificata.

Torna all'inizio

È possibile automatizzare o controllare la frequenza con la quale viene richiesto il passaggio supplementare di autenticazione nei prodotti Salesforce, al fine di ridurre l'impatto sugli utenti?

Per assicurarsi che la MFA stia fornendo la protezione prevista, gli utenti devono specificare un metodo di verifica ogni volta che accedono direttamente a un prodotto Salesforce. Per ridurre l'impatto per gli utenti, consigliamo di utilizzare Salesforce Authenticator. L'app può automatizzare il passaggio di autenticazione supplementare quando l'utente si trova in un luogo affidabile, come l'ufficio o la propria abitazione. Ciò significa che l'utente non deve toccare il proprio dispositivo mobile quando effettua il login da queste posizioni. L'utente può impostare questa opzione personalmente. Per i dettagli, consultare Automazione dell'autenticazione a più fattori con Salesforce Authenticator nella Guida di Salesforce.

Inoltre, Salesforce Authenticator può considerare affidabile una posizione automaticamente dopo che l'utente ha eseguito l'autenticazione da tale posizione tre volte. Per impostare questa opzione, consultare Come fare in modo che Salesforce Authenticator salvi in modo intelligente le posizioni affidabili.

Torna all'inizio

Che cosa devono fare gli utenti se hanno bisogno di sostituire un metodo di verifica oppure se il loro metodo di verifica smette di funzionare?

(Questo argomento si applica solo ai prodotti creati in Salesforce Platform).

È inevitabile che nel corso del tempo gli utenti sostituiscano i propri telefoni cellulari e computer con modelli più nuovi. Se qualcuno di questi utenti utilizzava il vecchio dispositivo per eseguire un'app di autenticazione o un autenticatore integrato per la MFA, dovrà portare il suo metodo di verifica sul nuovo dispositivo. Analogamente, un utente potrebbe finire col dover sostituire la propria chiave di protezione fisica con una nuova. In questi casi, iniziare disconnettendo il metodo di verifica esistente dell'utente in modo che tale utente possa registrare la soluzione sostitutiva. Se un utente segnala che il proprio metodo di verifica ha smesso di funzionare quando ha tentato di accedere, reimpostare il metodo disconnettendolo, quindi chiedere all'utente di registrarlo nuovamente per la MFA.

Vedere il sito relativo alla MFA per i clienti Salesforce per indicazioni specifiche su ogni prodotto. Inoltre, consultare In che modo gli utenti possono ripristinare l'accesso nel caso in cui perdano o dimentichino il loro metodo di verifica? per ripristinare rapidamente l'accesso per gli utenti.

Torna all'inizio

In che modo gli utenti possono ripristinare l'accesso nel caso in cui perdano o dimentichino il loro metodo di verifica?

Le opzioni per assistere gli utenti nel caso dimentichino o perdano i metodi di verifica usati solitamente dipendono dal prodotto Salesforce.

Nota: se si è l'unico amministratore del prodotto e non si riesce più ad accedere, contattare l'Assistenza clienti Salesforce.

Codici di verifica temporanei generati dall'amministratore
Per alcuni prodotti, gli amministratori possono generare codici temporanei che consentono agli utenti di accedere senza un metodo di verifica. Seguire la procedura per:

• Prodotti creati in Salesforce Platform (inclusi Sales Cloud e Service Cloud)

• Marketing Cloud Engagement (basato su Email, Messaggistica e Journey)

• Marketing Cloud Social

Codici di recupero generati dall'utente
Per questi prodotti, gli utenti possono generare un elenco di dieci codici di recupero a uso singolo da tenere in un luogo sicuro fino a quando non si rendono necessari. Tali codici devono essere utilizzati esclusivamente come metodo di backup quando non è disponibile il metodo di verifica consueto di un utente. Seguire la procedura per:

• Heroku

• Marketing Cloud Intelligence (basato su Datorama)

• Marketing Cloud Social

• Tableau Cloud

Reimpostazione della MFA
Per MuleSoft Anypoint Platform, gli amministratori possono reimpostare la MFA per un utente che ha perso o dimenticato i suoi metodi di verifica. A tale utente viene poi richiesto di registrare un nuovo metodo al successivo accesso.

Torna all'inizio

Come possiamo evitare che gli amministratori vengano bloccati dopo l'abilitazione della MFA?

Gli amministratori devono accertarsi che il loro piano di ripristino degli accessi includa i passaggi necessari in caso non riescano più a utilizzare i metodi di verifica consueti. Valutare queste procedure consigliate:

• Ciascun amministratore deve registrare almeno due metodi di verifica.

• Tenere una chiave di protezione di scorta in un luogo sicuro sul posto di lavoro.

• Predisporre almeno due account con autorizzazioni per gestire gli utenti e le impostazioni MFA. In questo modo, se un account venisse bloccato, è possibile utilizzare l'altro account per ripristinare l'accesso.

Torna all'inizio

Alcuni dei nostri utenti condividono un unico account Salesforce. Come funziona la MFA in questa situazione?

Salesforce proibisce la condivisione delle credenziali utente con più utenti. Questa prassi è incompatibile con la MFA, perché ogni utente deve registrare e connettere un metodo di verifica univoco al proprio account Salesforce prima di eseguire l'accesso. Se più utenti condividono lo stesso account, un solo utente potrà accedere all'account dopo l'abilitazione della MFA.

Risolvere eventuali account condivisi o credenziali condivise in uso. Assicurarsi di disporre di un numero sufficiente di licenze per impostare account separati per ogni persona che necessita di accedere ai prodotti Salesforce. Per assistenza sulla configurazione di account utente univoci, rivolgersi al proprio responsabile account o al team di vendita. In alternativa, fare riferimento a Salesforce Checkout e Self Service per gestire l'account e acquistare online.

Torna all'inizio

Come funziona la MFA negli ambienti Sandbox?

(Questo argomento si applica solo ai prodotti creati in Salesforce Platform).

come ausilio allo sviluppo di una strategia per gestire la MFA per i propri ambienti Sandbox, leggere le considerazioni in Multi-Factor Authentication Sandbox Setup Considerations (Considerazioni sull'impostazione dei Sandbox per l'autenticazione a più fattori) nella Guida di Salesforce.

Vedere anche:

• La MFA è obbligatoria per gli ambienti Sandbox?

Torna all'inizio

Indicazioni sul requisito della MFA per i partner/provider di servizi Salesforce

La MFA è obbligatoria quando i provider di servizi Salesforce utilizzano le licenze fornite dai clienti per accedere alle organizzazioni dei clienti per l'esecuzione di servizi amministrativi?

Sì. Per ulteriori informazioni, vedere I clienti possono assegnare al loro provider di servizi Salesforce una licenza singola che verrà condivisa da più utenti del provider di servizi?.

Torna all'inizio

I clienti possono assegnare al loro provider di servizi Salesforce una licenza singola che verrà condivisa da più utenti del provider di servizi?

Sì, ma solo fintantoché i seguenti criteri sono soddisfatti e si rispettano i termini aggiuntivi qui di seguito: (i) tutti i suddetti utenti devono essere personale di un provider di servizi Salesforce che utilizza tali abbonamenti al solo scopo di fornire supporto o altri servizi al Cliente in relazione all'utilizzo dei Servizi da parte del Cliente nella sua Organizzazione, (ii) tutti i suddetti utenti devono utilizzare uno strumento di gestione degli account privilegiati o una soluzione di gestione delle password aziendali, in connessione con l'utilizzo di cui sopra, che consenta l'implementazione dell'MFA nonostante l'uso di un singolo abbonamento da parte di più utenti del provider di servizi e che preveda la possibilità di limitare le autorizzazioni di accesso ai soli utenti autorizzati, utilizzando tecniche quali il controllo dell'accesso basato sui ruoli e l'accesso con privilegi minimi, e (iii) il Cliente rimane responsabile dell'uso di tali abbonamenti da parte dei suddetti utenti.

Salesforce si riserva il diritto di modificare i criteri in qualsiasi momento per il suddetto caso d'uso o di interrompere completamente questo uso consentito.

Per istruzioni dettagliate su come soddisfare il requisito della MFA per questa situazione, vedere l'articolo Knowledge Come soddisfare il requisito della MFA per il caso d'uso Accesso amministratore condiviso dal Partner.

Torna all'inizio

Utilizziamo licenze utente Platform per le comunità. Come si applica il requisito della MFA a questo caso d'uso?

La MFA non è richiesta per gli utenti esterni che possono accedere solo ai siti Experience Cloud dell'azienda, ad esempio le comunità di dipendenti. Per i prodotti creati in Salesforce Platform, un utente esterno è un qualunque utente che dispone di una licenza Community, Employee Community o External Identity.

Se la soluzione del partner ha creato una comunità per gli utenti esterni ma utilizza una licenza Platform anziché Experience Cloud, inviare un caso di assistenza seguendo queste istruzioni:

1. Nella Guida di Salesforce, aprire un caso sotto Salesforce Partner Program Support (Assistenza Salesforce Partner Program).

2. Registrare il caso nella sezione dei programmi e dei vantaggi per i partner e indicare l'argomento come ISV Technology Request (Richiesta di tecnologia ISV).

Torna all'inizio

Come influisce il requisito della MFA sull'uso della console dell'abbonato?

• La MFA è obbligatoria quando si accede all'organizzazione di gestione licenze (LMO). Per maggiori dettagli vedere la sezione sul requisito dell'autenticazione a più fattori per gli accessi alle organizzazioni degli abbonati nelle note di rilascio di Salesforce. Per informazioni sulla MFA e sulla funzione Accedi come, vedere questa nota di rilascio.

• I partner dovranno impostare la MFA nella propria organizzazione di gestione licenze per accedere alla funzione Console Assistenza abbonato. Si noti che il metodo precedente che prevedeva l'uso dell'operazione di rilascio per testare l'impostazione di High Assurance non è più disponibile. I partner che utilizzano insiemi di autorizzazioni MFA ora possono utilizzare rapporti e cruscotti digitali per verificare se l'impostazione di High Assurance è configurata correttamente. Per verificare se per un account utente con insieme di autorizzazioni MFA esiste una sessione di High Assurance, seguire questa procedura.

Torna all'inizio

Ulteriori informazioni

Dove si possono trovare altre informazioni sulla MFA per i nostri prodotti Salesforce?

Ci impegniamo ad aiutare tutti i nostri clienti per fare in modo che abbiano un'esperienza positiva con la MFA. Disponiamo di una varietà di risorse per consentire ai nostri utenti di familiarizzare con la MFA e capire come gestirla per i propri prodotti.

• Per scoprire come funziona la MFA e perché è così importante, vedere il video How Multi-Factor Authentication works to Protect Account Access (Come funziona l'autenticazione a più fattori per proteggere l'accesso agli account).

• Passare quindi al sito relativo alla MFA per i clienti Salesforce per consultare tutte le nostre indicazioni sulla MFA, inclusa l'assistenza specifica per ciascun prodotto Salesforce.

Torna all'inizio

A chi ci si può rivolgere in caso di domande sulla MFA o sul requisito della MFA?

Per ulteriori domande o per assistenza, visitare la Trailblazer Community MFA - Getting Started (MFA - Per iniziare). È possibile rivolgere le proprie domande a esperti di sicurezza Salesforce e ad altri amministratori Trailblazer impegnati nell'implementazione della MFA.

I partner Salesforce e i provider di servizi sono invitati a unirsi a noi nella Partner Community.

Torna all'inizio

Cronologia delle revisioni