Ti trovi qui:
App di autenticazione di terze parti per la MFA
L'autenticazione a più fattori (MFA) di Salesforce supporta l'uso di app di autenticazione di terze parti che generano codici TOTP (time-based one-time password). Sono disponibili numerose app di estensioni per dispositivi mobili, desktop e browser, incluse le versioni gratuite. Alcune opzioni popolari includono Google Authenticator, Microsoft Authenticator, Authy e gestori di password come LastPass e 1Password.
Per accedere con questo tipo di metodo di verifica, l'utente riceve un codice dall'app di autenticazione. Tale codice deve essere immesso durante la procedura di accesso a Salesforce.
Gli autenticatori TOTP possono generare codici anche se il telefono dell'utente non dispone di dati o di connessione a Internet.
Requisiti e considerazioni
-
Le app di autenticazione di terze parti sono supportate da tutti i prodotti Salesforce che offrono funzionalità MFA.
-
Gli utenti possono accedere utilizzando qualsiasi app di autenticazione che genera codici temporanei basati sull'algoritmo TOTP (Time-based One-Time Password) OATH (RFC 6238).
-
Oltre al requisito dell'algoritmo TOTP, i prodotti creati in Salesforce Platform possono utilizzare token hardware TOTP che soddisfano i seguenti requisiti:
- Codificato Base32, segreto di 20 byte
- Codice di 6 cifre
- Contatore di 30 secondi
- SHA1
Per associare un token hardware a un utente, inserire un oggetto TwoFactorInfo nel database, come descritto in Salesforce Object Reference. Specificare il segreto, l'ID utente e specificare il campo Tipo come TOTP. È possibile utilizzare Data Loader, Workbench o Apex personalizzato per inserire oggetti TwoFactorInfo nel database.
- Si consiglia di utilizzare le app di autenticazione mobile perché esistono separatamente dal laptop o dalla workstation di un utente. In questo modo, se un utente malintenzionato riesce ad ottenere l'accesso al computer di un utente, almeno il secondo fattore dell'utente non viene compromesso. Tuttavia, se un'applicazione di autenticazione desktop o l'estensione del browser è l'unica opzione possibile per gli utenti, è possibile soddisfare il requisito MFA con questi tipi di metodi.
Molti gestori di password consentono agli utenti di generare codici TOTP per l'autenticazione MFA. Si consiglia di utilizzare questa funzionalità solo dai gestori di password a cui si accede da dispositivi mobili o se il gestore di password stesso dispone di protezione MFA (ad esempio, utilizzando l'autenticazione biometrica).
Dietro le quinte
Le app di autenticazione TOTP generano codici temporanei basati su una chiave segreta (nota solo all'utente e al servizio, ad esempio Salesforce) e sull'ora corrente. Un codice è valido per 30 secondi e successivamente ne viene generato uno nuovo.
