Autenticação baseada em certificado

A autenticação baseada em certificado cumpre os requisitos de identidade digital FedRAMP High Authenticator Assurance Level (AAL) 3 e cartões de verificação de identificação pessoal. Sua organização também pode usar certificados assinados por autoridades certificadoras (CA) com autenticação baseada em certificado. Visualize a lista de Certificados SSL da AC de mensagens de saída.

A autenticação baseada em certificado usa o protocolo de Segurança de camada de transporte mútua (mTLS). Com esse protocolo, o Salesforce e o usuário comprovam mutuamente sua identidade usando um processo chamado de handshake mTLS. Esta é uma visão geral de alto nível do fluxo de autenticação.

• O usuário acessa a página de login do Meu domínio e clica em Login baseado em certificado.
• O Salesforce envia seu certificado de servidor e cadeia de certificados para o navegador do usuário.
• O navegador verifica o certificado e a cadeia do servidor.
• Se solicitado, o usuário seleciona ou fornece um certificado de autenticação do usuário, também conhecido como certificado do cliente. Essa etapa pode variar dependendo do navegador, do serviço do Salesforce que o usuário está acessando e de se o usuário usou o certificado anteriormente.
• O navegador do usuário envia o certificado de autenticação do usuário e a cadeia de certificados para o servidor do Salesforce. O Salesforce verifica o certificado e a cadeia usando o certificado de autenticação do usuário configurado nas configurações da sua organização.
• Depois que o Salesforce e o navegador se autenticam mutuamente, o usuário é conectado.

Para adicionar o certificado de autenticação do usuário à sua organização, carregue-o em Certificados de autenticação do usuário em Configuração. Como alternativa, use a API REST, a API SOAP e a criação de objeto de API padrão para gerenciar o objeto UserAuthCertificate. Você então pode integrar os certificados de usuário carregados a uma ferramenta de API externa, como o Data Loader. As ferramentas de API externas podem ajudá-lo a gerenciar os certificados de seus usuários.

Observe estes requisitos antes de habilitar a autenticação baseada em certificado.

• Esse recurso está disponível apenas em organizações configuradas com a configuração Permitir que usuários se autentiquem com um certificado ativada na página Verificação de identidade em Configuração.
• A autenticação baseada em certificado não tem suporte nos sites do Experience Cloud.
• Se você usar um certificado de autenticação do usuário de um fornecedor de CA público, o certificado deverá ser encadeado a uma CA raiz válida para sua instância. Para obter uma lista de fornecedores de CA pública válidos, adicione /cacerts.jsp ao URL da sua instância, como https://MyCompany.my.salesforce.com/cacerts.jsp.
• Os certificados de autenticação do usuário devem conter a extensão EKU de autenticação do cliente (Uso de chave estendida).
  

  Importante Com a Política do programa raiz do Google Chrome v1.7, sua autenticação de usuário (cliente) e os certificados de servidor não podem se originar da mesma CA raiz pública na Lista raiz confiável do Chrome. Com essa alteração, não é mais possível usar certificados que incluam EKUs para autenticação de usuário e servidor. Para evitar interrupções, mude para hierarquias de certificados separadas. As alterações da política do Google Chrome entram em vigor em 15 de junho de 2026, mas você poderá enfrentar problemas com a renovação de certificado para alguns fornecedores de CA pública antes dessa data.

  Para obter mais informações, consulte Alterações obrigatórias futuras à Infraestrutura de chave pública (PKI).

• Certificados de autenticação do usuário carregados devem ser certificados digitais X.509 codificados em PEM.
• Um arquivo PEM carregado pode conter um único certificado ou até dez certificados em uma cadeia de certificados.
• Um arquivo PEM carregado pode ter até 1 MB.
• O certificado de autenticação do usuário não pode estar expirado.
• O certificado de autenticação do usuário deve ser exclusivo para uma única organização do Salesforce.
• Um usuário pode ter vários certificados de autenticação, mas um certificado deve ser único de um usuário.
• O usuário precisa estabelecer conexão na porta 8443. A autenticação baseada em certificado funciona na porta 8443 do Salesforce.

• Habilitar autenticação baseada em certificado
  Para usar certificados para autenticar usuários individuais para a sua organização, é preciso habilitar autenticação baseada em certificado.
• Validar o status de revogação de certificados de autenticação de usuário
  Sempre que os usuários fizerem login com um certificado, você pode validar o status de revogação usando o Protocolo de status de certificado online (OCSP) ou Listas de revogação de certificados (CRL). Com OCSP, o Salesforce verifica o status da revogação dos certificados em tempo real. Se uma verificação de status de OCSP falhar ou se um certificado não estiver configurado para OCSP, o Salesforce usará CRL.
• Revisar erros de login de certificado
  Quando você habilita as verificações de status de revogação de certificado, o Salesforce impede logins com certificados que são revogados ou que não podem ser validados. Para ver por que o login de um certificado falhou, verifique a página Histórico de login da sua organização. Revise estes erros de login.
• Carregar um certificado de autenticação do usuário
  Após habilitar a autenticação baseada em certificado, você pode carregar certificados digitais X.509 codificados em PEM para autenticar usuários individuais para a sua organização.
• Adicionar autenticação baseada em certificado à sua página de login Meu domínio
  Após habilitar a autenticação baseada em certificado em Verificação de identidade, adicione o botão Login baseado em certificado à sua página de login Meu domínio. Os usuários podem clicar no botão para autenticarem-se usando o próprio certificado de autenticação do usuário exclusivo.
• Exibir detalhes sobre certificados de autenticação do usuário
  Você pode visualizar todos os certificados de autenticação do usuário carregados para a sua organização e pode visualizar os certificados atribuídos a um único usuário. Dessas visualizações, você pode ver quando os certificados são carregados e quando eles expiram. Você também pode renomear e excluir certificados.
• Fazer download de um certificado de autenticação do usuário
  Você pode fazer download do certificado digital X.509 codificado por PEM que foi carregado anteriormente na sua organização.
• Alterar o nome de certificados de autenticação do usuário
  Você pode alterar o nome de um certificado de autenticação do usuário. Para editar mais de um nome de certificado do usuário, exclua o certificado e carregue um novo certificado digital X.509 codificado em PEM.
• Excluir certificados de autenticação do usuário
  Exclua um certificado de autenticação do usuário se ele estiver comprometido e o certificado tiver sido revogado, expirado ou não estiver mais em uso.
• Efetuar login em sua organização com autenticação baseada em certificado
  Se sua organização do Salesforce tiver suporte para autenticação baseada em certificado, como método de login, você poderá efetuar login com seu certificado de autenticação do usuário exclusivo, em vez de um nome de usuário e senha.