Проверка подлинности на основе сертификата

Проверка подлинности на основе сертификата соответствует требованиям FedRAMP High Authenticator Assurance Level (AAL) 3 к цифровой идентификации и личным картам проверки подлинности. Ваша организация также может использовать сертификаты, подписываемые центром сертификации (CA), с проверкой подлинности на основе сертификата. Просмотрите список сертификатов SSL CA исходящих сообщений.

Проверка подлинности на основе сертификата использует протокол безопасности взаимного транспортного уровня (mTLS). С помощью этого протокола Salesforce и пользователь взаимно подтверждают свою личность друг другу посредством процесса под названием рукопожатие mTLS. Ниже указан общий обзор потока проверки подлинности.

• Пользователь переходит на страницу входа в «Мой домен» и нажимает «Вход на основе сертификата».
• Salesforce отправляет сертификат сервера и цепочку сертификатов в обозреватель пользователя.
• Обозреватель проверяет сертификат и цепочку сервера.
• При наличии запроса пользователь выбирает или предоставляет пользовательский сертификат проверки подлинности, также известный как клиентский сертификат. Этот шаг может зависеть от обозревателя, службы Salesforce, к которой имеет доступ пользователь, и от того, использовал ли пользователь сертификат раньше.
• Обозреватель пользователя отправляет пользовательский сертификат проверки подлинности и цепочку сертификатов на сервер Salesforce. Salesforce проверяет сертификат и цепочку посредством пользовательского сертификата проверки подлинности, настроенного в параметрах вашей организации.
• После взаимной проверки подлинности Salesforce и обозревателя пользователь входит в систему.

Чтобы добавить пользовательский сертификат проверки подлинности в организацию, загрузите его в пользовательские сертификаты проверки подлинности в настройках. Или используйте REST API, SOAP API и создание стандартного API для управления объектом UserAuthCertificate. Потом можно интегрировать переданные пользовательские сертификаты с внешним инструментом API, например, Data Loader. Внешние инструменты API могут помочь вам управлять пользовательскими сертификатами.

Прежде чем включить проверку подлинности на основе сертификата, ознакомьтесь со следующими требованиями.

• Эта функция доступна только в организациях, настроенных с параметром «Разрешить пользователям авторизацию с включенным параметром сертификата» на странице проверки подлинности в настройках.
• Проверка подлинности на основе сертификата не поддерживается на сайтах Experience Cloud.
• Если вы используете пользовательский сертификат проверки подлинности от общедоступного поставщика центра сертификации, сертификат должен быть привязан к действительному корневому центру сертификации для вашего экземпляра. Для получения списка действительных поставщиков общедоступных центров сертификации добавьте /cacerts.jsp к URL-адресу экземпляра, например, https:// MyCompany.my.salesforce.com/cacerts.jsp.
• Пользовательские сертификаты проверки подлинности должны содержать расширение EKU проверки подлинности клиента (расширенное использование ключей).
  

  Важно! С помощью политики корневой программы Google Chrome v1.7 пользовательская проверка подлинности (клиент) и сертификаты сервера не могут исходить из одного общедоступного корневого центра сертификации в надежном корневом списке Chrome. Данное изменение не позволяет использовать сертификаты, содержащие EKU для проверки подлинности пользователя и сервера. Во избежание сбоев перейдите к отдельным иерархиям сертификатов. Изменения политики Google Chrome вступают в силу 15 июня 2026 года, но до этой даты могут возникнуть проблемы с продлением сертификатов для некоторых поставщиков общедоступных центров сертификации.

  Дополнительную информацию см. в разделе «Предстоящие обязательные изменения инфраструктуры открытых ключей (PKI)».

• Загруженные пользовательские сертификаты проверки подлинности должны быть цифровыми сертификатами X.509 с кодом PEM.
• Загруженный PEM-файл может содержать один сертификат или до 10 сертификатов в цепочке сертификатов.
• Размер загруженного PEM-файла не должен превышать 1 Мб.
• Пользовательский сертификат проверки подлинности не может быть просрочен.
• Пользовательский сертификат проверки подлинности должен быть уникальным для одной организации Salesforce.
• Пользователь может иметь несколько сертификатов проверки подлинности, но сертификат должен быть уникальным для пользователя.
• Пользователь должен иметь возможность подключения к порту 8443. Проверка подлинности на основе сертификата работает в порту Salesforce 8443.

• Включение проверки подлинности на основе сертификата
  Чтобы использовать сертификаты для проверки подлинности отдельных пользователей в вашей организации, необходимо включить проверку подлинности на основе сертификата.
• Проверка статуса отзыва пользовательских сертификатов проверки подлинности
  При каждом входе пользователей посредством сертификата можно проверить его статус отзыва посредством протокола статуса онлайн-сертификата (OCSP) или списков отзыва сертификата (CRL). С помощью OCSP Salesforce проверяет статус отзыва сертификатов в режиме реального времени. Если проверка статуса OCSP не удается или сертификат не настроен для OCSP, Salesforce использует CRL.
• Проверка ошибок входа в сертификат
  При включении проверки статуса отзыва сертификата Salesforce предотвращает входы с сертификатами, которые отозваны или не могут быть проверены. Чтобы узнать причину сбоя входа посредством сертификата, просмотрите страницу журнала входов организации. Просмотрите данные ошибки входа.
• Загрузка пользовательского сертификата проверки подлинности
  После включения проверки подлинности на основе сертификата можно загрузить цифровые сертификаты X.509 с кодом PEM для проверки подлинности отдельных пользователей в вашей организации.
• Добавление проверки подлинности на основе сертификата на страницу входа в «Мой домен»
  После включения проверки подлинности на основе сертификата в проверке подлинности добавьте кнопку входа на основе сертификата на страницу входа в «Мой домен». Пользователи могут нажать кнопку для проверки подлинности посредством уникального пользовательского сертификата проверки подлинности.
• Просмотр сведений о пользовательских сертификатах проверки подлинности
  Вы можете просмотреть все пользовательские сертификаты проверки подлинности, загруженные для вашей организации, а также сертификаты, назначенные отдельному пользователю. В этих представлениях отображается время загрузки сертификатов и срок их действия. Вы также можете переименовать и удалить сертификаты.
• Загрузка пользовательского сертификата проверки подлинности
  Вы можете загрузить цифровой сертификат X.509 с кодом PEM, ранее загруженный в вашу организацию.
• Переименование пользовательских сертификатов проверки подлинности
  Пользовательский сертификат проверки подлинности можно переименовать. Чтобы отредактировать не только имя сертификата пользователя, удалите сертификат и загрузите новый цифровой сертификат X.509 с кодировкой PEM.
• Удаление пользовательских сертификатов проверки подлинности
  Удалите пользовательский сертификат проверки подлинности, если он скомпрометирован и сертификат отозван, срок действия которого истек или больше не используется.
• Вход в организацию посредством проверки подлинности на основе сертификата
  Если ваша организация Salesforce поддерживает проверку подлинности на основе сертификата в качестве метода входа, вы можете войти с помощью уникального пользовательского сертификата проверки подлинности вместо имени пользователя и пароля.