Ejemplos de flujos de inicio de sesión

Recopilación y actualización de datos de usuarios al iniciar sesión

1. Consulta del objeto del usuario para los números de teléfono del usuario, si existen.
2. Visualización de los números y solicitud de confirmación o actualización al usuario.
3. Actualización del objeto del usuario con los nuevos números, si procede.

Creación del flujo

1. Ir a https://help.salesforce.com/articleView?id=flow_builder.htm&language=es_MX.
2. Desde la ficha Gestor en la caja de herramientas, haga clic en Nuevo recurso y cree una variable para almacenar el Id. de usuario.

   El evento de inicio de sesión pasa al flujo una lista de atributos de contexto. Cuando se inicia el flujo, los valores de atributos correspondientes se rellenan en la variable de entrada apropiada. Para utilizar estos atributos en el flujo, defina variables de texto local utilizando el formato LoginFlow_ATTRIBUTE_NAME. Por ejemplo, LoginFlow_UserId, que puede utilizar para comprobar el id. del usuario que inicia sesión y consultar el objeto de usuario asociado.

   

   Tras agregar cada variable, este aparecerá en la ficha Gestor.

   Se admiten las siguientes variables de entrada.

   • LoginFlow_LoginType
   • LoginFlow_LoginSubType
   • LoginFlow_IpAddress
   • LoginFlow_UserAgent
   • LoginFlow_Platform
   • LoginFlow_Application
   • LoginFlow_Community
   • LoginFlow_SessionLevel
   • LoginFlow_UserId

   También puede almacenar estos atributos como variables de salida en el flujo.

   • LoginFlow_FinishLocation (tipo Texto): Esta variable determina dónde se debe enviar al usuario cuando se completa el flujo.
   • LoginFlow_ForceLogout (tipo Booleano): Cuando esta variable se define con el valor true, la sesión del usuario se cierra de inmediato.
3. En la ficha Gestor, haga clic en Nuevo recurso para crear una variable de registro para almacenar valores del usuario.
   
4. Agregue un elemento Obtener registros para buscar el usuario que está intentando iniciar sesión.
   
5. Especifique los campos del usuario que desea almacenar en la variable, como, por ejemplo, Phone y MobilePhone.
   
6. Cree una pantalla de bienvenida para solicitar al usuario confirmar los números de teléfono en el archivo.
   
7. Para establecer un valor predeterminado para cada componente Teléfono en la pantalla, establezca Valor como el campo apropiado en la variable de registro {!user}. Para Teléfono, eso es {!user.Phone}. Para Teléfono celular, eso es {!user.mobilePhone}.
8. Para almacenar el ingreso del usuario para cada componente Teléfono, establezca Valor en la sección Almacenar valores de salida del componente en el mismo campo que en el paso anterior.
   
9. Agregue un elemento Actualizar registros que utiliza los valores en la variable de registro {!user} para actualizar los números de teléfono del usuario. Como almacenó salidas de cada componente de pantalla Teléfono en campos en la variable de registro {!user}, el flujo utiliza esos valores para actualizar el usuario.
   
10. Conecte los elementos juntos.
    
11. Asigne un nombre al flujo de inicio de sesión y guárdelo.
    
12. Conecte el flujo de inicio de sesión a un perfil de usuario. Mejores prácticas para crear un usuario de prueba dedicado con un perfil de prueba.
    

    Nota No asocie ningún flujo de inicio de sesión con el perfil de administrador hasta que no esté seguro de que el flujo de inicio de sesión funciona correctamente. De lo contrario, en caso de error, no podrá iniciar sesión en su organización.
13. Cierre la sesión y, a continuación, inicie sesión como usuario de prueba y pruebe el flujo.

Este es el aspecto del flujo Welcome Flow que se obtiene al utilizar Lightning Experience.

Configurar la autenticación de múltiples factores (MFA)

Este ejemplo implementa un flujo de inicio de sesión que mejora la autenticación de contraseña simultánea basada en el tiempo (TOTP) con un método de autenticación de múltiples factores compatible con Salesforce. El algoritmo TOTP computa una contraseña simultánea a partir de una clave secreta compartida y la hora actual.

El flujo realiza las acciones que se indican a continuación.

• Si el usuario aún no está registrado, el flujo genera una nueva clave secreta y solicita al usuario que registre la clave con un código de Respuesta rápida (QR). Cuando el usuario proporciona un token TOTP válido, la clave secreta se almacena en el registro del usuario. Esta clave se volverá a utilizar en próximos inicios de sesión.
• Si el usuario ya está registrado, solo se solicita al usuario el token TOTP.

Advertencia Cuando se activa Renderizar flujo en tiempo de ejecución Lightning, los usuarios que utilizan el flujo de inicio de sesión tienen acceso a funciones de Salesforce antes de completar el flujo. El acceso de usuarios no autorizados presenta un riesgo de seguridad. Si está utilizando el flujo de inicio de sesión personalizado para aplicar la seguridad, recomendamos que no active este parámetro.

Los usuarios pueden utilizar aplicaciones de autenticación basadas en el tiempo, como Salesforce Authenticator o Google Authenticator, para escanear el código QR y generar un token TOTP.

Es posible mejorar este flujo y personalizar la experiencia del usuario agregando un logotipo y colores corporativos. Puede incluso agregar y aplicar distintas políticas. Por ejemplo, puede crear un proceso de MFA basado en IP que requiera un segundo factor de autenticación solo cuando la dirección IP esté fuera de un determinado intervalo.

Este ejemplo utiliza el objeto TwoFactorInfo y la clase de Apex Auth.SessionManagement para personalizar y gestionar la autenticación de múltiples factores TOTP basada en estándares compatible con Salesforce.

1. Búsqueda del objeto TwoFactorInfo para el usuario actual. Si el usuario no está registrado, genere una clave.
2. A continuación, se determina si el usuario ya está registrado mediante TOTP.
3. Si el usuario ya está registrado, se solicita al usuario que proporcione el token TOTP.
4. Si el usuario no está registrado, solicite al usuario que se registre mediante un código QR y que proporcione el token TOTP.
5. Valide el token TOTP. Si el token es válido, el flujo de inicio de sesión finalizará y el usuario habrá iniciado su sesión.
6. Si el token TOTP no es válido, se devolverá al usuario al paso 2.

Configuración del flujo TOTP

1. Cree las variables.
   • secret: almacena la clave secreta para todas las operaciones de múltiples factores.
   • qr_url: almacena la URL para la codificación del código QR de la clave secreta.
   • IsTokenValid: almacena el resultado de la verificación.

   secret y qr_url son variables de Texto y IsTokenValid es una variable de Booleano.

   
2. Para generar un nuevo secreto para usuarios que no están ya registrados con un TOTP, arrastre un elemento Acción de Apex (Heredado) en el lienzo y seleccione la acción de Apex heredada TOTPPlugin.
   

   Las acciones de Apex son clases de Apex que amplían la funcionalidad estándar de un flujo. Puede utilizar una acción de Apex para realizar cálculos completos, realizar llamadas de API a servicios externos y mucho más.

   El complemento TOTPPlugin accede a los métodos TOTP de Salesforce, genera una clave secreta basada en el tiempo con un código QR y valida el TOTP. La clase de Apex para el complemento TOTPPlugin está disponible en el paquete de muestras de flujos de inicio de sesión.

   La acción de Apex heredada tiene estos parámetros heredados.

   • OTP_INPUT: token TOTP que proporciona el usuario.
   • OTP_REGISTRATION_INPUT: token TOTP que proporciona el usuario al registrarse por primera vez.
   • SECRET_INPUT: clave secreta que se utiliza para generar el TOTP.

   Devuelve los siguientes valores de salida.

   • SECRET_OUTPUT: clave secreta que genera el complemento.
   • QR_URL_OUTPUT: codificación QR de la clave secreta.
   • IsValid_OUTPUT: Si la validación se completa correctamente, devuelve true. De lo contrario, devuelve false.

   Configure esta instancia de TOTPPlugin para generar una nueva clave secreta y un código QR en caso de que el usuario no esté ya registrado. En este caso, no se pasa ninguna entrada.

   

   La clave secreta y la URL del código QR se almacenan en las variables qr_url y secret.

   
3. Configure un elemento Decisión para registrar un usuario.

   Esta decisión verifica si secret tiene un valor nulo. Si no es nulo, el usuario debe registrarse. De este modo, defina Register como un resultado de la decisión. De lo contrario, el usuario ya está registrado y solo debe especificar el token TOTP. Cambie la etiqueta del resultado predeterminado a Obtener TOTP.

   
4. Configure la pantalla de obtención de TOTP.

   Los usuarios que ya estén registrados se redirigen a esta pantalla y se les pide que especifiquen el token TOTP. Más adelante en el flujo, puede utilizar el token TOTP que los usuarios ingresan haciendo referencia al nombre de API del componente Texto (OTP_input).

   
5. Configure la pantalla de registro. Solicite al usuario escanear el código QR, inicializar la aplicación del cliente TOTP e ingresar el token TOTP.
   
6. Para validar el token TOTP que el usuario ingresa, configure otra instancia de la acción de Apex heredada TOTPPlugin.

   La acción de Apex heredada TOTPPlugin admite ambos casos de uso.

   • El usuario procede de la pantalla de registro. El usuario debe escanear el código QR y proporcionar el token TOTP. El token TOTP y el secreto se pasan al complemento TOTPPlugin para su validación. TOTPPlugin valida el token TOTP con el secreto. Si es válido, el secreto se registra en el registro del usuario y se utilizará en próximos inicios de sesión.
   • El usuario procede de la pantalla de obtención de tokens. El usuario ya está registrado y solo debe especificar el token TOTP. El token TOTP se pasa a través del parámetro TokenInput al TOTPPlugin para su validación.
   

   El parámetro isTokenValid devuelve el estado de validación, que se guarda a continuación en la variable de flujo isTokenValid.

   
7. Determine si iniciar sesión del usuario configurando otro elemento Decisión con dos posibles resultados.
   • Si IsTokenValid es true, el token es válido.
   • De lo contrario, el token no es válido.

   Si la validación se realiza correctamente, el usuario podrá continuar hasta el final del flujo, para, a continuación, hacer clic en el paso siguiente e iniciar sesión en la aplicación. Si la validación produce un error, el flujo redirigirá al usuario al paso 2 del flujo. En el paso 2, los usuarios registrados deberán especificar un nuevo token TOTP. En caso de que el usuario aún no esté registrado, este deberá registrarse y proporcionar un nuevo token TOTP.

   
8. Conecte los elementos juntos.
   • Para conectar la decisión Registro a la pantalla Registro, seleccione Registrar resultado
   • Para conectar la decisión Registro con la pantalla Obtener TOTP, seleccione el resultado Obtener TOTP.
   • Para conectar la decisión Iniciar sesión con la decisión Registro, seleccione el resultado Token no válido.
9. Guarde el flujo de inicio de sesión, actívelo y conéctelo a un perfil de usuario.

Integración de métodos de autenticación sólida de terceros

Paquete de muestras de flujos de inicio de sesión