设置 API 访问权限的 MFA 登录要求（Salesforce 组织）

用于用户界面登录的多重身份验证权限是用于 API 登录的多重身份验证权限的先决条件。在“API 登录的多重身份验证”权限生效之前，用户必须通过 UI 访问 Salesforce，并使用 Salesforce 身份验证程序或第三方身份验证应用程序完成 MFA。用户通过 UI 完成 MFA 后，他们可以使用其身份验证程序应用程序生成的基于时间的一次性密码 (TOTP) 进行 API 登录。

备注 您不能将“用户界面登录的多重身份验证”权限分配给拥有 Salesforce 受限访问 - 免费许可证的用户。我们正在努力解决此问题。

对于使用 API 登录的开发人员工具，当启用 MFA 时，用户使用安全令牌或 TOTP 登录，而不是使用 Salesforce Authenticator。

备注 “仅使用 API”用户可以访问 UI，仅注册 MFA。成功注册后，“仅使用 API”用户将无法再访问 UI。

对于连接的应用程序，只有这些标准 OAuth 2.0 流支持具有高保证 MFA 会话安全级别的 API 登录。

• Web 服务器流
• 刷新令牌流
• 用户-客服人员流
• JSON Web 令牌 (JWT) 不记名流

所有其他标准 OAuth 2.0 流会阻止 API 登录，并具有高保证 MFA 会话安全级别。可能提示用户在 OAuth 批准流期间，通过高保证 MFA 对身份进行二次验证。第一个挑战是在 UI 会话中。第二个挑战将在访问令牌桥接 UI 时出现。触发第二个挑战是因为高保证 MFA 会话安全级别未转移到访问令牌。有关更多信息，请查看会话安全级别。