設定 API 存取的 MFA 登入需求 (Salesforce 組織)

「使用者介面登入的多因素驗證」權限為「API 登入的多因素驗證」權限的先決條件。「API 登入的多因素驗證」權限生效前，使用者必須透過 UI 存取 Salesforce，並透過 Salesforce Authenticator 或第三方驗證器應用程式來完成 MFA。使用者在透過 UI 完成 MFA 後，即可使用由其驗證應用程式針對 API 登入產生的時間型一次性密碼 (TOTP)。

備註 您無法將「使用者介面登入的多因素驗證」權限指派給具有「Salesforce 有限存取權 – 免費」授權的使用者。我們正在努力解決此問題。

對於使用 API 登入的開發人員工具而言，當啟用 MFA 時，使用者會使用安全性權杖或 TOTP 登入，而不使用 Salesforce Authenticator。

備註 「僅 API」使用者可以存取使用者介面以只註冊 MFA。註冊成功後，僅 API 使用者無法再存取該使用者介面。

針對連線的應用程式,只有這些標準 OAuth 2.0 流程支援高保證 MFA 工作階段安全性層級的 API 登入。

• Web 伺服器流程
• 重新整理權杖流程
• 使用者代理程式流程
• JSON Web 權杖 (JWT) 承載者流程

其他所有標準 OAuth 2.0 流程都會封鎖具有高度保證 MFA 工作階段安全性層級的 API 登入。系統可能會提示使用者，要求其在 OAuth 批准流程期間以 MFA 確認身分兩次。第一項挑戰發生在 UI 工作階段中。第二項挑戰是在存取權杖銜接至 UI 時。由於高度保證 MFA 工作階段安全性層級尚未傳輸至存取權杖，因此會觸發第二項挑戰。如需詳細資訊,請參閱 工作階段安全性層級。