думая что все уже знают, что [i]Beginning February 1, 2022, all Salesforce customers are contractually required to use MFA for direct and SSO logins to Salesforce products.[/i] что такое MFA - это всем понятно, на многих оргах уже работает, но как это будет работать с SSO? большинство юзеров на проде логятся именно через SSO вот это тоже не понятно как работает: [i]Turn on MFA directly in Salesforce or [b]use your single sign-on (SSO) provider’s MFA service[/b].[/i]
Даже если заходят через SSO то всё равно требуется MFA. Identity Provider должен предоставить additional factor. это может быть Microsoft или Google Authenticator, зависит что есть в компании.
[quote="Eric"]Microsoft или Google Authenticator, зависит что есть в компании.[/quote] то есть можно использовать сторонний Authenticator эпп для генерации кода, но вводить цифирки в момент захода в СФ систему через SSO все равно придется? это не очень то seamless experience для SSO юзера, в энтерпрайз могут быть десятки систем с заходом через SSO, и если каждая система потребует MFA, то юзеру можно и телефон из рук не выпускать я понимаю, что если бы юзер логился в SSO провайдера с использованием MFA (что часто и бывает), а потом переходил в СФ без лишних остановок
нашел статью по теме со всеми ответами: https://help.salesforce.com/s/articleView?id=000352937&type=1 если коротко, то в моем понимании, "насильно" MFA никто не будет активировать в твоем орге, но если ты не используешь MFA (на стороне SSO или в орге), то СФ уже ничего не гарантирует в плане безопасности
если есть SSO + внешний MFA, то необязательно активировать MFA.
[quote="Eric"]если есть SSO + внешний MFA, то необязательно активировать MFA.[/quote] Что-то я в этом сомневаюсь. Можно пруфы? потому что, то что я читал как раз говорит что если SSO то лучше включать MFA на стороне SSO, и только для admin зверей включать MFA. Похоже пора мне к окулисту. Eric - извиняюсь.
[b]Do we have to enable MFA at both the SSO and Salesforce levels?[/b] No. If MFA is enabled for your SSO identity provider, you don’t need to enable Salesforce’s MFA for users who log in via SSO. But if you have admins or other privileged users who log in to your Salesforce products directly, you do need to set up Salesforce’s MFA for these users. source: https://help.salesforce.com/s/articleView?id=000352937&type=1