Salesforce
Developer.RU
Форум
Регистрация  |  Вход

MFA and SSO

думая что все уже знают, что

Beginning February 1, 2022, all Salesforce customers are contractually required to use MFA for direct and SSO logins to Salesforce products.

что такое MFA - это всем понятно, на многих оргах уже работает,

но как это будет работать с SSO? большинство юзеров на проде логятся именно через SSO

вот это тоже не понятно как работает:

Turn on MFA directly in Salesforce or use your single sign-on (SSO) provider’s MFA service.
Den Brown 
думая что все уже знают, что

[i]Beginning February 1, 2022, all Salesforce customers are contractually required to use MFA for direct and SSO logins to Salesforce products.[/i] 

что такое MFA - это всем понятно, на многих оргах уже работает,

но как это будет работать с SSO? большинство юзеров на проде логятся именно через SSO

вот это тоже не понятно как работает:

[i]Turn on MFA directly in Salesforce or [b]use your single sign-on (SSO) provider’s MFA service[/b].[/i]
Даже если заходят через SSO то всё равно требуется MFA.
Identity Provider должен предоставить additional factor.
это может быть Microsoft или Google Authenticator, зависит что есть в компании.
Eric 
Даже если заходят через SSO то всё равно требуется MFA.
Identity Provider должен предоставить additional factor.
это может быть Microsoft или Google Authenticator, зависит что есть в компании.
Eric
Microsoft или Google Authenticator, зависит что есть в компании.

то есть можно использовать сторонний Authenticator эпп для генерации кода, но вводить цифирки в момент захода в СФ систему через SSO все равно придется?

это не очень то seamless experience для SSO юзера, в энтерпрайз могут быть десятки систем с заходом через SSO, и если каждая система потребует MFA, то юзеру можно и телефон из рук не выпускать

я понимаю, что если бы юзер логился в SSO провайдера с использованием MFA (что часто и бывает), а потом переходил в СФ без лишних остановок
Den Brown 
[quote="Eric"]Microsoft или Google Authenticator, зависит что есть в компании.[/quote]

то есть можно использовать сторонний Authenticator эпп для генерации кода, но вводить цифирки в момент захода в СФ систему через SSO все равно придется?

это не очень то seamless experience для SSO юзера, в энтерпрайз могут быть десятки систем с заходом через SSO, и если каждая система потребует MFA, то юзеру можно и телефон из рук не выпускать

я понимаю, что если бы юзер логился в SSO провайдера с использованием MFA (что часто и бывает), а потом переходил в СФ без лишних остановок
нашел статью по теме со всеми ответами:

https://help.salesforce.com/s/articleVie ... 7&type=1

если коротко, то в моем понимании, "насильно" MFA никто не будет активировать в твоем орге, но если ты не используешь MFA (на стороне SSO или в орге), то СФ уже ничего не гарантирует в плане безопасности
Den Brown 
нашел статью по теме со всеми ответами:

https://help.salesforce.com/s/articleView?id=000352937&type=1

если коротко, то в моем понимании, "насильно" MFA никто не будет активировать в твоем орге, но если ты не используешь MFA (на стороне SSO или в орге), то СФ уже ничего не гарантирует в плане безопасности
если есть SSO + внешний MFA, то необязательно активировать MFA.
Eric 
если есть SSO + внешний MFA, то необязательно активировать MFA.
Eric
если есть SSO + внешний MFA, то необязательно активировать MFA.

Что-то я в этом сомневаюсь. Можно пруфы? потому что, то что я читал как раз говорит что если SSO то лучше включать MFA на стороне SSO, и только для admin зверей включать MFA.

Похоже пора мне к окулисту.
Eric - извиняюсь.
wilder 
[quote="Eric"]если есть SSO + внешний MFA, то необязательно активировать MFA.[/quote]

Что-то я в этом сомневаюсь. Можно пруфы? потому что, то что я читал как раз говорит что если SSO то лучше включать MFA на стороне SSO, и только для admin зверей включать MFA. 

Похоже пора мне к окулисту. 
Eric  - извиняюсь.
Do we have to enable MFA at both the SSO and Salesforce levels?
No. If MFA is enabled for your SSO identity provider, you don’t need to enable Salesforce’s MFA for users who log in via SSO.
But if you have admins or other privileged users who log in to your Salesforce products directly, you do need to set up Salesforce’s MFA for these users.

source: https://help.salesforce.com/s/articleVie ... 7&type=1
Eric 
[b]Do we have to enable MFA at both the SSO and Salesforce levels?[/b]
No. If MFA is enabled for your SSO identity provider, you don’t need to enable Salesforce’s MFA for users who log in via SSO. 
But if you have admins or other privileged users who log in to your Salesforce products directly, you do need to set up Salesforce’s MFA for these users.

source: https://help.salesforce.com/s/articleView?id=000352937&type=1