Salesforce блочит пользователей которые используют VPN?
Сегодня на почту пришло любопытное письмо.
At Salesforce, we understand that the confidentiality, integrity, and availability of your data is vital to your business, and we take the protection of your data very seriously. In support of our commitment to security and transparency, we are writing to inform you that we have identified and contained what appears to be the re-use of OAuth tokens within your organization. This activity specifically involved an anonymizing proxy (e.g. TOR, Mullvad VPN, etc.).
To remediate this potential security issue, we froze the user ID 005xxxxxxxxxxx, revoked all access tokens previously granted to that user, and forced that user to reset their password.
In order for 005xxxxxxxxxxxx to regain access to Salesforce, you or your Salesforce admin will need to unfreeze that user.
Пользователь по ID действительно оказался заблокирован (Freeze).
Там собственно все так и объясняется как в письме. Но есть пометка что это касается Connected App and API traffic.
Смысл этой фичи понятен.
Но вот вопросы: - Блокируются только обычные пользователи? Или админы тоже? - Это для всех оргов или только для прода - Можно ли как-то это отключить для опрелеленных пользователей, которым VPN нужен?
Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?
Блокируются только обычные пользователи или админы тоже? Блокируются все, включая пользователей integration user и (соответственно) администраторы. Kомпрометация админа несет гораздо больше рисков. меры: Freeze user и revoke всех OAuth-токенов.
Это для всех оргов или только для прода По важности конечно в это касается Production. Но в Sandbox, блокировка может произойти тоже. я думаю что Salesforce мониторит подозрительную активность на уровне своей инфраструктуры, а не конкретного типа инстанса.
Можно ли как-то это отключить для опрелеленных пользователей, которым VPN нужен? Врядли. можно добавить Trusted IP Ranges или Login IP Ranges (на уровне конкретного Profile). Relax IP Restrictions в connected app.
Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ? UNFreeze
А как ты себя UNFreeze если ты один админ на орге (сандбоксе). Придется заводить еще одного админа "на всякий пожарный"? А на проде если тебя заблочит - придется просить клиента чтобы он тебя UNFreeze? Как-то стремно звучит, не каждый клиент поймет.
Не, я не так выразился . Лицензии есть. Просто у меня на сандбоксе я один работаю. Если меня SF блочит (буду так называть Freeze, а то язык сломаешь), то никто не поможет. Нужно просто иметь в запасе еще одного активного админа на сандбоксе для этого случая.
На проде просто придется кого-то просить, но это не солидно если ты там самый прошаренный и все к тебе обращаюься по любому поводу
Ну вывод такой. Не сидеть под VPN когда работаешь. Это сложновато в эпоху вайбкодинга из некоторых стран. Ну и надеяться что VPN который ты используешь не засветится в High-Risk IP Addresses. Все-таки мой vpn не самый популярный и думаю не знакомый SF. Ну и надеюсь что SF банит просто по списку IP адресов который у них есть, а не занимается анализом чего-то там в попытках словить тебя за эту штуку из трех букв (хотя!?).
Кстати, по ходу это будет веселая фича! Начали приходить письма что уже заблокировали еще несколько пользователей. У клиента большое количество портальных (Platform User) пользователей, поторые используют небольшую, но важную часть функционала реализованную на базе SF. И вот им как-то пофигу на это новое требование SF. Они я думаю используют VPN для каких то своих более глобальных целей. А SF решило их блокировать. Ну и что теперь делать? Сидеть и ловить все письма про то что челов блочат и разблокировать их? Что за бред!
Пообщался с клиентом. Он сказал что все заблокированные пользователи сидят на служебных ноутах одного подрядчика которые использует свой внутренний VPN. Может в этом причина? Но как доказать и кому жаловаться?
Я так толком и не понял что это за методы такие. Я использую MFA черех Google Authenticator (или Authy). И я так понимаю что этого будет недостаточно. Надо мутить какие-то Security Keys, Built-in Authenticators. Не сталкивался ни разу. Кто уже пробовал/использует расскажите какой способ проще и надежнее.
Попробовал добавить Security Key (U2F or WebAuthn) в настройках User. Вроде проканало и даже работает. Только хз как оно работает. Регистрировал через телефон и создал passkey который сохранился в Google Password Manager. Но когда логинишься в браузере и тебя просит верифицироваться, то по дефолту просто просит на маке отпечаток пальца и все! Если выбрать "использовать другой способ" то там можно выбрать Google Password Manager и пройти верификацию через телефон. То есть оно работает, но почему привязался отпечаток пальца на маке я хз. Ну это даже лучше, можно логиниться с помощью двух девайсов.
Кстати прикольная эта фича с Touch ID на маке. Не надо лезть в Google Authenticator чтобы найти и ввести 6 код. Всегда это бесит когда включен MFA на разных сервисах. А так просто палец приложил к сенсору прям тут же на маке и все! Зашел. Кайф Надо этому способу логиниться уделить больше внимания.
Нихера не помогает. Все обновил до последней версии, создал новый connection. sf cli опять показывает что все ок. IC2 нифига не сохраняет. Нет доступа на орг. На огр в браузере захожу без проблем.
Ну это уже просто издевательство. Все обновил, перелогинился в IC2. Теперь каждый раз как открываю проект IC2 просто зависает намертво. Только Force Quit помогает. Да что за херня творится???
По ходу все дело в IC2. Создал пустой проект в VSC, выбрал коннекшен который только что создал. Подтянул LWC компонент, внес изменения и все сохранилось на орг. Ну это хотя бы радует. По ходу последние обновы на IC2 с багом.
А вот собственно и причина. IC2 выкатили новое обновление
Salesforce CLI issue 3560 - IMPORTANT: The Salesforce CLI is in the process of implementing a set of security mitigation changes, some of them with breaking behavior. Starting with this build, IC accommodates for the changes around how connection access tokens are made available via CLI commands. For pre-2.136.8 CLI versions, IC will use continue to the org list and org display commands to get CLI-based connection access tokens; for 2.136.8+ CLI versions, IC will use the org auth show-access-token command. IC automatically determines the installed CLI version and, for efficiency, caches that value aggressively, though it should be resilient to CLI upgrades/downgrades while running.
Нет новостей? У нас уже прям проблема с этим. Каждый день + выходные приходится разгребать тонну писем и разблокировать пользователей. Клиент общается с сапортом но пока получает только отписки аля это новая security фича и мы заботимся о вашей безопасности. Даже одному админу на проде прилетел бан Как-то стремно становится работать с Salesforce.
UNFreeze
. Лицензии есть. Просто у меня на сандбоксе я один работаю. Если меня SF блочит (буду так называть Freeze, а то язык сломаешь), то никто не поможет. Нужно просто иметь в запасе еще одного активного админа на сандбоксе для этого случая.
Надо этому способу логиниться уделить больше внимания.
