Suivez votre progression
Accueil Trailhead
Accueil Trailhead

Protection de l’identité de vos utilisateurs

Objectifs de formation

Après avoir terminé ce module, vous pourrez :
  • Décrire les façons d'identifier vos utilisateurs en plus du nom d'utilisateur et du mot de passe
  • Configurer l’authentification à deux facteurs
  • Utiliser l’application Salesforce Authenticator pour vérifier l’identité
  • Récupérer des informations sur la connexion des utilisateurs qui se connectent à votre organisation.

Protection de l’identité à l’aide de l’authentification à deux facteurs et de Salesforce Authenticator

En tant qu’administrateur, vous avez probablement du mal à trouver le juste milieu entre garantir la sécurité de votre organisation Salesforce et faire en sorte que vos utilisateurs puissent se connecter rapidement et facilement. La manière la plus efficace de protéger votre organisation est de demander à vos utilisateurs de fournir plus que leurs simples nom d'utilisateur et mot de passe. Les experts en sécurité appellent cela l'authentification à deux facteurs, abrégée A2F.
Remarque

Remarque

Pour effectuer les tâches de cette unité, vous avez besoin d'un appareil mobile fonctionnant sous Android ou iOS.

Qu'est-ce que l'authentification à deux facteurs ?

On dirait une équation mathématique, n'est-ce pas ? Que les maths vous inspirent ou vous remplissent d'effroi, sachez simplement que l'A2F n'a rien à voir avec l'algèbre du lycée. Il s'agit en fait de vous assurer que vos utilisateurs sont bien les personnes qu'ils prétendent être.

Quels sont les deux facteurs ?

  • Quelque chose que les utilisateurs connaissent, comme leur mot de passe
  • Quelque chose que les utilisateurs ont, comme un appareil mobile sur lequel est installée une application d'authentification
Authentification à deux facteurs : quelque chose que vous connaissez et quelque chose que vous avez

Ce deuxième facteur d'authentification fournit un niveau de sécurité supplémentaire pour votre organisation.

En tant qu'administrateur, vous pouvez le demander à chaque fois que vos utilisateurs se connectent. Vous pouvez le demander uniquement dans certains cas, comme lorsque les utilisateurs se connectent depuis un appareil non reconnu ou quand ils essaient d'accéder à une application à haut risque. Une fois que les utilisateurs ont bien renseigné leur identité grâce aux deux facteurs d’authentification, ils peuvent accéder à Salesforce et commencer à travailler.

Cela vous semble pas mal ? Voyons comment cela fonctionne.

Fonctionnement de l'authentification à deux facteurs

Vous ne connaissez peut-être pas son nom, mais vous avez déjà probablement utilisé l'authentification à deux facteurs. À chaque fois que vous retirez de l'argent dans un distributeur, vous utilisez quelque chose que vous avez (votre carte bancaire) plus quelque chose que vous connaissez (votre code PIN). Et vous avez peut-être une application d'authentification sur votre téléphone. Par exemple, vous saisissez un code de vérification que vous obtenez grâce à votre application au moment où vous vous connectez à l'un de vos comptes en ligne. Ce code unique est parfois appelé mot de passe unique temporel (abrégé TOTP), car il expire au bout d'un laps de temps défini. Plusieurs fournisseurs, notamment Salesforce et Google proposent des applications qui génèrent ces codes temporels.

ALERTE SPOILER : Si vous utilisez la version retravaillée de l’application mobile Salesforce Authenticator (version 2 ou supérieure), vous pouvez vérifier votre identité sans avoir recours à des codes. Nous aborderons cette formidable nouveauté un peu plus tard.

Voici une vidéo qui présente l’utilisation de Salesforce Authenticator pour sécuriser votre organisation Salesforce avec l’authentification à deux facteurs.

À quel moment les utilisateurs peuvent-ils être invités à procéder à une authentification à deux facteurs ?

Les utilisateurs peuvent être invités à procéder à une authentification à deux facteurs dans plusieurs cas.
  • À chaque fois qu’ils se connectent à Salesforce, y compris dans le cas des connexions API.
  • Quand ils accèdent à une application connectée, un tableau de bord ou un rapport. Cette procédure s'appelle authentification de niveau élevé ou à sécurité élevée.
  • Durant un flux de connexion personnalisé ou dans une application personnalisée, par exemple, avant de lire un accord de licence. Sujet présenté plus loin en détail dans ce parcours.

Configurer l'authentification à deux facteurs pour chaque connexion

À présent que vous connaissez les fondamentaux de l'authentification à deux facteurs, voyons à quel point il est facile de la configurer.

Imaginez que vous êtes un administrateur Salesforce travaillant pour le compte de Jedeye Technologies, une société qui se trouve dans une galaxie pas très très loin. Votre chef de la sécurité vous a confié une mission : Demander à tous les employés de fournir plus d’éléments que leurs nom d’utilisateur et mot de passe à chaque fois qu’ils essaient d’accéder à l’organisation Salesforce de la société.


Pour faire simple, configurons une authentification à deux facteurs pour une nouvelle employée de Jedeye Technologies, Sia Thripio. Dans le monde réel, vous pouvez configurer l’authentification à deux facteurs (2FA) pour les utilisateurs existants, les nouveaux utilisateurs et par profil utilisateur. Nous commençons par définir le niveau de sécurité de session approprié pour l’authentification à deux facteurs. Pour ce faire, nous créons un utilisateur Salesforce pour Sia, puis nous configurons ensuite l’authentification à deux facteurs.

Étape 1 : définition du niveau de sécurité de session pour l’authentification à deux facteurs

Vérifions d’abord que le niveau de sécurité approprié est associé à la méthode de connexion par authentification à deux facteurs. Cette étape est importante avant de configurer une exigence d’authentification à deux facteurs pour tout utilisateur administrateur. Sinon, vous risquez d’interdire votre connexion et celle d’autres administrateurs.

  1. Dans Configuration, saisissez Paramètres de session dans la zone Recherche rapide, puis sélectionnez Paramètres de session.
  2. Sous Niveaux de sécurité de session, assurez-vous que l’authentification à deux facteurs est dans la catégorie Assurance élevée.

Étape 2 : création d’un utilisateur

  1. Dans Configuration, saisissez Utilisateurs dans la zone Recherche rapide, puis sélectionnez Utilisateurs.
  2. Cliquez sur Nouvel utilisateur.
  3. Pour le prénom et le nom, saisissez respectivement Sia et Thripio.
  4. Saisissez votre adresse e-mail dans le champ E-mail. Ce paramètre permet de recevoir des notifications utilisateur en rapport avec Sia.
  5. Créez un nom d’utilisateur pour Sia et saisissez-le dans le champ Nom d’utilisateur. Il doit être au format d’une adresse e-mail, mais ne doit pas nécessairement correspondre à une adresse e-mail active. Assurez-vous que l’adresse e-mail n’est pas déjà utilisée dans votre Trailhead Playground. Nous allons créer un nom d’utilisateur composé de la première initiale et du nom de famille de Sia, ainsi que de la date actuelle, comme ceci : SThripio.20122020@jedeye-tech.com.
  6. Modifiez ou acceptez la valeur surnom.
  7. Pour la Licence utilisateur, sélectionnez la plate-forme Salesforce.
  8. Pour le Profil, sélectionnez Utilisateur de la plate-forme standard. Profitez-en pour désélectionner les options de réception des alertes de contenus CRM Salesforce. Il n’est pas utile d’encombrer votre boîte aux lettres avec les e-mails Salesforce dont vous n’avez pas besoin.
  9. Assurez-vous que l'option Générer un nouveau mot de passe et informer l'utilisateur immédiatement est sélectionnée. Elle se trouve en bas de la page. Salesforce vous informe par e-mail du nouvel utilisateur de Sia, car vous avez saisi votre adresse e-mail dans le champ E-mail.
  10. Cliquez sur Enregistrer. Salesforce vous envoie par e-mail un lien pour vérifier l’utilisateur et définir le mot de passe de Sia.
    Remarque : Si une erreur indiquant que le nom d’utilisateur existe déjà apparaît, créez un utilisateur avec un nom différent.
  11. Connectez-vous en tant que Sia et réinitialisez le mot de passe.

Une fois votre mot de passe défini, créez un ensemble d’autorisations à attribuer à l’utilisateur de Sia.

Étape 3 : création d’un ensemble d’autorisations pour l’authentification à deux facteurs

Un ensemble d’autorisations est un jeu de paramètres et d’autorisations donnant aux utilisateurs l’accès à diverses fonctionnalités Salesforce, notamment l’authentification à deux facteurs. Vous créez généralement un ensemble d'autorisations pour un groupe d'utilisateurs. Mais dans cet exemple, nous en configurons un uniquement pour Sia.

  1. Si vous êtes connecté en tant que Sia, déconnectez-vous. Reconnectez-vous en tant qu’administrateur système de votre Trailhead Playground.
  2. Dans Configuration, saisissez Autorisations dans la zone Recherche rapide, puis sélectionnez Ensembles d’autorisations.
  3. Cliquez sur Nouveau.
  4. Nommez l'autorisation « 2fa Auth for User Logins » (Auth A2f pour les connexions utilisateurs).
  5. Cliquez sur Enregistrer.
  6. Dans Système, cliquez sur Autorisations système. Vous vous trouvez à présent sur la page de détail de l'ensemble d'autorisations Auth A2f pour les connexions utilisateurs.
  7. Cliquez sur Modifier.
  8. Sélectionnez Authentification à deux facteurs pour les connexions à l'interface utilisateur.
    L’autorisation Authentification à deux facteurs pour les connexions à l’interface utilisateur est sélectionnée
  9. Cliquez sur Enregistrer.

Autorisations système Vous y êtes presque ! Vous avez juste besoin d'attribuer l'ensemble d'autorisations.

Étape 4 : attribution de l’ensemble d’autorisations à l’utilisateur de Sia

Si vous n'êtes pas sur la page de détails de votre nouvel ensemble d'autorisations, retournez-y.

  1. Sur la page de détail du nouvel ensemble d'autorisations, cliquez sur Gérer les attributions.
  2. Cliquez sur Ajouter des attributions. Dans la liste des utilisateurs, sélectionnez la case à cocher en regard de l’utilisateur de Sia (si vous le souhaitez, vous pouvez attribuer jusqu'à 1000 utilisateurs à la fois).
  3. Cliquez sur Attribuer.

Très bien ! Vous avez configuré une authentification à deux facteurs pour Sia. Lorsque Sia se connecte, elle est invitée à fournir un deuxième facteur d'authentification en plus de son nom d'utilisateur et de son mot de passe.

Mais qu'est-ce que Sia utilise comme deuxième facteur ? Elle a besoin d’obtenir une application et de la connecter à son utilisateur Salesforce avant de pouvoir se connecter.

Connexion de l’application mobile Salesforce Authenticator à un utilisateur

De même que visiter de manière imprévue une ville dans les nuages, c'est une mauvaise idée que de demander une authentification à deux facteurs sans aider vos utilisateurs à obtenir un deuxième facteur. Vous allez probablement ne pas geler ou être emprisonné, mais vous pourriez bien recevoir de nombreux appels au moment le moins opportun, par exemple lorsque vous regardez un super film. Heureusement, Salesforce vous permet d’aider facilement vos utilisateurs. Demandez-leur de télécharger l’application gratuite Salesforce Authenticator sur leur appareil mobile et de la connecter à leur utilisateur Salesforce.

Si les utilisateurs ne téléchargent pas l'application immédiatement, ce n'est pas une catastrophe. Ils y seront invités au moment de leur première connexion après que vous ayez configuré l'exigence d'authentification à deux facteurs.

Examinons de plus près l'application avec notre nouvelle employée, Sia Thripio. Prenez votre téléphone Android ou iOS et imaginez qu’il appartient à Sia. Vous allez télécharger l’application Salesforce Authenticator et la connecter à l’utilisateur de Sia.

Prévoyez de basculer entre deux appareils au cours des étapes qui suivent. Lorsque vous êtes sur votre TÉLÉPHONE, vous travaillez comme Sia dans l’application Salesforce Authenticator. Lorsque vous êtes sur votre ORDINATEUR, vous êtes connecté à votre Trailhead Playground en tant que Sia, sur un navigateur Internet.

  1. TÉLÉPHONE : Téléchargez et installez Salesforce Authenticator pour iOS sur l’App Store ou Salesforce Authenticator pour Android sur Google Play.
  2. Touchez l’icône de l’application pour ouvrir Salesforce Authenticator.
  3. ORDINATEUR : si vous êtes encore connecté à votre Trailhead Playground en tant qu’administrateur système, déconnectez-vous.
  4. ORDINATEUR : Utilisez le nom d’utilisateur et le mot de passe de Sia pour vous connecter. Écran de connexion de Salesforce sur un ordinateur de bureau
  5. ORDINATEUR : Salesforce vous invite à connecter Salesforce Authenticator à l’utilisateur de Sia.
  6. TÉLÉPHONE : Suivez la visite guidée de l’application pour découvrir comment Salesforce Authenticator fonctionne.
  7. TÉLÉPHONE : Saisissez le numéro mobile de Sia pour créer une sauvegarde de ses comptes. Appuyez ensuite sur la notification lorsque vous êtes invité à effectuer la vérification. Vous pouvez ignorer l’étape de création d’un code secret pour le moment (Sia pourra créer un code secret ultérieurement si elle souhaite configurer une sauvegarde pour restaurer ses comptes).
  8. Touchez la flèche pour ajouter l’utilisateur de Sia à Salesforce Authenticator. L'application affiche une expression composée de deux mots. (Bonjour, avez-vous reçu une expression particulièrement poétique ou amusante ? Faites-le nous savoir ! #Trailhead #AwesomePhrase #SalesforceAuthenticator)
  9. ORDINATEUR : Saisissez la phrase dans le champ Phrase de deux mots. Expression de deux mots Salesforce Authenticator
  10. ORDINATEUR : Cliquez sur Se connecter.
  11. TÉLÉPHONE : Salesforce Authenticator vous présente les informations relatives à l’utilisateur que vous êtes en train de connecter : le nom d’utilisateur de Sia et le nom du fournisseur de service, dans ce cas, Salesforce. Connecter le compte Salesforce Authenticator
  12. TÉLÉPHONE : Appuyez sur Connecter.
  13. TÉLÉPHONE : Appuyez sur Approuver pour terminer la connexion à Salesforce en tant que Sia.
  14. ORDINATEUR : Sia est connectée ! Elle peut maintenant effectuer ses tâches.

À présent, à chaque fois que quelqu’un se connecte à l’utilisateur de Sia, elle reçoit une notification sur son téléphone. Elle ouvre l'application et consulte l'activité dans le détail. Si tout est correcte, il lui suffit de toucher Approuver sur son téléphone. Si elle ne reconnaît pas l'activité, elle touche Interdire pour la bloquer.

Examinons de plus près les données suivies par Salesforce Authenticator.

  1. L’action que Salesforce Authenticator vérifie. D’autres actions peuvent être affichées ici si vous renforcez la sécurité. Par exemple, vous pouvez demander l’authentification lorsque quelqu’un tente d’accéder à un enregistrement ou à un tableau de bord. Ce processus est appelé authentification « renforcée ».
  2. L’utilisateur qui tente de se connecter.
  3. Le service auquel l’utilisateur tente d’accéder. Vous pouvez utiliser Salesforce Authenticator avec le gestionnaire de mots de passe LastPass et d’autres services qui nécessitent une authentification renforcée.
  4. L’appareil ou le navigateur utilisé pour la tentative de connexion.
  5. L’emplacement du téléphone.

Points de données Salesforce Authenticator

Automatisation du processus d’authentification

Supposons que Sia se connecte régulièrement depuis le même endroit (son bureau, sa maison ou son café préféré à l'ambiance feutrée). Toucher Approuver pourrait devenir lassant au bout d'un moment. Si elle laisse Salesforce Authenticator utiliser les services de géolocalisation de son téléphone, elle peut demander à l’application de vérifier automatiquement ses activités lorsqu’elle se trouve à un endroit précis. En d'autres termes, si tout est normal elle n'a même pas besoin de sortir son téléphone de sa poche. Elle a effectué une authentification à deux facteurs de façon transparente.

Essayons-le.

  1. ORDINATEUR : Déconnectez-vous de l’utilisateur de Sia, puis connectez-vous à nouveau en tant que Sia.
  2. TÉLÉPHONE : À l’invite, sélectionnez Toujours approuver depuis cet emplacement.
  3. ORDINATEUR : Déconnectez-vous de l’utilisateur de Sia, puis reconnectez-vous. Voilà ! Vous n’êtes pas invité à saisir un mot de passe. Salesforce Authenticator reconnaît la nouvelle connexion de Sia à son compte Salesforce en utilisant le même appareil et depuis le même emplacement. L’accès a été automatiquement accordé !

Dès que Sia tente de se connecter depuis un autre emplacement, elle peut ajouter le nouveau site à la liste des emplacements approuvés de Salesforce Authenticator. Pour afficher la liste et les autres informations du compte, Sia sélectionne l’icône d’information qui ouvre la page de détail du compte.

Informations sur le compte Salesforce Authenticator

Cette page indique les emplacements approuvés et l’historique de l’activité de connexion. Les Activités vérifiées indiquent le nombre de fois que Salesforce Authenticator a vérifié la connexion de Sia à Salesforce. Les Automatisations indiquent le nombre de fois que Salesforce Authenticator a connecté automatiquement Sia depuis un emplacement approuvé.

Détails du compte Salesforce Authenticator

Que se passe-t-il lorsque Sia ne fait plus confiance à un emplacement ? Simple. Elle balaie vers la gauche. Elle peut effacer tous les emplacement approuvés en sélectionnant Icône des paramètres de Salesforce Authenticator, puis Effacer les emplacements approuvés.

La vérification automatisée ne fonctionne pas toujours, notamment lorsque connexion des données échoue. Aucun problème. Sia saisit simplement le code que Salesforce Authenticator affiche.

Vous souhaitez limiter les vérifications automatisées des utilisateurs aux adresses IP de confiance, telles que celles de votre réseau d’entreprise ? Ou bien les interdire complètement ? C’est possible. Connectez-vous en tant qu’administrateur, accédez aux Paramètres de session de votre organisation, puis changez les autorisations.

Paramètres de session qui contrôlent les vérifications automatisées par emplacement

Que faire si Sia perd son téléphone mobile ?

Bonne question. Comme vous le savez, les utilisateurs subissent des accidents ou peuvent s'enliser sur des planètes désertiques et perdre leur téléphone. Cela arrive tous les jours. Si Sia égare son téléphone, utilise un nouveau téléphone ou supprime accidentellement Salesforce Authenticator, elle a plusieurs possibilités. Elle peut restaurer ses comptes à partir de la sauvegarde effectuée précédemment, ou vous pouvez réinitialiser pour elle l’authentification à deux facteurs.

Si Sia elle a activé les sauvegardes des comptes dans son application Salesforce Authenticator, rien n’est plus simple. Il lui suffit de réinstaller Salesforce Authenticator sur son nouveau téléphone. À l’ouverture de l’application, l’option de restauration des comptes à partir de sa sauvegarde s’affiche. Sia saisit le code secret utilisé lors de la sauvegarde de ses comptes, qui sont ainsi restaurés sur son téléphone.

Que se passe-t-il si Sia n’a pas sauvegardé ses comptes ? Procédez comme suit.

  1. Connectez-vous en tant qu'administrateur.
  2. Dans Configuration, saisissez Utilisateurs dans la zone Recherche rapide, puis sélectionnez Utilisateurs.
  3. Cliquez sur le nom de Sia.
  4. Dans la page de détail de l’utilisateur Sia, cliquez sur Déconnecter en regard de Enregistrement de l’application : Salesforce Authenticator.

Lors de la connexion suivante, si Sia n’a pas une autre méthode de vérification connectée, elle est invitée à reconnecter Salesforce Authenticator.


Remarque

Remarque

Si vous souhaitez désinstaller l’application Authenticator, supprimez d’abord l’ensemble d’autorisations relatif à l’authentification à deux facteurs des détails utilisateur de Sia. Sinon, vous ne pourrez pas vous connecter en tant que Sia dans les unités à venir.

Suivi des connexions à votre organisation

Une partie importante du travail d’un administrateur consiste à vérifier qui s’est connecté à votre organisation. L’historique de vérification de l’identité enregistre ces informations.
  1. Connectez-vous en tant qu’administrateur système de votre Trailhead Playground
  2. Dans Configuration, saisissez Vérification dans la zone Recherche rapide, puis sélectionnez Historique de vérification de l’identité.

Examinez la colonne Emplacement. Elle indique par défaut le pays de l’utilisateur, mais vous pouvez afficher plus de détails en créant une vue personnalisée.

Historique de vérification de l’identité

Félicitations administrateur ! Vous avez configuré une authentification à deux facteurs et permis à un utilisateur de se connecter à Salesforce à l’aide de ce processus d’authentification. Nous vous invitons à explorer d’autres options 2FA pour vos utilisateurs, notamment les clés de sécurité U2F qui servent de deuxième facteur et ne nécessitent pas de téléphone mobile. Nous allons apprendre à mieux contrôler votre processus de connexion dans la prochaine unité « Personnalisation de votre processus de connexion avec Mon domaine ».