Proteger a identidade dos seus usuários

Objetivos de aprendizagem

Após concluir este módulo, você estará apto a:
  • Configurar a autenticação multifator para seus usuários.
  • Usar o aplicativo Salesforce Authenticator em logins de MFA.
  • Receber as informações de login dos usuários que fazem o login na sua organização.

Proteger o acesso à conta com autenticação multifator e Salesforce Authenticator

Na função de administrador, você ficará na corda bamba entre garantir a segurança da sua organização do Salesforce e oferecer um login rápido e fácil para seus usuários. A forma mais eficaz de proteger sua organização e seus dados é exigir que os usuários não forneçam apenas nome de usuário e senha. Os especialistas de segurança chamam essa estratégia de autenticação multifator (ou MFA, na sigla em inglês).
Nota

Nota

Para concluir as tarefas desta unidade, você precisará de um dispositivo móvel com Android ou iOS.

O que é a autenticação multifator?

O nome dela parece uma equação matemática, né? Não importa se você ama matemática de paixão ou sente um calafrio só de pensar em fazer umas contas: a MFA não tem nada a ver com o que aprendemos nas aulas de álgebra. Mas ela tem tudo a ver com garantir que seus usuários realmente sejam quem alegam ser.

A propósito, você pode estar mais familiarizado com os termos autenticação de dois fatores ou 2FA. Não se preocupe! Embora a 2FA seja um subconjunto da MFA, estamos efetivamente falando sobre a mesma coisa.

Então, quais são exatamente os vários fatores? Eles são diferentes tipos de prova que os usuários fornecem ao fazer login para confirmar sua identidade.

  • Um fator é algo que os usuários sabem. Para logins do Salesforce, essa é uma combinação de nome de usuário e senha.
  • Outros fatores são métodos de verificação que um usuário tem em sua posse, como um dispositivo móvel com um aplicativo autenticador instalado ou uma chave de segurança física.
2FA Algo que você saiba e algo que você tenha

Talvez você não conhecesse o nome desse recurso, mas é provável que já tenha usado a autenticação multifator. Sempre que saca dinheiro no caixa eletrônico, você usa um item de sua posse (seu cartão do banco) e algum outro elemento do seu conhecimento (sua senha). 

Exigir outro fator além de nome de usuário e senha adiciona uma camada de segurança extra e importante à sua organização. Mesmo que a senha de um usuário seja roubada, as probabilidades de um invasor adivinhar ou imitar um fator que um usuário possua fisicamente são baixas.

Curtiu? Vejamos como isso funciona.

Como funciona a autenticação multifator

A MFA adiciona uma etapa extra ao seu processo de login do Salesforce.

  1. Um usuário insere o nome de usuário e a senha, como de costume.
  2. Em seguida, ele recebe uma solicitação para fornecer um dos métodos de verificação compatíveis com o Salesforce.

Você pode permitir um ou todos estes métodos de verificação:

Salesforce Authenticator

Um aplicativo móvel gratuito que se integra perfeitamente ao seu processo de login. Os usuários podem verificar rapidamente sua identidade por meio de notificações por push. Falaremos mais sobre esse aplicativo em instantes.

Aplicativos autenticadores TOTP de terceiros

Aplicativos que geram códigos de verificação temporários exclusivos que os usuários digitam quando solicitados. Esse código às vezes é chamado de senha única temporária, ou a sigla TOTP em inglês. Os usuários podem escolher várias opções, incluindo o Google Authenticator, o Microsoft Authenticator ou o Authy.

Chaves de segurança

Pequenos tokens físicos que se parecem com um pen drive. O login com essa opção é rápido e fácil: os usuários simplesmente conectam a chave ao computador e pressionam o botão da chave para verificar sua identidade. Os usuários podem usar qualquer chave compatível com o padrão FIDO Universal Second Factor (U2F), como o YubiKey da Yubico ou a Titan Security Key do Google.

Quando os usuários terão que concluir a autenticação multifator?

Quando você ativa a MFA, os usuários precisam fornecer vários fatores sempre que fazem login. Você pode configurar esse requisito para logins na interface de usuário, logins na API ou ambos. 

Para intensificar ainda mais a segurança, você pode adicionar um requisito de MFA em outras circunstâncias:

  • Quando os usuários acessam um aplicativo conectado, um painel ou um relatório. Esse processo é conhecido como autenticação avançada ou de alto nível.
  • Isso pode acontecer antes que o usuário leia um acordo de licença durante um login personalizado ou dentro de um aplicativo personalizado, por exemplo. Falaremos sobre esse assunto a fundo mais tarde durante a trilha.

Ativar a autenticação multifator para todos os logins

Depois de dominadas as noções básicas de autenticação multifator, vamos ver como é fácil configurar um requisito de MFA para seus usuários.

Aqui está um vídeo que demonstra como ativar a MFA e configurar o Salesforce Authenticator como um segundo fator para logins de MFA.



Agora vamos ver um exemplo nosso. Digamos que você seja um administrador do Salesforce na Jedai Technologies, uma empresa que não fica em uma galáxia muito, muito distante. O chefe do departamento de segurança deu a você uma missão: fazer todos os funcionários não informarem apenas o nome de usuário e a senha toda vez que tentarem fazer login na organização do Salesforce da empresa.


Comece aos poucos ativando a MFA para uma nova funcionária da Jedai Technologies, Cê Treispeo. Você pode usar o feedback de Cê sobre a experiência para ter certeza de que tudo estará funcionando quando fizer a ativação para os outros funcionários da Jedai. Comece verificando se o nível de segurança da sessão está definido para MFA, crie um usuário do Salesforce para Cê e habilite a MFA para sua conta.

Passo 1: Verificar o nível de segurança da sessão para autenticação multifator

Primeiro, vamos fazer com que o nível de segurança correto seja associado ao método de login com autenticação multifator.  Na maioria das organizações de produção, essa configuração já está em vigor. Mas se não estiver, é importante ativá-la antes de configurar um requisito de MFA para os usuários administradores. Do contrário, você pode impedir o seu próprio login e o de outros administradores.

  1. Em Configuração, insira Configurações de sessão na caixa Busca rápida e selecione Configurações de sessão.
  2. Em Níveis de segurança de sessão, verifique se a autenticação multifator está na categoria Alta garantia.

Passo 2: Criar um usuário

  1. Em Configuração, insira Usuários na caixa Busca rápida e selecione Usuários.
  2. Clique em Novo usuário.
  3. Nos campos de nome e sobrenome, insira Cê e Treispeo, respectivamente.
  4. Insira seu endereço de e-mail no campo E-mail. Essa configuração fará a Cê receber notificações sobre o usuário.
  5. Crie e insira um nome de usuário para a Cê no campo Nome de usuário. O formato deverá ser de um endereço de e-mail, mas não é necessário que seja real. Verifique se o endereço de e-mail é exclusivo em seu Trailhead Playground. Usaremos o primeiro nome e sobrenome de Cê, bem como a data atual no nome de usuário, da seguinte forma: SThripio.12202020@jedeye-tech.com.
  6. Edite ou aceite o valor do apelido.
  7. Em Licença de usuário, selecione Salesforce Platform.
  8. Em Perfil, selecione Plataforma padrão de usuário. Aproveite que está aqui para desativar as opções de receber alertas do Salesforce CRM Content. Não precisa lotar sua caixa de entrada com e-mails desnecessários do Salesforce.
  9. Confira se a opção Gerar uma nova senha e notificar o usuário imediatamente está selecionada – essa opção encontra-se quase no final da página. O Salesforce enviará um e-mail para você falando sobre o novo usuário da Cê porque você inseriu seu endereço de e-mail no campo E-mail.
  10. Clique em Salvar. O Salesforce enviará um email para você com um link para confirmar o usuário e definir a senha da Cê.
    Nota: Se receber um erro informando que o nome de usuário já existe, crie um usuário com outro nome.
  11. Faça o login como Cê e redefina a senha.

Depois de definir a senha, é hora de ativar a MFA para a conta de usuário da Cê.

Passo 3: Criar um conjunto de permissões para a autenticação multifator

Habilite a MFA para usuários atribuindo a permissão de usuário Autenticação multifator para logins de interface de usuário. Você pode realizar essa etapa editando perfis ou criando um conjunto de permissões para atribuir a usuários específicos.

Um conjunto de permissões é um conjunto de configurações e permissões que dá aos usuários acesso a várias funções do Salesforce. Vamos criar um conjunto de permissões com a permissão da MFA.

  1. Se tiver feito o login como Cê, faça o logout. Faça login de novo como administrador do sistema do seu Trailhead Playground.
  2. Em Configuração, insira Permissão na caixa Busca rápida e selecione Conjuntos de permissões.
  3. Clique em Novo.
  4. Chame essa permissão de “Autorização MFA para logins de usuário”.
  5. Clique em Salvar.
  6. Em Sistema, clique em Permissões do sistema.
    Agora você está na página de detalhes do conjunto de permissões “Autorização MFA para logins de usuário”.
  7. Clique em Editar.
  8. Selecione Autenticação multifator para logins de interface de usuário.
  9. Clique em Salvar e em Salvar novamente para confirmar as alterações de permissão.

 Estamos quase lá! Só falta atribuir o conjunto de permissões.

Passo 4: Atribuir o conjunto de permissões ao usuário da Cê

Por enquanto, vamos atribuir o conjunto de permissões apenas à Cê. Mais tarde, quando você estiver pronto para distribuir a MFA de forma mais ampla, poderá atribuir o mesmo conjunto de permissões a outros usuários.

Caso não esteja na página de detalhes do seu novo conjunto de permissões, volte para lá.

  1. Nela, clique em Gerenciar atribuições.
  2. Clique em Adicionar atribuições. Na lista de usuários, marque a caixa de seleção ao lado do usuário da Cê (se fosse o caso, seria possível atribuir até mil usuários por vez).
  3. Clique em Atribuir.

Ótimo! Você ativou a autenticação multifator para a Cê. Na próxima vez em que ela fizer o login, terá que fornecer um método de verificação como segundo fator além do nome de usuário e da senha.

Como a Cê pode configurar um método de verificação? Vamos dar uma olhada nisso a seguir.

Como os usuários registram o Salesforce Authenticator para logins com MFA

Assim como chegar de surpresa na casa de alguém que vive em uma cidade nas nuvens, a exigência da autenticação multifator sem ajudar seus usuários a obter pelo menos um método de verificação é uma péssima ideia. Talvez você não seja congelado nem transformado em um prisioneiro, mas é possível que receba várias ligações na pior hora possível – por exemplo, quando estiver assistindo a um filme épico. Por sorte, o Salesforce ajuda você a facilitar a vida dos seus usuários. É só pedir para eles baixarem um aplicativo autenticador no dispositivo móvel e conectarem-se à conta do Salesforce. 

Caso os usuários não queiram baixar um aplicativo na hora, isso não será o fim do mundo. Eles receberão as instruções de como registrar um método de verificação quando fizerem o login pela primeira vez após a ativação do requisito de MFA.

Cê Treispeo, nossa nova funcionária, quer usar o aplicativo móvel Salesforce Authenticator para poder aproveitar o recurso de notificação por push para autenticação rápida. Vamos ver como o processo de registro e login funciona. Pegue seu dispositivo móvel Android ou iOS e imagine que ele é o celular da Cê. Você baixará o aplicativo Salesforce Authenticator e fará a conexão dele com a conta do Salesforce da Cê.

Já vou avisando que você ficará alternando entre dois aparelhos nas próximas etapas. Quando estiver no CELULAR, você está atuando como a Cê no aplicativo Salesforce Authenticator. Quando estiver no DESKTOP, você terá feito um login como a Cê no seu Trailhead Playground em um navegador da Web.

  1. TELEFONE: Baixe e instale o Salesforce Authenticator para iOS na App Store e para Android no Google Play.
  2. Dê um toque no ícone do aplicativo para abrir o Salesforce Authenticator.
  3. DESKTOP: Caso ainda esteja em seu login do Trailhead Playground como administrador do sistema, faça logout.
  4. DESKTOP: Use o nome de usuário e a senha da Cê para entrar. Tela de login do Salesforce Desktop
  5. DESKTOP: O Salesforce solicita que você conecte o Salesforce Authenticator à conta da Cê.
  6. TELEFONE: Dê uma olhada rápida no tour para aprender como o Salesforce Authenticator funciona.
  7. TELEFONE: Digite o (seu) número do celular da Cê para criar um backup das contas que estão conectadas ao Salesforce Authenticator. Em seguida, toque na notificação quando solicitado para concluir a verificação. Você pode pular a criação de uma senha por enquanto. (Mais tarde, a Cê pode criar uma senha se quiser configurar um backup para restaurar suas contas.)
  8. Toque na seta para adicionar a conta da Cê ao Salesforce Authenticator. O aplicativo exibirá uma frase de duas palavras (aliás, você viu alguma frase bastante poética ou divertida? Conte para a gente! #Trailhead #AwesomePhrase #SalesforceAuthenticator.)
  9. DESKTOP: Insira a frase no campo Frase de duas palavras. Frase de duas palavras do Salesforce Authenticator
  10. DESKTOP: Clique em Conectar.
  11. TELEFONE: O Salesforce Authenticator mostra detalhes sobre a conta da Cê: o nome de usuário e o nome do prestador de serviços dela que, nesse caso, é o Salesforce. Conta de conexão do Salesforce Authenticator
  12. TELEFONE: Dê um toque em Conectar.
  13. DESKTOP: A Cê está conectada à conta do Salesforce! Ela pode ir fazer o que quiser agora.

A partir desse momento, a Cê receberá uma notificação no celular sempre que fizer login em sua conta do Salesforce. Ela abre o Salesforce Authenticator e confere as informações da atividade. Se tudo parece correto, ela toca em Aprovar e conclui o login. 

E se outra pessoa tentar fazer login com o nome de usuário e senha da Cê? Você adivinhou: ela recebe uma notificação sobre isso também e pode indicar ao Salesforce Authenticator para negar a solicitação de login. Ufa!

Vejamos em mais detalhes quais são os dados que o Salesforce Authenticator monitora.

  1. A ação que o Salesforce Authenticator está avaliando. Talvez outras ações sejam exibidas aqui se você configurar uma segurança bem severa. Por exemplo: é possível exigir autenticação quando alguém tenta acessar um registro ou painel. Esse processo é chamado de autenticação "avançada".
  2. O usuário que está tentando fazer o login.
  3. O serviço que esse usuário está querendo acessar. Além do Salesforce, você pode usar o Salesforce Authenticator com o gerenciamento de senhas LastPass ou com outros serviços que exijam uma autenticação mais robusta.
  4. O dispositivo ou navegador no qual alguém está tentando fazer o login.
  5. A localização do celular.

Pontos de dados do Salesforce Authenticator

Automatizar o processo de autenticação

Digamos que a Cê faça um login no mesmo lugar (como no escritório, em casa ou na lanchonete favorita dela) com bastante frequência. Com o passar do tempo, talvez ela fique cansada de ter que clicar em Aprovar todas as vezes em seu celular. Se ela deixar o Salesforce Authenticator usar os serviços de localização do celular, será possível ordenar ao aplicativo para monitorar as atividades dela automaticamente quando ela estiver em um local específico. Em outras palavras, ela nem precisará tirar o celular do bolso se não houver nada atípico naquele dia. O Salesforce Authenticator pode lidar com a exigência da MFA automaticamente!

Vamos testar.

  1. DESKTOP: Faça o logout da conta da Cê e realize o login de novo.
  2. TELEFONE: Quando solicitado, selecione Sempre aprovar deste local.
  3. DESKTOP: Faça logout da conta da Cê e faça login novamente. Tcharam! Agora, você verá que ninguém lhe pede a senha. O Salesforce Authenticator reconhece que a Cê está fazendo o login na conta do Salesforce de novo pelo mesmo aparelho e no mesmo local. O acesso foi concedido automaticamente!

Sempre que ela tentar realizar o login de um local diferente, será possível adicionar esse novo lugar à lista de localizações de confiança do Salesforce Authenticator. Para visualizar a lista e conferir outros detalhes da conta, a Cê selecionará o ícone das informações que abre a página de detalhes da conta.

Informações da conta do Salesforce Authenticator

Essa página de detalhes da conta lista os locais de confiança e o histórico de atividades de login. A opção item Atividades monitoradas exibe quantas vezes o Salesforce Authenticator monitorou o login da Cê no Salesforce. A opção Automações exibe quantas vezes o Salesforce Authenticator realizou o login da Cê de forma automática a partir de um local de confiança.

Detalhes da conta do Salesforce Authenticator

O que acontece caso a Cê pare de confiar em um local? Simples. É só excluí-lo (deslizando para a esquerda). Ela poderá eliminar todos os locais de confiança de uma só vez selecionandoÍcone de configurações do Salesforce Authenticator e depois Excluir locais de confiança.

Às vezes, uma verificação automática pode não funcionar, como quando a conexão de dados não está funcionando. Tudo bem. A Cê só precisará inserir o código TOTP exibido pelo Salesforce Authenticator.

Quer restringir as verificações automáticas dos usuários apenas a endereços de IP que sejam de confiança, como a rede da sua empresa? Ou prefere evitá-las completamente? Pode ser também. Após fazer o login como administrador, vá até as configurações de sessão da sua organização e altere suas preferências.

Configurações de sessão que controlam verificações automatizadas baseadas em local

O que aconteceria se a Cê perdesse o celular?

Bela pergunta. Como você já sabe, os usuários ficam perdidos e isolados em planetas desabitados e acabam perdendo o celular. Isso acontece toda hora. Caso a Cê perca o celular, compre um celular novo ou exclua o Salesforce Authenticator sem querer, ela tem algumas opções. A Cê pode restaurar suas contas do backup que fez anteriormente, ou você pode desconectar sua conta do Salesforce Authenticator para ela poder registrar o aplicativo novamente.

Se a Cê habilitou os backups de conta em seu aplicativo Salesforce Authenticator, ela não terá problemas. Basta reinstalar o Salesforce Authenticator em seu novo celular. Ao abrir o aplicativo, ela verá a opção de restaurar suas contas do backup. A Cê digita a senha usada quando o backup das contas foi feito e suas contas aparecem no celular.

E se a Cê não fez backup das contas? Eis o que você pode fazer para ajudar.

  1. Faça o login como administrador.
  2. Em Configuração, insira Usuários na caixa Busca rápida e selecione Usuários.
  3. Clique no nome da Cê.
  4. Na página de detalhes do usuário da Cê, clique em Desconectar junto de Registro do aplicativo: Salesforce Authenticator.

Da próxima vez que a Cê fizer o login, o sistema pede para ela conectar o Salesforce Authenticator de novo se ela não tiver outro método de verificação conectado.


Nota

Nota

Se quiser desinstalar o aplicativo Salesforce Authenticator, remova o conjunto de permissões MFA dos detalhes da usuária Cê primeiro. Do contrário, você não pode fazer login como Cê em unidades futuras.

Monitorar quem está fazendo login na sua organização

Uma parte importante do trabalho do administrador é saber quem está fazendo um login na sua organização. É para isso que serve o histórico de verificação de identidade.
  1. Faça login como administrador do sistema do seu Trailhead Playground.
  2. Em Configuração, insira Verificação na caixa Busca rápida e selecione Histórico de verificação de identidade.

Confira a coluna Localização. Nela, você verá o país do usuário na configuração padrão, mas é possível obter mais detalhes criando uma exibição personalizada.

Parabéns, administrador! Você viu como é fácil ativar a MFA para seus usuários. Incentivamos você a explorar outras opções de implementação da MFA, por exemplo, a ativação de chaves de segurança compatíveis com U2F como um método de verificação alternativo. As chaves de segurança são uma ótima opção se os usuários não têm um dispositivo móvel ou quando os celulares não são permitidos nas instalações.   Agora vamos ver como ter ainda mais controle sobre seu processo de login na próxima unidade chamada “Como personalizar seu processo de login com o recurso Meu domínio”.