保障用户身份安全
学习目标
完成本模块后,您将能够:
- 为用户设置多重身份验证。
- 将 Salesforce Authenticator 应用程序用于 MFA 登录。
- 获取登录您组织的用户的登录信息。
通过多重身份验证和 Salesforce Authenticator 确保安全的帐户访问
只凭用户名和密码并不足以抵御网络钓鱼攻击等网络威胁。增强登录过程的安全性和保护组织数据的一个有效方法是要求用户在登录时提供额外的证据来证明其身份。安全专家将此称为多重身份验证,简称 MFA。在 Salesforce,我们认为 MFA 非常重要,因此我们要求每个访问我们的产品和服务的人都使用它。要了解 MFA 要求,请查看 Salesforce 多重身份验证常见问题。
什么是多重身份验证?
听起来像一种数学等式,对吗?不管数学是让您兴奋还是害怕,要知道 MFA 与高中学的代数没有任何关系。它的目的是确保您的用户自称是谁,实际上就是谁。
顺便提一下,您可能更熟悉双重身份验证,或简称 2FA。别担心!2FA 是 MFA 的一个子集,我们实际上在谈论同一个东西。
那么,到底什么是多重身份呢?登录时用户可以提供不同类型的证据来确认他们的身份。
- 其中一个因素是用户知道的某种东西。对于 Salesforce 登录,就是用户名和密码的组合。
- 其他因素是用户掌握的验证方法,比如安装了验证器应用程序的移动设备或是物理的安全密钥。
您可能不知道它叫什么,但是您很可能已经用过多重身份验证了。每次从 ATM 机取现时,您都会使用您拥有的某种东西(您的银行卡)加上您知道的某种东西(您的密码)。
要求除了用户名和密码之外的另一个因素为您的组织增加一层额外的,更重要的安全性。即使用户的密码被盗了,黑客猜出或假冒用户物理上占有的某个因素的几率也非常低。
听起来很酷?我们来了解它的工作原理。
多重身份验证如何工作
MFA 给您的 Salesforce 登录流程增加了一个步骤。
- 用户跟往常一样输入用户名和密码。
- 然后提示用户提供 Salesforce 支持的一种验证方法。
您可以允许以下任何一种或全部验证方法。
Salesforce Authenticator |
一个免费的移动应用程序,无缝融入您的登录流程。用户可以通过推送通知快速验证他们的身份。我们稍后会详细讨论这个应用程序。 |
第三方 TOTP 验证器应用程序 |
生成用户按照提示输入的唯一、临时验证码的应用程序。这种验证码有时候被称作基于时间的一次性密码,简称 TOTP。用户可以从丰富的选项中选择,包括 Google Authenticator、Microsoft Authenticator 或 Authy。 |
安全密钥 |
看起来像 U 盘,小巧的物理令牌。通过这种方式登录又快、又简单。用户只需把密钥连上电脑,然后按密钥上的按钮验证他们的身份即可。用户可以使用兼容 FIDO 通用第二因素 (U2F) 或 FIDO2 WebAuthn 标准的任何密钥,比如 Yubico 的 YubiKey 或 Google 的 Titan 安全密钥。 |
内置验证器 |
内置于用户设备中的生物识别读取器,例如指纹或面部识别扫描仪。在某些情况下,内置身份验证器可以利用用户在其设备操作系统上设置的 PIN 或密码。常见示例包括 Touch ID、Face ID 和 Windows Hello。 |
何时提示用户进行多重身份验证?
用户每次登录时都需要提供多个因素。作为 Salesforce 服务条款的一部分,所有客户必须使用 MFA 进行用户界面登录。这样做可确保每个 Salesforce 组织从一开始就受到充分的安全保护。
为了进一步提升安全性,您可以针对更多情形要求采用 MFA。
- 当用户访问 Salesforce API 时。要了解如何为 API 访问配置 MFA,请查看帮助文章为 API 访问设置多重身份验证登录要求。
- 当用户访问连接的应用程序、仪表板或报表时。这个过程被称作递升式或高保证验证。
- 自定义登录流或在自定义应用程序内时,比如阅读许可协议之前。
启用 MFA 的方式
正如我们前面提到的,Salesforce 要求每个人在登录产品 UI 时使用 MFA。为了帮助用户满足这一要求,MFA 是 Salesforce 生产组织登录过程的默认部分。通常您不需要采取任何特殊步骤来打开它。
尽管如此,如果新生产组织的管理员需要一些时间来教育用户如何注册和使用 MFA 登录,他们可以暂时禁用 MFA。因此,最好能了解如何在每个人都做好准备后重新启用 MFA。您还可以为其他类型的组织轻松开启 MFA,包括 Sandbox、开发人员组织,甚至是 Trailhead Playground!
打开 MFA 就像在设置中选择复选框一样简单。我们将在稍后为您演示。
验证是否为 MFA 设置了会话安全性级别
在大多数生产组织中,与 MFA 登录方式相关的安全级别都已设置妥当。但为了安全起见,我们建议您再仔细检查一下。
- 从 Setup(设置)中,在 Quick Find(快速查找)框中输入
Session Settings
(会话设置),然后选择 Session Settings(会话设置)。
- 在“会话安全性级别”下面,确保多重身份验证在“高保证”类别下面。
现在,您已经准备好开始您的 MFA 之旅了。
打开 MFA
假设您是 Jedeye Technologies 的一名 Salesforce 管理员,这家公司并不是位于遥远的银河系。当 Jedeye Technologies 的生产组织首次启动时,MFA 被禁用,以便让 Jedeye 用户有时间做好登录准备。现在,您的首席安全官交给你一项任务:所有员工每次登录公司生产组织时都必须提供用户名和密码以外的信息。
对了,还有一位名叫 Sia Thripio 的新员工刚刚加入公司。先给 Sia 创建一个 Salesforce 用户,然后再为 Jedeye Technologies 的 Salesforce 组织启用 MFA。
准备好上手实践了吗?
现在请启动您的 Trailhead Playground,跟着试试这个模块中的步骤。要打开您的 Trailhead Playground,请向下滚动到实践挑战,然后单击启动。需要完成实践挑战时,您也可以使用 Playground。
正如我们所提到的,您还需要一台运行 Android 或 iOS 的移动设备来完成一些任务。
步骤 1:创建用户
- 从 Setup(设置)中,在 Quick Find(快速查找)框中输入
Users
(用户),然后选择 Users(用户)。
- 单击新建用户。
- 在名和姓中,分别输入
Sia
和Thripio
。
- 在“电子邮件”字段中输入您的电子邮件地址。这个设置是为了收到针对 Sia 的用户通知。
- 为 Sia 创建用户名并且输入到“用户名”字段。它必须是电子邮件地址格式,但不一定是工作用的电子邮件地址。务必保证该电子邮件地址在您的 Trailhead Playground 中是唯一的。您稍后将输入此用户名,以 Sia 的身份登录,因此我们建议用户名简短些,方便记住。需要灵感?请尝试用 Sia 的首字母、姓和当前日期,例如:SThripio.12202020@trailhead.com。
- 编辑或接受昵称值。
- “用户许可证”选择 Salesforce Platform。
- 简档选择标准 Platform 用户。在这一步,取消选择接收 Salesforce CRM Content 报警的选项。没必要让来自 Salesforce 的无关紧要的电子邮件塞满您的收件箱。
- 一定要选中生成新密码并立即通知用户,在页面的最底部。Salesforce 发送电子邮件通知您 Sia 新用户,因为您在“电子邮件”字段中输入了您的电子邮件地址。
- 单击保存。Salesforce 会通过电子邮件向您发送一个链接以验证用户并设置 Sia 的密码。注意:如果发生用户名已存在的错误,请创建具有不同名称的用户。
- 以 Sia 的身份登录,重置密码。
设置密码后,就可以对 Jedeye 用户启用 MFA 了。
为组织中的每个人开启 MFA
您可以通过一个复选框快速为组织中的所有用户启用 MFA。
- 从 Setup(设置)中,在 Quick Find(快速查找)框中输入
Identity
(身份),然后选择 Identity Verification(身份验证)。
- 选择 Require multi-factor authentication (MFA) for all direct UI logins to your Salesforce org(所有直接 UI 登录到 Salesforce 组织需要多重身份验证 (MFA)) 复选框。
- 单击保存。
搞定了。现在,您组织中的每个人都必须在登录时完成 MFA。下次用户登录时(包括您的新员工 Sia),除了他们的 Salesforce 用户名和密码之外,系统还会提示他们提供验证方法作为第二个因素。
此时,您可能有一个迫切的问题:如果我的实际组织中的某些用户帐户(例如测试自动化工具帐户)被豁免了 MFA 要求怎么办?MFA 设置是否也会影响他们?
确实,Salesforce 的 MFA 要求不适用于某些类型的用户。如果您有任何豁免用户,您可以申请用户权限将他们排除在 MFA 之外。要了解哪些用户类型是豁免的以及如何排除它们,请参阅 Salesforce 帮助中的从 MFA 中排除豁免用户。
用户如何注册 Salesforce Authenticator 的 MFA 登录
跟幻想着突然造访某个城市一样,在没有帮助用户获得至少一种验证方法的情况下就要求多重身份验证是不妥的。您大概率不会被冻结和入狱,但是可能在您最不方便的时候,比如观看一部动作大片的时候,接到无数个电话。幸运的是,Salesforce 让您可以轻松地帮助用户。只要让用户们下载一个验证器应用程序到他们的移动设备并把验证器应用程序连接到他们的 Salesforce 帐户即可。
如果用户不立刻下载应用程序,也不是什么大问题。当他们登录时,系统会自动提示他们注册 MFA 验证方法。
您的新员工 Sia Thripio 想使用 Salesforce Authenticator 移动应用程序,这样她就可以利用超酷的推送通知功能,进行快速身份验证。我们来看一下注册和登录流程是如何操作的。拿出您的 Android 或 iOS 移动设备,假装它是 Sia 的手机。您将下载 Salesforce Authenticator 应用程序并把它连接到 Sia 的 Salesforce 帐户。
提醒一下,在下面的步骤中您将在两台设备之间来回切换。当您用手机时,您是 Salesforce Authenticator 应用程序中的 Sia。当您在桌面上时,您是以 Sia 的身份在 Web 浏览器中登录 Trailhead Playground。
- 手机:对于 iOS,从 App Store 下载并安装 Salesforce Authenticator,对于 Android,从 Google Play 下载并安装 Salesforce Authenticator。
- 手机:点击应用程序的图标打开 Salesforce Authenticator。
- 手机:在应用程序中,浏览导览页面,了解 Salesforce Authenticator 是如何工作的。
- 桌面:如果您已经作为系统管理员登录您的 Trailhead Playground,请退出。
- 桌面:使用 Sia 的用户名和密码登录。
- 桌面:Salesforce 提示您连接 Salesforce Authenticator 到 Sia 的帐户。
- 手机:在 Salesforce Authenticator 中点击 Add an Account(添加帐户)按钮。应用程序显示两字短语。
- 桌面:在 Two-Word Phrase(两字短语)字段中输入这个短语。
- 桌面:单击连接。
- 手机:Salesforce Authenticator 显示 Sia 帐户的详细信息:她的用户名以及服务提供商的名称——这里是 Salesforce。
- 手机:单击连接。
- 桌面:Sia 已成功注册 Salesforce Authenticator,并且她已登录到她的 Salesforce 帐户!她可以干正事了。
现在,每当 Sia 登录她的 Salesforce 帐户时,都会在手机上收到通知。她打开 Salesforce Authenticator 并查看活动详细信息。如果一切看起来都没问题,她单击批准并完成登录。
如果其他人试图用 Sia 的用户名和密码登录,怎么办?您猜到了——她也会收到相关通知,并且告诉 Salesforce Authenticator 拒绝登录请求。了不起!
让我们仔细了解一下 Salesforce Authenticator 跟踪的数据。
- 该用户试图访问的服务。除了 Salesforce,您也可以将 Salesforce Authenticator 用于 LastPass 密码管理器及其他要求更强的身份验证的服务。
- 试图登录的用户。
- Salesforce Authenticator 正在验证的操作。如果您设置更严格的安全性,其他操作也可能会出现。比如,当某人试图访问一条记录或仪表板时,您可以要求验证。这个过程被称作“递升式”验证。
- 登录尝试所使用的浏览器或应用程序相关信息,包括所使用的设备。
- 手机的所在位置。
备份关联帐户
现在,Sia 的帐户已关联到 Salesforce Authenticator,她可以通过验证电子邮件地址来启用帐户备份。这样,如果她更换或丢失了移动设备,她就可以恢复关联帐户。
- 手机:在 Salesforce Authenticator 中,点击左上角的设置图标。
- 手机:点击 Back Up Accounts(备份帐户)切换开关。
- 手机:输入 Sia(您的)电子邮件地址,然后点击 Send Code(发送代码),应用程序就会通过电子邮件向您发送验证码。
- 手机:检查 Sia(您的)电子邮件并在 Salesforce Authenticator 中输入代码。
- 手机:然后应用程序提示 Sia 设置密码。如果她需要恢复关联帐户,她可以使用此代码。
确认 Salesforce Authenticator 是否可以发送通知
Salesforce Authenticator 通过强大的推送通知功能使 MFA 变得简单。但是 Sia 应该确保该应用程序有权发送这些类型的通知!
- 手机:在 Salesforce Authenticator 中,点击设置图标返回设置页面。
- 手机:确保推送通知部分设置为 Enabled(已启用)。如果没有,请点击 Settings(设置)中的 Change(更改)以切换到移动设备的设置。在这里更新 Salesforce Authenticator 的权限以允许通知。
自动化身份验证流程
假设 Sia 经常从同一个地点登录,比如办公室、家里或者她的最爱,昏暗的酒吧。点击手机上的“批准”可能过一会儿就失效了。如果她允许 Salesforce Authenticator 使用手机的位置服务,她可以让应用程序在识别出所有详细信息时自动验证她的活动。也就是说,如果她用同一设备、同一浏览器或应用程序从特定地点登录,甚至不需要从口袋里拿出手机。Salesforce Authenticator 可以自动为她处理 MFA 登录挑战!
让我们来试一试。
- 桌面:退出 Sia 的帐户,然后再次以 Sia 的身份登录。
- 手机:收到提示时,选择 Trust and automate this request(信任并自动执行此请求)。然后点击 Approve(批准)。
- Salesforce Authenticator 会将这些详细信息保存为受信任的请求。
- 桌面:退出 Sia 的帐户,然后再次登录。非常好!没有提示让您批准。Salesforce Authenticator 识别出所有详细信息与之前保存的信任请求相匹配。自动授予访问权限!
任何时候 Sia 试图通过其他浏览器或设备或者从新的位置登录时,她都可以把新的详细信息添加到 Salesforce Authenticator 的受信任请求列表。想保存多少受信任的请求就能保存多少,包括为其他帐户和操作保存请求。要查看某个帐户的受信任请求,Sia 点击箭头图标,打开帐户详细信息页面。
帐户详细信息页面列出受信任请求以及登录活动历史。“验证活动”显示 Salesforce Authenticator 验证了多少次 Sia 对 Salesforce 的登录。“自动”显示 Salesforce Authenticator 让 Sia 通过受信任请求自动登录的次数。
如果 Sia 不再信任某个请求怎么办?简单,向左划即可。她可以选择 ,然后选择 Remove All Trusted Requests(移除全部受信任请求),以一次性清除所有受信任请求。
有时候自动验证可能不起作用,比如数据连接掉线的时候。不成问题,Sia 只需输入 Salesforce Authenticator 显示的 TOTP 验证码即可。
想限制用户的自动验证仅允许受信任的 IP 地址,比如您公司的网络吗?或者完全禁止?可以的。作为管理员登录时,前往您组织的身份验证设置,修改允许的内容即可。
要详细了解 Salesforce Authenticator 自动化,请查看 Salesforce 帮助:通过 Salesforce Authenticator 自动完成多重身份验证和 Salesforce Authenticator 自动化优化和故障排除。
如果 Sia 的手机丢了,怎么办?
问得好。您也知道,用户撞机了或者被困在沙漠行星上,并且手机丢了,老是发生这种事情。如果 Sia 把手机弄丢了,换了新的或者不小心删除了 Salesforce Authenticator,她有几个选择。Sia 可以从她之前的备份中恢复她的帐户,或者您可以断开她的帐户与 Salesforce Authenticator 的关联,然后她可以重新注册该应用程序。
如果 Sia 在她的 Salesforce Authenticator 应用程序中启用了帐户备份,那就好办了。她只需要在新手机上重新安装 Salesforce Authenticator 即可。当她打开这个应用程序时,她会看到从备份中恢复帐户的选项。Sia 输入备份她的帐户时使用过的密码,然后她的帐户会重新出现在她的手机上。
如果 Sia 没有备份过帐户,怎么办?以下是您为了帮忙可以做的事情。
- 作为管理员登录。
- 从 Setup(设置)中,在 Quick Find(快速查找)框中输入
Users
(用户),然后选择 Users(用户)。
- 单击 Sia 的名字。
- 在 Sia 的用户详细信息页面,单击“应用程序注册:Salesforce Authenticator”旁边的断开连接。
下一次 Sia 登录时,如果她没有连接另一种验证方法,会提示她再次连接 Salesforce Authenticator。
监控谁在登录您的组织
管理员工作的重要一部分是知道谁在登录您的组织。这正是身份验证历史的用处。
- 以 Trailhead Playground 系统管理员的身份登录。
- 从 Setup(设置)中,在 Quick Find(快速查找)框中输入
Verification
,然后选择 Identity Verification History(身份验证历史)。
查看“位置”列。默认是用户的国家,但是您可以创建自定义视图获得更多详细信息。
恭喜您,管理员!您已经看到了用户设置和使用 MFA 登录是多么简单。我们鼓励您探索关于 MFA 实施的其他选项,比如启用安全密钥或内置验证器,作为备用的验证方法选项。如果用户没有移动设备或者场地不允许使用手机,这两个选项都是不错的选择。让我们在下一个单元中学习如何更进一步控制您的登录流程。
资源
- Salesforce 帮助:为直接用户登录启用 MFA
- Salesforce 帮助:决定用户在注册过程中如何选择验证方法
- Salesforce 帮助:Salesforce Authenticator
- Salesforce 帮助:Salesforce Authenticator(版本 2 和 3)要求
- Salesforce 帮助:将 Salesforce Authenticator 注册为身份验证方法
- Salesforce 帮助:将第三方身份验证器应用注册为身份验证方法
- Salesforce 帮助:启用 U2F 或 WebAuthn 安全密钥以进行身份验证
- Salesforce 帮助:将安全密钥注册为身份验证方法
- Salesforce 帮助:启用内置身份验证器进行身份验证
- Salesforce 帮助:注册内置身份验证器进行身份验证
- Salesforce 帮助:自定义登录流
- Salesforce 帮助:监控身份验证历史
- Salesforce 帮助:备份您在 Salesforce Authenticator 移动应用程序中关联的帐户
- Salesforce 帮助:Salesforce 多重身份验证常见问题