保障用户身份安全
学习目标
完成本模块后,您将能够:
- 为用户设置多重身份验证。
- 将 Salesforce Authenticator 应用程序用于 MFA 登录。
- 获取登录您组织的用户的登录信息。
备注
用中文(简体)学习?在此徽章中,Trailhead 实践挑战验证使用英文。括号中提供了译文,用作参考。在您的 Trailhead playground 中,您需确保 (1) 将区域设置切换为美国,(2) 将语言切换为英语,(3) 仅复制粘贴英文值。按此处说明进行。
查看 Trailhead 本地化语言徽章详细了解如何利用 Trailhead 译文。
通过多重身份验证和 Salesforce Authenticator 确保安全的帐户访问
只凭用户名和密码并不足以抵御网络钓鱼攻击等网络威胁。增强登录过程的安全性和保护组织数据的一个有效方法是要求用户在登录时提供额外的证据来证明其身份。安全专家将此称为多重身份验证,简称 MFA。在 Salesforce,我们认为 MFA 非常重要,因此我们要求每个访问我们的产品和服务的人都使用它。要了解 MFA 要求,请查看 Salesforce 多重身份验证常见问题。
要完成本单元中的任务,您需要一台 Android 或 iOS 移动设备。
什么是多重身份验证?
听起来像一种数学等式,对吗?不管数学是让您兴奋还是害怕,要知道 MFA 与高中学的代数没有任何关系。它的目的是确保您的用户自称是谁,实际上就是谁。
顺便提一下,您可能更熟悉双重身份验证,或简称 2FA。别担心!2FA 是 MFA 的一个子集,我们实际上在谈论同一个东西。
那么,到底什么是多重身份呢?登录时用户可以提供不同类型的证据来确认他们的身份。
- 其中一个因素是用户知道的某种东西。对于 Salesforce 登录,就是用户名和密码的组合。
- 其他因素是用户掌握的验证方法,比如安装了验证器应用程序的移动设备或是物理的安全密钥。
您可能不知道它叫什么,但是您很可能已经用过多重身份验证了。每次从 ATM 机取现时,您都会使用您拥有的某种东西(您的银行卡)加上您知道的某种东西(您的密码)。
要求除了用户名和密码之外的另一个因素为您的组织增加一层额外的,更重要的安全性。即使用户的密码被盗了,黑客猜出或假冒用户物理上占有的某个因素的几率也非常低。
听起来很酷?我们来了解它的工作原理。
多重身份验证如何工作
MFA 给您的 Salesforce 登录流程增加了一个步骤。
- 用户跟往常一样输入用户名和密码。
- 然后提示用户提供 Salesforce 支持的一种验证方法。
您可以允许以下任何一种或全部验证方法。
| Salesforce Authenticator |
一个免费的移动应用程序,无缝融入您的登录流程。用户可以通过推送通知快速验证他们的身份。我们会进一步介绍这个应用程序。 |
|
第三方 TOTP 验证器应用程序 |
生成用户按照提示输入的唯一、临时验证码的应用程序。这种验证码有时候被称作基于时间的一次性密码,简称 TOTP。用户可以从丰富的选项中选择,包括 Google Authenticator、Microsoft Authenticator 或 Authy。 |
|
安全密钥 |
看起来像 U 盘,小巧的物理令牌。通过这种方式登录又快、又简单。用户只需把密钥连上电脑,然后按密钥上的按钮验证他们的身份即可。用户可以使用兼容 FIDO 通用第二因素 (U2F) 或 FIDO2 WebAuthn 标准的任何密钥,比如 Yubico 的 YubiKey 或 Google 的 Titan 安全密钥。 |
|
内置验证器 |
内置于用户设备中的生物识别读取器,例如指纹或面部识别扫描仪。在某些情况下,内置身份验证器可以利用用户在其设备操作系统上设置的 PIN 或密码。常见示例包括 Touch ID、Face ID 和 Windows Hello。 |
何时提示用户进行多重身份验证?
当您打开 MFA 时,用户每次登录时都需要提供多个因素。作为 Salesforce 服务条款的一部分,所有客户都必须为用户界面登录设置 MFA。这样做可确保每个 Salesforce 组织从一开始就受到充分的安全保护。
为了进一步提升安全性,您可以针对更多情形要求采用 MFA。
- 当用户访问 Salesforce API 时。要了解如何为 API 访问配置 MFA,请查看帮助文章为 API 访问设置多重身份验证登录要求。
- 当用户访问连接的应用程序、仪表板或报表时。这个过程被称作递升式或高保证验证。
- 自定义登录流或在自定义应用程序内时,比如阅读许可协议之前。本模块稍后会详细介绍此主题。
启用 MFA 的方式
您可以通过两种方式为您的用户启用 MFA。
启用 MFA 会影响用户登录您的组织的方式,因此您可能希望从试点计划开始,并随着时间的推移逐步为用户启用。
交错部署 MFA 的好处是,您可以将变更管理的影响限制在指定的用户组。这样,您就可以从早期用户组收集反馈,然后改进针对其他用户的推出过程。由于每个阶段受影响的用户较少,因此您的管理员需要同时处理的与 MFA 相关的支持案例数量也会较少。您可以通过为指定用户分配 MFA 用户权限来执行此分阶段方法。
另一方面,您可能已经准备好迈出一大步,立即为所有用户启用 MFA。越早为每个人启用,您就能越早符合 Salesforce MFA 要求(提示、提示)。当您准备好全面启用时,您可以使用单一设置为您的整个组织开启 MFA。
我们将在本单元中探索这两种方法,并向您展示每种方法的好处。如需演示,请查看此视频。
验证是否为 MFA 设置了会话安全性级别
无论您决定如何启用 MFA,都需要确保将正确的安全性级别与 MFA 登录方法相关联。在大多数生产组织中,这个设置已经设好了。但是如果还没有,在您对任何管理员用户设置 MFA 要求之前做这一步非常重要。否则,您自己或其他管理员将无法登录。
- 从“设置”中,在“快速查找”框中输入
Session Settings(会话设置),然后选择会话设置。 - 在“会话安全性级别”下面,确保多重身份验证在“高保证”类别下面。
正确配置会话安全性级别后,您就可以开始您的 MFA 之旅了。
为指定用户开启 MFA
假设您是 Jedeye Technologies 的一名 Salesforce 管理员,这家公司并不是位于遥远的银河系。您的首席安全官交给您一项任务:让所有员工每次登录公司的 Salesforce 组织时不仅仅提供用户名和密码。
先从小范围开始,对 Jedeye Technologies 的一名新员工 Sia Thripio 启用 MFA。您可以利用 Sia 对使用体验的反馈,确保 Jedeye 的所有其他人都上线时您做到面面俱到。首先为 Sia 创建一个 Salesforce 用户并为她的帐户启用 MFA。
准备好上手实践了吗?
现在请启动您的 Trailhead Playground,跟着试试这个模块中的步骤。要打开您的 Trailhead Playground,请向下滚动到实践挑战,然后单击启动。需要完成实践挑战时,您也可以使用 Playground。
正如我们所提到的,您还需要一台运行 Android 或 iOS 的移动设备来完成一些任务。
步骤 1:创建用户
- 从“设置”中,在“快速查找”框中输入
Users(用户),然后选择用户。 - 单击新建用户。
- 在名和姓中,分别输入
Sia和Thripio。 - 在“电子邮件”字段中输入您的电子邮件地址。这个设置是为了收到针对 Sia 的用户通知。
- 为 Sia 创建用户名并且输入到“用户名”字段。它必须是电子邮件地址格式,但不一定是工作用的电子邮件地址。务必保证该电子邮件地址在您的 Trailhead Playground 中是唯一的。您稍后将输入此用户名,以 Sia 的身份登录,因此我们建议用户名简短些,方便记住。需要灵感?请尝试用 Sia 的首字母、姓和当前日期,例如:SThripio.12202020@trailhead.com。
- 编辑或接受昵称值。
- “用户许可证”选择 Salesforce Platform。
- 简档选择标准 Platform 用户。在这一步,取消选择接收 Salesforce CRM Content 报警的选项。没必要让来自 Salesforce 的无关紧要的电子邮件塞满您的收件箱。
- 一定要选中生成新密码并立即通知用户,在页面的最底部。Salesforce 发送电子邮件通知您 Sia 新用户,因为您在“电子邮件”字段中输入了您的电子邮件地址。
- 单击保存。Salesforce 会通过电子邮件向您发送一个链接以验证用户并设置 Sia 的密码。注意:如果发生用户名已存在的错误,请创建具有不同名称的用户。
- 以 Sia 的身份登录,重置密码。
设置密码后,就可以对 Sia 的用户帐户启用 MFA 了。
步骤 2:为多重身份验证创建权限集
分配用于用户界面登录的多重身份验证用户权限,为指定用户启用 MFA。您可以编辑简档或创建分配给特定用户的权限集来完成这个步骤。
权限集是允许用户访问 Salesforce 的各种功能的设置和权限的集合。我们来创建一个带 MFA 权限的权限集。
- 如果您以 Sia 的身份登录的,请先退出。以 Trailhead Playground 系统管理员的身份重新登录。
- 从“设置”中,在“快速查找”框中输入
Permission(权限),然后选择权限集。 - 单击新建。
- 给这个权限集加上标签
MFA Authorization for User Logins(用于用户登录的 MFA 授权)。 - 单击保存。
- 在“系统”下面,单击系统权限。
现在您来到了“用于用户登录的 MFA 授权”权限集的详细信息页面。 - 单击编辑。
- 选择用于用户界面登录的多重身份验证。
- 单击保存,然后再次单击保存确认权限变更。
快要完成了!只需要分配权限集就可以了。
步骤 3:把权限集分配给 Sia 的用户
目前,只把权限集分配给 Sia。之后当您准备好将 MFA 推出到下一个小组时,您可以把同一个权限集分配给其他用户。
如果您不在新的权限集的详细信息页面,请返回那里。
- 在新权限集的详细信息页面,单击管理分配。
- 单击添加分配。在用户列表中,选中 Sia 用户旁边的复选框。(如果需要,一次最多可以分配给 1,000 个用户。)
- 单击分配。
- 单击完成。
非常好!您已经对 Sia 启用了多重身份验证。下一次 Sia 登录时,系统会提示她提供一种验证方法作为她的用户名和密码之外的第二因素。
为组织中的每个人开启 MFA
让我们快进一下:您为 Sia 和组织中的其他几个用户完成了 MFA 试点计划。在接下来的几个月中,您通过一次一个组,谨慎地为更多用户推出了 MFA。现在您已准备好进行最后一步:要求每个人都使用 MFA。
您可以使用一个复选框快速完成 MFA 部署。如果您根本不需要分阶段的方法,您也可以直接跳到这一步!
这是为您组织中的每个人启用 MFA 的最快、最简单的方法。
- 从“设置”中,在“快速查找”框中输入
Identity(身份),然后选择身份验证。 - 选择 Require multi-factor authentication (MFA) for all direct UI logins to your Salesforce org(所有直接 UI 登录到 Salesforce 组织需要多重身份验证 (MFA)) 复选框。
- 单击保存。
搞定了。您组织中的每个人,无论您之前是否为他们分配了 MFA 用户权限,现在都需要在登录时完成 MFA。
此时,您可能有一个迫切的问题:如果我的实际组织中的某些用户帐户(例如测试自动化工具帐户)被豁免了 MFA 要求怎么办?此设置是否也会影响他们?
确实,Salesforce 的 MFA 要求不适用于某些类型的用户。如果您有任何豁免用户,请在启用您刚刚练习的组织范围设置之前将他们从 MFA 中排除。要了解哪些用户类型是豁免的以及如何排除它们,请参阅 Salesforce 帮助中的从 MFA 中排除豁免用户。
用户如何注册 Salesforce Authenticator 的 MFA 登录
跟幻想着突然造访某个城市一样,在没有帮助用户获得至少一种验证方法的情况下就要求多重身份验证是不妥的。您大概率不会被冻结和入狱,但是可能在您最不方便的时候,比如观看一部动作大片的时候,接到无数个电话。幸运的是,Salesforce 让您可以轻松地帮助用户。只要让用户们下载一个验证器应用程序到他们的移动设备并把验证器应用程序连接到他们的 Salesforce 帐户即可。
如果用户不立刻下载应用程序,也不是什么大问题。您启用 MFA 要求后,他们会在首次登录时收到提示,注册验证方法。
您的新员工 Sia Thripio 想使用 Salesforce Authenticator 移动应用程序,这样她就可以利用超酷的推送通知功能,进行快速身份验证。我们来看一下注册和登录流程是如何操作的。拿出您的 Android 或 iOS 移动设备,假装它是 Sia 的手机。您将下载 Salesforce Authenticator 应用程序并把它连接到 Sia 的 Salesforce 帐户。
提醒一下,在下面的步骤中您将在两台设备之间来回切换。当您用手机时,您是 Salesforce Authenticator 应用程序中的 Sia。当您在桌面上时,您是以 Sia 的身份在 Web 浏览器中登录 Trailhead Playground。
- 手机:对于 iOS,从 App Store 下载并安装 Salesforce Authenticator,对于 Android,从 Google Play 下载并安装 Salesforce Authenticator。
- 点击应用程序的图标打开 Salesforce Authenticator。
- 桌面:如果您已经作为系统管理员登录您的 Trailhead Playground,请退出。
- 桌面:使用 Sia 的用户名和密码登录。
- 桌面:Salesforce 提示您连接 Salesforce Authenticator 到 Sia 的帐户。
- 手机:浏览页面,了解 Salesforce Authenticator 是如何工作的。
- 手机:输入 Sia 的(您的)手机号码,创建连接到 Salesforce Authenticator 的帐户的备份,然后点击弹出的通知,完成验证。您可以暂时跳过创建密码。(之后,如果 Sia 希望建立备份,以恢复她的帐户,她可以创建密码。)
- 点击箭头把 Sia 的帐户添加到 Salesforce Authenticator。应用程序显示两字短语。(您好,您有特别优美或有趣的短语吗?告诉我们!#Trailhead #AwesomePhrase #SalesforceAuthenticator。)
- 桌面:在“两字短语”字段中输入这个短语。
- 桌面:单击连接。
- 手机:Salesforce Authenticator 显示 Sia 帐户的详细信息:她的用户名以及服务提供商的名称——这里是 Salesforce。
- 手机:单击连接。
- 桌面:Sia 登录进她的 Salesforce 帐户!她可以干正事了。
现在,每当 Sia 登录她的 Salesforce 帐户时,都会在手机上收到通知。她打开 Salesforce Authenticator 并查看活动详细信息。如果一切看起来都没问题,她单击批准并完成登录。
如果其他人试图用 Sia 的用户名和密码登录,怎么办?您猜到了——她也会收到相关通知,并且告诉 Salesforce Authenticator 拒绝登录请求。了不起!
让我们仔细了解一下 Salesforce Authenticator 跟踪的数据。
- 该用户试图访问的服务。除了 Salesforce,您也可以将 Salesforce Authenticator 用于 LastPass 密码管理器及其他要求更强的身份验证的服务。
- 试图登录的用户。
- Salesforce Authenticator 正在验证的操作。如果您设置更严格的安全性,其他操作也可能会出现。比如,当某人试图访问一条记录或仪表板时,您可以要求验证。这个过程被称作“递升式”验证。
- 登录尝试所使用的浏览器或应用程序相关信息,包括所使用的设备。
- 手机的所在位置。
自动化身份验证流程
假设 Sia 经常从同一个地点登录,比如办公室、家里或者她的最爱,昏暗的酒吧。点击手机上的“批准”可能过一会儿就失效了。如果她允许 Salesforce Authenticator 使用手机的位置服务,她可以让应用程序在识别出所有详细信息时自动验证她的活动。也就是说,如果她用同一设备、同一浏览器或应用程序从特定地点登录,甚至不需要从口袋里拿出手机。Salesforce Authenticator 可以为她自动处理 MFA 要求!
让我们来试一试。
- 桌面:退出 Sia 的帐户,然后再次以 Sia 的身份登录。
- 手机:收到提示时,选择 Trust and automate this request(信任并自动执行此请求)。然后点击 Approve(批准)。
Salesforce Authenticator 会将这些详细信息保存为信任的请求。 - 桌面:退出 Sia 的帐户,然后再次登录。非常好!没有提示让您批准。Salesforce Authenticator 识别出所有详细信息与之前保存的信任请求相匹配。自动授予访问权限!
任何时候 Sia 试图通过其他浏览器或设备或者从新的位置登录时,她都可以把新的详细信息添加到 Salesforce Authenticator 的受信任请求列表。想保存多少受信任的请求就能保存多少,包括为其他帐户和操作保存请求。要查看某个帐户的受信任请求,Sia 点击箭头图标,打开帐户详细信息页面。
帐户详细信息页面列出受信任请求以及登录活动历史。“验证活动”显示 Salesforce Authenticator 验证了多少次 Sia 对 Salesforce 的登录。“自动”显示 Salesforce Authenticator 让 Sia 通过受信任请求自动登录的次数。
如果 Sia 不再信任某个请求怎么办?简单,向左划即可。她可以选择 
,然后选择 Remove All Trusted Requests(移除全部受信任请求),以清除所有受信任请求。
有时候自动验证可能不起作用,比如数据连接掉线的时候。不成问题,Sia 只需输入 Salesforce Authenticator 显示的 TOTP 验证码即可。
想限制用户的自动验证仅允许受信任的 IP 地址,比如您公司的网络吗?或者完全禁止?可以的。作为管理员登录时,前往您组织的身份验证设置,修改允许的内容即可。
要详细了解 Salesforce Authenticator 自动化,请查看 Salesforce 帮助:通过 Salesforce Authenticator 自动完成多重身份验证和 Salesforce Authenticator 自动化优化和故障排除。
如果 Sia 的手机丢了,怎么办?
问得好。您也知道,用户撞机了或者被困在沙漠行星上,并且手机丢了,老是发生这种事情。如果 Sia 把手机弄丢了,换了新的或者不小心删除了 Salesforce Authenticator,她有几个选择。Sia 可以从她之前做的备份恢复她的帐户,或者您可以断开她的帐户与 Salesforce Authenticator 的连接,然后她可以重新注册该应用程序。
如果 Sia 在她的 Salesforce Authenticator 应用程序中启用了帐户备份,那就好办了。她只需要在新手机上重新安装 Salesforce Authenticator 即可。当她打开这个应用程序时,她会看到从备份中恢复帐户的选项。Sia 输入备份她的帐户时使用过的密码,然后她的帐户会重新出现在她的手机上。
如果 Sia 没有备份过帐户,怎么办?以下是您为了帮忙可以做的事情。
- 作为管理员登录。
- 从“设置”中,在“快速查找”框中输入
Users(用户),然后选择用户。 - 单击 Sia 的名字。
- 在 Sia 的用户详细信息页面,单击“应用程序注册:Salesforce Authenticator”旁边的断开连接。
下一次 Sia 登录时,如果她没有连接另一种验证方法,会提示她再次连接 Salesforce Authenticator。
如果您想卸载 Salesforce Authenticator 应用程序,请先从 Sia 的用户详细信息中移除 MFA 权限集。否则,您无法在未来单元中以 Sia 的身份登录。
监控谁在登录您的组织
管理员工作的重要一部分是知道谁在登录您的组织。这正是身份验证历史的用处。
- 以 Trailhead Playground 系统管理员的身份登录。
- 从“设置”中,在“快速查找”框中输入
Verification(验证),然后选择身份验证历史。
查看“位置”列。默认是用户的国家,但是您可以创建自定义视图获得更多详细信息。
恭喜您,管理员!您已经看到了对您的用户启用 MFA 有多么简单!我们鼓励您探索关于 MFA 实施的其他选项,比如启用安全密钥或内置验证器,作为备用的验证方法选项。如果用户没有移动设备或者场地不允许使用手机,这两个选项都是不错的选择。我们将在下一个单元“用 My Domain 自定义登录流程”中学习如何更进一步控制您的登录流程。
资源
- Salesforce 帮助:为直接用户登录启用 MFA
- Salesforce 帮助:决定用户在注册过程中如何选择验证方法
- Salesforce 帮助:Salesforce Authenticator
- Salesforce 帮助:Salesforce Authenticator(版本 2 和 3)要求
- Salesforce 帮助:连接 Salesforce Authenticator(版本 3 或更新)到您的帐户以进行身份验证
- Salesforce 帮助:使用 TOTP Authenticator 应用程序验证您的身份
- Salesforce 帮助:启用 U2F 或 WebAuthn 安全密钥以进行身份验证
- Salesforce 帮助:注册 U2F 或 WebAuthn 安全密钥以进行身份验证
- Salesforce 帮助:启用内置身份验证器进行身份验证
- Salesforce 帮助:注册内置验证器进行身份验证
- Salesforce 帮助:自定义登录流
- Salesforce 帮助:监控身份验证历史
- Salesforce 帮助:备份您在 Salesforce Authenticator 移动应用程序中连接的帐户
