Verificación de identidad
La documentación que vemos a continuación fue extraída del siguiente módulo de trailhead.
MFA
"Autenticación de múltiples factores"
Esta autenticación se encarga de garantizar que el usuario que está tratando de ingresar a la instancia sea quien dice ser.
- Uno de los factores para ingresar a la organización son nuestro usuario y contraseña (Algo que conocemos).
- El factor restante para ingresar es un método de verificación que el usuario tiene en su posesión, como un celular o una llave de seguridad física (Algo que tenemos).
Métodos de verificarse
Salesforce nos admite diferentes métodos de verificación, tales como:
- Salesforce Authenticator: Es una aplicación móvil gratuita de Salesforce que nos permite verificar rápidamente nuestras identidades.
- Aplicaciones de autenticación TOTP externas: Son aplicaciones que generan códigos de verificación temporales. TOTP significa Time-based One-time Password o Contraseñas basadas en tiempo.
- Llaves de seguridad: Son tokens físicos con el aspecto de una llave USB.Solo basta con conectarlo a la PC y presionar el botón de la llave para verificar la identidad.
- Autenticadores incorporados: Son lectores biométricos tales como un escáner de reconocimiento facial o huella digital.
Momentos de activarlo
MFA es solicitado siempre al tratar de iniciar sesión. Pero también, es posible hacerlo en circunstancias adicionales:
- Cuando los usuarios acceden a las API de Salesforce.
- Cuando los usuarios acceden a una aplicación, tablero o reporte. Este proceso es llamado "Autenticación de nivel superior".
- Durante un flujo de inicio de sesión personalizado o una aplicación personalizada.
Formas de implementarlo
Para implementarlo tenemos la opción de hacerlo para un único usuario o perfil, o directamente para toda la organización.
- De hacerlo para un usuario, debemos crear un Conjunto de permisos con la opción habilitada "Multi-Factor Authentication for User Interface Logins" en permisos de sistema.
- En el caso de un perfil es lo mismo, pero se configura desde el mismo perfil.
- Si queremos implementar en la organización en general, debemos ir a "Identity Verification" y seleccionar la casilla de "Require multi-factor authentication (MFA) for all direct UI logins to your Salesforce org".
Método para excluir
Puede que tengamos ocasiones en las que debamos excluir a un usuario o bot de MFA. Para hacerlo basta tan solo con armar un conjunto de permisos y habilitar la opción de "Waive Multi-Factor Authentication for Exempt Users" en los permisos de sistema.
¿Qué hago en caso de ...?
Evitar que Salesforce Authenticator verifique automáticamente las identidades
Si nuestros usuarios utilizan Salesforce Authenticator, hay una gran posibilidad que ellos estén usando la opción de verificar mi identidad automáticamente desde una geolocalización segura.
Podemos evitar esto desde "Identity Verification" y deshabilitar la opción de "Let Salesforce Authenticator automatically verify identities using geolocation".
Celular perdido
Si el usuario pierde su celular en el cual tenía Salesforce Authenticator y este realizó una copia de seguridad previamente, bastaría solamente con hacer una recuperación de esos datos.
En caso de no ser así, lo mejor es desde la página de detalles de usuario, presionar en "Desconectar" junto a Registro de aplicación: Salesforce Authenticator". De está manera, la próxima vez que quiera iniciar sesión, tendrá que conectar nuevamente su cuenta.
Esto último soluciona que se pueda reconectar el autenticador, pero hasta que el usuario consiga un celular nuevo, va a tener que ingresar con Códigos temporales que se encuentra también en el detalle del usuario. Al presionar Generar, el Administrador tendrá que pasar por un proceso de autenticación y de esa forma obtendrá un código de hasta 24 horas para que el usuario pueda autenticarse.
❗ Single Sign-On
Pendiente a documentar.
❗ Lightning Login
Pendiente a documentar.
❗ Autenticación de nivel superior
Pendiente a documentar.
Historial de verificación de identidad
Es una herramienta que nos permite controlar y filtrar los 20.000 registros de verificación de identidad más recientes. Ofreciendonos su hora de intento de inicio de sesión, nombre de usuario, actividad, activador, método usado, estado, IP, localización, etc. Super útil.
❗ Información adicional
Identity Flows
Pendiente a documentar.
Se puede configurar flujos de pantallas para ejecutar en los inicios de sesión.