Salesforce MFA/2FA: mi experiencia

Seguramente, has visto el banner avisando que en febrero de 2022, Salesforce va a solicitar que los usuarios se autentiquen con MFA.

Quisiera compartir en varios artículos mi experiencia y si es posible que te ayude a entender un poco mejor rápidamente las implicaciones en tu proyecto.

Vaya por delante que no soy experto en seguridad empresarial, ni mucho menos, ni tampoco esta serie de artículos pretende valorar las decisiones de Salesforce en este ámbito. Aun así, en mi opinión, aquellas acciones que permitan aumentar la seguridad de los accesos a los sistemas a qué tantas horas dedicamos, y que contienen un asset tan valioso para una empresa como son sus datos, las valoro positivamente, siempre que la relación coste-beneficio sea asumible.

Por cierto, si utilizas varios productos de Salesforce, y algunos son de reciente adquisición como Tableau, deberás validar en tu caso concreto las excepciones que está aplicando Salesforce a la aplicación de MFA.

En este primer artículo voy a comentar aquello que considero más interesante para entender de lo que estamos hablando y que tengas la referencia a la información principal. Si estás intersado en el proceso, como se usa, las limitaciones y un bug importante, te aconsejo que saltes al segundo artículo directamente.

Conceptos principales

Salesforce ha publicado una página muy completa al respecto, que siendo muy extensa te recomiendo que leas detenidamente: Salesforce Multi-Factor Authentication FAQ.

Es importante que lo tengas a mano, porque durante este artículo haré continuas referencias a ese artículo para que lo puedas compartir con tus compañeros si es necesario.

¿Qué pasará en febrero? A nivel operativo no habrá un cataclismo, aunque pueda ser que Salesforce paulatinamente promueva el uso de MFA y consulte con sus clientes cuál es el estado de su implantación en los proyectos.

Customers who don’t enable MFA by February 1, 2022 will be out of compliance with their contractual obligations. We recommend speaking with your legal team to understand the implications of not enabling MFA by the requirement date.

If you’re concerned that you can’t satisfy the requirement, reach out to your Salesforce representative and we’ll work with you to find a solution.

En 33 palabras, ¿me puedes resumir que está pidiendo Salesforce?

Salesforce solicita a sus clientes, que para los usuarios internos (no de Community-Experience Cloud), en las instancias de Producción, se utilice MFA o un sistema de autenticación equivalente, basándose en sus criterios.

¿Tengo que demostrar a Salesforce qué utilizo MFA o uno de los métodos equivalentes? No.

Salesforce doesn’t require customers to certify compliance with their contractual obligations. In keeping with this practice, customers don’t need to obtain formal certification or otherwise attest to Salesforce that they satisfy the contractual MFA requirement.

¿Estoy obligado a usar el MFA de Salesforce? No.

Entiendo que el objetivo de Salesforce es asegurar un ecosistema más seguro para los usuarios, y que un paso fundamental hacia ese objetivo es mediante la implementación de MFA u otro mecanismo equivalente que la empresa ya pueda tener o implemente. Por eso, aquellas empresas que ya tengan desplegado un sistema de autenticación equivalente, también se considera que cumplen el requisito.

He oído que Salesforce tiene criterios distintos al considerar qué es MFA con respecto a otras ó a mi amigo Pepito, ¿es cierto? Pues si, y aunque no conozco a Pepito, puede que él tenga una consideración distinta.

Salesforce ha establecido unos criterios que rigen el cumplimiento del requerimiento de MFA. Cualquier tipo de autenticación no satisface estos mínimos requerimientos basándose en sus criterios, a diferencia por ejemplo de lo que puedan considerar otras empresas. Por ejemplo: para Salesforce una llamada de teléfono, un email o un SMS no son factores de autenticación suficientemente robustos y, por tanto, no los considera equivalentes válidos basándose en sus criterios (estas 4 últimas palabras creo que son clave y por eso las repito tanto, sorry).

MFA, on the other hand, requires users to supply a strong verification method every time they log in. Email and SMS text messages aren’t allowed for MFA logins because of their inherent susceptibility to attack by bad actors, so these options aren’t allowed for MFA logins.

One-time passcodes delivered via email, SMS text messages, or phone calls do not satisfy the MFA requirement — whether you’re using Salesforce MFA for direct logins or your SSO provider’s MFA services. 

¿Debe aplicarse este criterio también a las instancias Sandbox? De momento no, y te recomiendo que mires esta tabla.

But we’ve heard your feedback and acknowledge that with currently available functionality, it can be challenging to manage MFA for sandboxes. We’ve modified the MFA requirement that goes into effect on February 1, 2022 so MFA won’t be required for sandbox environments. There’s one exception, which is noted below.

¿Están todos los usuarios afectados? No, solo los considerados internos, y esto es crucial, para la gestión del cambio.

An internal user is anyone who has a standard user license and can access your Salesforce org’s UI, including admins, developers, privileged users, standard users, and users authorized to act on your company’s behalf, such as partners and third-party agencies.

External users (NO Applicable) can only access your company’s Experience Cloud sites, e-commerce sites or storefronts, help portals, employee communities, and so forth. For products built on the Salesforce Platform, an external user is anyone who has a Community, Employee Community, or External Identity license.
MFA is not required for your company’s Experience Cloud sites, employee communities, help portals, or e-commerce sites/storefronts. You don’t have to enable MFA for external users who access these sites.

¿Los usuarios de la aplicación móvil de Salesforce deben cumplir MFA? Sí.

All Salesforce mobile and desktop apps that are accessed via user interface logins are included in the MFA requirement. This includes the Salesforce Mobile App, the Marketing Cloud mobile app, SalesforceA, Salesforce Inbox, Quip, and integrations with Gmail™ and Outlook®. Note that subsequent app usage is often handled with token exchanges via API calls, without requiring a new login.

Si utilizo una VPN, ¿estoy ya cumpliendo el requerimiento de MFA? No, pero sigue leyendo por favor.

On its own, VPN doesn’t satisfy the MFA requirement. But customers can effectively achieve MFA (and satisfy the requirement) by requiring the use of both trusted networks and trusted devices to access Salesforce products.

Utilizo SSO con Azure de Microsoft o equivalente, ¿esto cumple el criterio de MFA de Salesforce? No, pero sigue leyendo por favor.

On its own, SSO doesn’t satisfy the MFA requirement. With a well-implemented SSO strategy, you can reduce some of the risks associated with weak or reused passwords, and make it easier for your users to log in to frequently used applications. But if your SSO implementation relies on user credentials alone, it can leave user accounts vulnerable to common attacks such as phishing or credential stuffing.

Si finalmente habilito la funcionalidad de MFA de Salesforce, ¿estoy obligado a usar su aplicación móvil Salesforce Authenticator? No, de hecho el usuario podrá utilizar, sin que puedas limitar la app que él desee, siempre que cumpla el estándar RFC 6238.
Algunas de estas aplicaciones son: Google Authenticator, Authy de Twilio, Microsoft Authenticator, etc., y además Salesforce permite e incluso recomienda que el usuario registre más de un factor de autenticación, es decir que use varias de estas aplicaciones.

Dicho esto, basándome en mi experiencia, la mejor experiencia de usuario, con la menor fricción de uso se obtiene utilizando la aplicación Salesforce Authenticator, y con varias ventajas asociadas a los administradores de la solución.

Básicamente tienes 3 opciones:

  1. Aplicación Salesforce Authenticator, la que verás se promueve el uso y la que yo te recomiendo
  2. Cualquier otra aplicación que cumpla el estándar mencionado de las que hay varias disponibles y gratuitas en las 2 store mayoritarias.
  3. Dispositivo hardware, típicamente USB, que generan códigos equivalentes registrando la huella dactilar previamente.

¿Estas aplicaciones están preparadas para ser usadas sin conexión? Si, pero…

Estas aplicaciones, como cualquier otra, requiere una descargar inicial de la Store correspondiente (App Store, Google Play) y seguir el proceso de enrollment, para ello necesita tener conectividad. A partir de ese momento, la mejor experiencia de usuario se obtiene conectado a la red de datos y con la ubicación activada (que veremos en el siguiente artículo disminuye la fricción utilizando la Salesforce Authenticator).

Sin embargo, si el usuario tiene acceso al dispositivo (no se lo ha dejado en casa) puede utilizar el código de 6 dígitos que todas estas aplicaciones regenerar cada 30» sin tener conectividad a la red de datos o en modo avión.

¿Puedo usar el Face ID o cualquier otro sistema biométrico de autenticación de un dispositivo? No, de momento.

Actualmente, está en fase Beta, lo que recientemente en Salesforce significa, que tiene varios aspectos que pulir, y además Salesforce limita su uso para estas validaciones biométricas (built-in authenticators) a dispositivos que cumplan el estándar FIDO2: Web Authentication (WebAuthn).

Personalmente, antes de abordar este escenario, deben estudiarse muchos aspectos: parque de dispositivos, versiones de sistemas operativos móviles, capacidad de dar soporte desde el proyecto a estas combinaciones, etc., es decir, mejor que esta funcionalidad madure y Salesforce la pueda testear ampliamente.

Depending on a user’s browser and operating system, built-in authenticators include Touch ID, Face ID, or Windows Hello.

«Esto supone un coste muy elevado para la gestión del cambio, entrenar a los usuarios, un volumen esperado de incidencias y mantenimiento posterior, etc.» Completamente de acuerdo.

Dicho esto, este artículo es muy interesante: https://www.upguard.com/blog/cost-of-data-breach

Enlaces interesantes

Te dejo aquí los otros 2 enlaces más interesantes que creo debes consultar:

Además, otros varios videos que recomiendo para introducirse en el tema y observar la experiencia del usuario y del administrador:

En los siguientes artículos de esta serie abordaré cuales son las capacidades del MFA de Salesforce, la experiencia de usuario y algún inconveniente que he encontrado.

Espero que sea de ayuda.

4 comentarios sobre “Salesforce MFA/2FA: mi experiencia

    1. Hola Jaime, muchas gracias por llegar aquí, en la documentación Salesforce comenta esto:

      Developer Edition and Partner Developer Edition environments:
      The MFA requirement does not apply to these environments. But we strongly recommend enabling MFA for DE orgs that include any customer data, intellectual property, or other Salesforce production data.

      Espero que haya respondido tu pregunta.

      Me gusta

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.