月度归档: 2018 年 7 月

(用户认证)保护用户的身份

保护用户的身份

学习目标

完成本单元后,您将能够:

  • 除了用户名和密码之外,还要说明识别用户的方法。
  • 设置双因素身份验证。
  • 使用Salesforce Authenticator应用程序验证身份。
  • 获取有关登录组织的用户的登录信息。

通过双因素身份验证和Salesforce身份验证器实现安全身份

作为管理员,您可能需要确保Salesforce组织安全并且用户可以快速轻松地登录。保护组织的一种方法是要求用户提供的不仅仅是用户名和密码。安全专家将此称为双因素身份验证,简称为2FA。

注意

要完成本机中的任务,您需要运行Android或iOS的智能手机。

什么是双因素身份验证?

听起来像是一个数学方程,对吧?无论数学让你兴奋还是让你感到恐惧,只要知道2FA与高中代数无关。但它确保您的用户就是他们所说的人。
这两个因素是什么?
  • 用户知道的东西,比如他们的密码
  • 用户拥有的东西,例如安装了身份验证器应用程序的移动设备

2FA Something you know and something you have

第二个身份验证因素为您的组织提供了额外的安全保护。

作为管理员,您可以在每次用户登录时都要求它。或者您可以仅在某些情况下要求它,例如当用户从无法识别的设备登录或尝试访问高风险应用程序时。用户使用两个身份验证因素成功验证其身份后,他们可以访问Salesforce并开始工作。

听起来很酷?让我们看看它是如何工作的。

双因素身份验证的工作原理

您可能不知道它的名称,但您可能已经使用过双因素身份验证。每次从ATM取款时,您都会使用您拥有的东西(您的银行卡)以及您知道的东西(您的PIN码)。也许您已经在手机上安装了身份验证器应用程序。例如,您输入在登录某些在线帐户时从应用获得的验证码。此唯一代码有时称为基于时间的一次性密码(或简称TOTP),因为它在一段时间后过期。包括Salesforce和Google在内的多家供应商提供了生成这些时间敏感代码的应用程序。
SPOILER ALERT:如果您使用重新设计的Salesforce Authenticator移动应用程序(版本2或更高版本),则无需使用代码即可验证您的身份。我们稍后会谈到令人兴奋的发展。

这是一段视频,解释了如何使用Salesforce Authenticator通过双因素身份验证来保护Salesforce组织。

什么时候可以提示用户进行双因素身份验证?

 

在各种情况下,可以提示用户进行双因素身份验证。
  • 每次他们登录Salesforce时,包括API登录。
  • 他们访问连接的应用,信息中心或报告时。此过程称为升级或高保证身份验证。
  • 在自定义登录流程期间或在自定义应用程序中,例如,在阅读许可协议之前。稍后将详细介绍此主题。

为每次登录设置双因素身份验证

现在你已经了解了双因素身份验证的基础知识,让我们看看它的设置是多么容易。
假设您是Jedeye Technologies的Salesforce管理员,Jedeye Technologies是一家远在很远的银河系的公司。您的首席安全官已经向您发出了一项使命:每次他们尝试访问公司的Salesforce组织时,让所有员工提供的信息超过用户名和密码。

为了简单起见,让我们为新的Jedeye Technologies员工Sia Thripio设置双因素身份验证。在现实世界中,您可以为现有用户,新用户和用户配置文件设置双因素身份验证(2FA)。我们首先为2FA设置正确的会话安全级别,为Sia创建Salesforce帐户,然后设置2FA。

步骤1:设置双因素身份验证的会话安全级别

首先,让我们确保正确的安全级别与双因素身份验证登录方法相关联。在为任何管理员用户设置2FA要求之前执行此步骤非常重要。否则,您可能会阻止自己或其他管理员登录。

  1. 从“设置”中,在“快速查找”框中输入“会话设置”,然后选择 Session Settings.
  2. 在会话安全级别下,确保双因素身份验证属于高保证类别。

第2步:创建员工帐户

  1. 从“设置”中,在“快速查找”框中输入用户,然后选择 Users.
  2. 单击 New User.
  3. 对于名字和姓氏,分别输入Sia和Thripio。
  4. 在电子邮件字段中输入您的电子邮件地址此设置用于获取Sia的帐户通知。
  5. 为Sia创建用户名并在“用户名”字段中输入。它必须采用电子邮件地址格式,但不一定是有效的电子邮件地址。我们打算用sthripio@jedeye-tech.com。
  6. 编辑或接受昵称值。
  7. 对于User License,选择 Salesforce Platform.
  8. 对于Profile,选择 Standard Platform User.当您在这里时,取消选择接收Salesforce CRM内容警报的选项。不需要使用Salesforce中不必要的电子邮件来填充您的收件箱。
  9. 确保选中 Generate new password and notify user immediately – 它位于页面底部。 Salesforce会向您发送有关Sia新帐户的电子邮件,因为您在“电子邮件”字段中输入了您的电子邮件地址。
  10. 单击 Save. Salesforce会通过电子邮件向您发送验证帐户并设置Sia密码的链接。
  11. 以Sia身份登录,然后重置密码。

设置密码后,创建一个您将分配给Sia用户帐户的权限集。

步骤3:为双因素身份验证创建权限集

权限集是一组设置和权限,可让用户访问各种Salesforce功能,包括双因素身份验证。通常,您为一组用户创建权限集。但是对于这个例子,我们为Sia设置了一个。

  1. 如果您以Sia身份登录,请退出。以DE组织的系统管理员身份再次登录。
  2. 从“设置”中,在“快速查找”框中输入“权限”,然后选择 Permission Sets.
  3. 单击 New.
  4. 标记权限 “2fa Auth for User Logins”.
  5. 单击 Save.
  6. 在“系统”下,单击 System Permissions. 现在,您将进入2fa Auth for User Logins权限集的详细信息页面。
  7. 单击 Edit.
  8. 选择 Two-Factor Authentication for User Interface Logins.
  9. 单击 Save.

System Permissions你快到了!您只需要分配权限集。

第4步:将权限集分配给Sia的帐户

如果您不在新权限集的详细信息页面上,请返回该处。

  1. 在新权限集的详细信息页面上,单击 Manage Assignments.
  2. 单击 Add Assignments. 在用户列表中,选中Sia帐户旁边的复选框。 (如果需要,您一次最多可以分配1,000个用户。)
  3. 单击 Assign.

非常棒!您已为Sia设置双因素身份验证。当Sia登录时,除了用户名和密码之外,还提示她提供第二个身份验证因素。

但Sia使用什么作为第二个因素?在登录之前,她需要获取应用并将其连接到她的Salesforce用户帐户。

将Salesforce Authenticator移动应用程序连接到用户帐户

就像对云中的城市进行突击访问一样,要求双因素身份验证而不帮助用户获得第二个因素是一个坏主意。你可能不会被冻结并被俘虏,但是当你最不想要它们时,你可能会收到很多电话,就像你正在观看一部史诗般的电影。幸运的是,Salesforce使您可以轻松地帮助您的用户。只需让他们将免费的Salesforce Authenticator应用程序下载到他们的智能手机上并将其连接到他们的Salesforce帐户即可。
如果用户不立即下载应用程序,那不是灾难。在设置双因素身份验证要求后,首次登录时会提示他们这样做。

让我们的新员工Sia Thripio查看应用程序。获取您的Android或iOS智能手机并假装它是Sia的手机。您将下载Salesforce Authenticator应用程序并将其连接到Sia的帐户。

请注意,您将在以下步骤中在两台设备之间来回跳转。当您使用PHONE时,您在Salesforce Authenticator应用程序中作为Sia工作。当您使用DESKTOP时,您在Web浏览器中的Salesforce DE组织中以Sia身份登录。

  1. PHONE: 从App Store下载并安装适用于iOS的Salesforce Authenticator或从Google Play下载适用于Android的Salesforce Authenticator。
  2. PHONE: 点击应用程序图标以打开Salesforce Authenticator。
  3. DESKTOP: 如果您仍以系统管理员身份登录DE组织,请退出。
  4. DESKTOP: 使用Sia的用户名​​和密码登录.Salesforce会提示您将Salesforce Authenticator连接到Sia的帐户。

    Salesforce desktop login screen

  5. PHONE: 浏览简短的应用之旅,了解Salesforce Authenticator的工作原理。
  6. PHONE: 当您完成巡视后,输入Sia的手机号码以创建其帐户的备份。 Authenticator会向您发送一条带有链接的文本消息,以验证Sia的手机号码。收到短信后,点击该链接以打开Authenticator应用。该应用程序会提示您设置密码。如果她需要恢复帐户,Sia将使用此密码。如果您不想为Sia选择密码,她可以稍后设置备份。
  7. 点击+将Sia的帐户添加到Salesforce Authenticator。该应用程序显示一个双字短语。 (嘿,你有没有得到一个特别诗意或有趣的短语?让我们知道!#Trailhead #AwesomePhrase #SalesforceAuthenticator)
  8. DESKTOP: 在双字短语字段中输入短语。

    Salesforce Authenticator two-word phrase

  9. DESKTOP: 单击 Connect.
  10. PHONE: Salesforce Authenticator向您显示有关您正在连接的帐户的详细信息:Sia的用户名​​和服务提供商的名称 – 在本例中为Salesforce。

    Salesforce Authenticator connect account

  11. PHONE: 点击 Connect.
  12. PHONE: 点击 Approve 以Sia完成登录Salesforce。
  13. DESKTOP: Sia’s in! 她可以开展业务。

现在,每当有人登录Sia的帐户时,她都会在她的手机上收到通知。她打开应用程序并检查活动详细信息。如果一切正常,她只需点击手机上的Approve。如果她不认识这项活动,她会轻拍Deny来阻止它。

让我们仔细看看Salesforce Authenticator跟踪的数据。

  1. Salesforce Authenticator正在验证的操作。如果您设置更严格的安全性,其他操作可能会显示在此处。例如,当有人试图访问记录或仪表板时,您可能需要进行身份验证。此过程称为“升级”身份验证。
  2. 正在尝试登录的用户。
  3. 用户尝试访问的服务。您可以将Salesforce Authenticator与LastPass密码管理器和其他需要更强身份验证的服务一起使用。
  4. 正在进行登录尝试的设备或浏览器。
  5. 手机的位置。

Salesforce Authenticator datapoints

自动化身份验证过程

假设Sia定期从同一个地方(办公室,她的家,或她最喜欢的,昏暗的咖啡馆)登录。攻略批准可能会在一段时间后变老。如果她让Salesforce Authenticator使用她的手机的位置服务,她可以告诉应用程序在她位于特定位置时自动验证她的活动。换句话说,如果一切正常,她甚至不必将手机从口袋里拿出来。她无形地完成了双因素身份验证。

我们来试试吧。

  1. DESKTOP: 退出Sia的帐户,然后再次以Sia身份登录。
  2. PHONE: 在提示符下,选择 Always verify from here.
  3. DESKTOP: 退出Sia的帐户并重新登录。瞧!系统不会提示您输入密码。 Salesforce Authenticator认识到Sia使用相同的设备并在同一位置再次登录到她的Salesforce帐户。访问自动授予!

每当Sia尝试从其他位置登录时,她都可以将该位置添加到受信任位置的Salesforce Authenticator列表中。要查看列表和其他帐户详细信息,Sia会选择打开帐户详细信息页面的信息图标。

Salseforce Authenticator account information

帐户详细信息页面列出了受信任位置和登录活动历史。已验证活动显示Salesforce Authenticator已验证Sia登录Salesforce的次数。自动化显示Salesforce Authenticator从受信任位置自动记录Sia的次数。

Salesforce Authenticator account details

如果Sia不再信任某个地点怎么办?简单。她向左挥手。通过选择Salesforce Authenticator设置 Salesforce Authenticator settings icon然后选择 Clear Trusted Locations,她可以立即清除所有受信任位置。

有时自动验证不起作用,例如数据连接中断时。不是问题。 Sia只输入Salesforce Authenticator显示的代码。

想要仅将用户的自动验证限制为可信IP地址,例如您的公司网络?还是完全阻止他们?您可以。以管理员身份登录后,转到您的组织会话设置并更改允许的内容。

Session Settings that control location-based automated verifications

如果Sia失去她的手机会发生什么?

好问题。如您所知,用户在沙漠行星上坠毁或被淹没并丢失手机。一直发生。如果Sia丢失了她的手机,获得了新手机,或意外删除了Salesforce Authenticator,她有一些选择。 Sia可以从她之前制作的备份中恢复帐户,也可以为她重置双因素身份验证。
如果Sia在她的Salesforce Authenticator应用程序中启用了帐户备份,那么她的状态非常好。她所要做的就是在她的新手机上重新安装Salesforce Authenticator。当她打开应用程序时,她会看到从备份中恢复帐户的选项。 Sia输入她备份帐户时使用的密码,她的帐户重新出现在她的手机上。

如果Sia没有备份她的帐户怎么办?以下是您可以提供的帮助。

  1. 以管理员身份登录。
  2. 从“设置”中,在“快速查找”框中输入用户,然后选择 Users.
  3. 单击Sia的名称。
  4. 在Sia的用户详细信息页面上,单击App Registration: Salesforce Authenticator旁边的Disconnect

下次Sia登录时,如果她没有连接其他验证方法,则会提示她再次连接Salesforce Authenticator。

看谁登录你的组织

管理员工作的一个重要部分是知道谁登录到您的组织。这就是身份验证历史的用途。
  1. 以DE组织的系统管理员身份登录。
  2. 从“设置”中,在“快速查找”框中输入“验证”,然后选择 Identity Verification History.

查看“位置”列。 它默认为用户的国家/地区,但您可以通过创建自定义视图来获取更多详细信息。

Identity verification history

恭喜,管理员! 您已设置2FA并允许用户使用它登录Salesforce。 我们建议您为用户探索其他2FA选项,例如U2F安全密钥,它们是第二个因素,不需要移动电话。 让我们在下一个单元“使用我的域自定义登录过程”中了解有关如何更好地控制登录过程的更多信息。