保护用户的身份
学习目标
完成本单元后,您将能够:
- 除了用户名和密码之外,还要说明识别用户的方法。
- 设置双因素身份验证。
- 使用Salesforce Authenticator应用程序验证身份。
- 获取有关登录组织的用户的登录信息。
通过双因素身份验证和Salesforce身份验证器实现安全身份
注意
要完成本机中的任务,您需要运行Android或iOS的智能手机。
什么是双因素身份验证?
这两个因素是什么?
- 用户知道的东西,比如他们的密码
- 用户拥有的东西,例如安装了身份验证器应用程序的移动设备
第二个身份验证因素为您的组织提供了额外的安全保护。
作为管理员,您可以在每次用户登录时都要求它。或者您可以仅在某些情况下要求它,例如当用户从无法识别的设备登录或尝试访问高风险应用程序时。用户使用两个身份验证因素成功验证其身份后,他们可以访问Salesforce并开始工作。
听起来很酷?让我们看看它是如何工作的。
双因素身份验证的工作原理
SPOILER ALERT:如果您使用重新设计的Salesforce Authenticator移动应用程序(版本2或更高版本),则无需使用代码即可验证您的身份。我们稍后会谈到令人兴奋的发展。
这是一段视频,解释了如何使用Salesforce Authenticator通过双因素身份验证来保护Salesforce组织。
什么时候可以提示用户进行双因素身份验证?
- 每次他们登录Salesforce时,包括API登录。
- 他们访问连接的应用,信息中心或报告时。此过程称为升级或高保证身份验证。
- 在自定义登录流程期间或在自定义应用程序中,例如,在阅读许可协议之前。稍后将详细介绍此主题。
为每次登录设置双因素身份验证
现在你已经了解了双因素身份验证的基础知识,让我们看看它的设置是多么容易。
假设您是Jedeye Technologies的Salesforce管理员,Jedeye Technologies是一家远在很远的银河系的公司。您的首席安全官已经向您发出了一项使命:每次他们尝试访问公司的Salesforce组织时,让所有员工提供的信息超过用户名和密码。
为了简单起见,让我们为新的Jedeye Technologies员工Sia Thripio设置双因素身份验证。在现实世界中,您可以为现有用户,新用户和用户配置文件设置双因素身份验证(2FA)。我们首先为2FA设置正确的会话安全级别,为Sia创建Salesforce帐户,然后设置2FA。
步骤1:设置双因素身份验证的会话安全级别
首先,让我们确保正确的安全级别与双因素身份验证登录方法相关联。在为任何管理员用户设置2FA要求之前执行此步骤非常重要。否则,您可能会阻止自己或其他管理员登录。
- 从“设置”中,在“快速查找”框中输入“会话设置”,然后选择 Session Settings.
- 在会话安全级别下,确保双因素身份验证属于高保证类别。
第2步:创建员工帐户
- 从“设置”中,在“快速查找”框中输入用户,然后选择 Users.
- 单击 New User.
- 对于名字和姓氏,分别输入Sia和Thripio。
- 在电子邮件字段中输入您的电子邮件地址此设置用于获取Sia的帐户通知。
- 为Sia创建用户名并在“用户名”字段中输入。它必须采用电子邮件地址格式,但不一定是有效的电子邮件地址。我们打算用sthripio@jedeye-tech.com。
- 编辑或接受昵称值。
- 对于User License,选择 Salesforce Platform.
- 对于Profile,选择 Standard Platform User.当您在这里时,取消选择接收Salesforce CRM内容警报的选项。不需要使用Salesforce中不必要的电子邮件来填充您的收件箱。
- 确保选中 Generate new password and notify user immediately – 它位于页面底部。 Salesforce会向您发送有关Sia新帐户的电子邮件,因为您在“电子邮件”字段中输入了您的电子邮件地址。
- 单击 Save. Salesforce会通过电子邮件向您发送验证帐户并设置Sia密码的链接。
- 以Sia身份登录,然后重置密码。
设置密码后,创建一个您将分配给Sia用户帐户的权限集。
步骤3:为双因素身份验证创建权限集
权限集是一组设置和权限,可让用户访问各种Salesforce功能,包括双因素身份验证。通常,您为一组用户创建权限集。但是对于这个例子,我们为Sia设置了一个。
- 如果您以Sia身份登录,请退出。以DE组织的系统管理员身份再次登录。
- 从“设置”中,在“快速查找”框中输入“权限”,然后选择 Permission Sets.
- 单击 New.
- 标记权限 “2fa Auth for User Logins”.
- 单击 Save.
- 在“系统”下,单击 System Permissions. 现在,您将进入2fa Auth for User Logins权限集的详细信息页面。
- 单击 Edit.
- 选择 Two-Factor Authentication for User Interface Logins.
- 单击 Save.
你快到了!您只需要分配权限集。
第4步:将权限集分配给Sia的帐户
如果您不在新权限集的详细信息页面上,请返回该处。
- 在新权限集的详细信息页面上,单击 Manage Assignments.
- 单击 Add Assignments. 在用户列表中,选中Sia帐户旁边的复选框。 (如果需要,您一次最多可以分配1,000个用户。)
- 单击 Assign.
非常棒!您已为Sia设置双因素身份验证。当Sia登录时,除了用户名和密码之外,还提示她提供第二个身份验证因素。
但Sia使用什么作为第二个因素?在登录之前,她需要获取应用并将其连接到她的Salesforce用户帐户。
将Salesforce Authenticator移动应用程序连接到用户帐户
如果用户不立即下载应用程序,那不是灾难。在设置双因素身份验证要求后,首次登录时会提示他们这样做。
让我们的新员工Sia Thripio查看应用程序。获取您的Android或iOS智能手机并假装它是Sia的手机。您将下载Salesforce Authenticator应用程序并将其连接到Sia的帐户。
请注意,您将在以下步骤中在两台设备之间来回跳转。当您使用PHONE时,您在Salesforce Authenticator应用程序中作为Sia工作。当您使用DESKTOP时,您在Web浏览器中的Salesforce DE组织中以Sia身份登录。
- PHONE: 从App Store下载并安装适用于iOS的Salesforce Authenticator或从Google Play下载适用于Android的Salesforce Authenticator。
- PHONE: 点击应用程序图标以打开Salesforce Authenticator。
- DESKTOP: 如果您仍以系统管理员身份登录DE组织,请退出。
- DESKTOP: 使用Sia的用户名和密码登录.Salesforce会提示您将Salesforce Authenticator连接到Sia的帐户。
- PHONE: 浏览简短的应用之旅,了解Salesforce Authenticator的工作原理。
- PHONE: 当您完成巡视后,输入Sia的手机号码以创建其帐户的备份。 Authenticator会向您发送一条带有链接的文本消息,以验证Sia的手机号码。收到短信后,点击该链接以打开Authenticator应用。该应用程序会提示您设置密码。如果她需要恢复帐户,Sia将使用此密码。如果您不想为Sia选择密码,她可以稍后设置备份。
- 点击+将Sia的帐户添加到Salesforce Authenticator。该应用程序显示一个双字短语。 (嘿,你有没有得到一个特别诗意或有趣的短语?让我们知道!#Trailhead #AwesomePhrase #SalesforceAuthenticator)
- DESKTOP: 在双字短语字段中输入短语。
- DESKTOP: 单击 Connect.
- PHONE: Salesforce Authenticator向您显示有关您正在连接的帐户的详细信息:Sia的用户名和服务提供商的名称 – 在本例中为Salesforce。
- PHONE: 点击 Connect.
- PHONE: 点击 Approve 以Sia完成登录Salesforce。
- DESKTOP: Sia’s in! 她可以开展业务。
现在,每当有人登录Sia的帐户时,她都会在她的手机上收到通知。她打开应用程序并检查活动详细信息。如果一切正常,她只需点击手机上的Approve。如果她不认识这项活动,她会轻拍Deny来阻止它。
让我们仔细看看Salesforce Authenticator跟踪的数据。
- Salesforce Authenticator正在验证的操作。如果您设置更严格的安全性,其他操作可能会显示在此处。例如,当有人试图访问记录或仪表板时,您可能需要进行身份验证。此过程称为“升级”身份验证。
- 正在尝试登录的用户。
- 用户尝试访问的服务。您可以将Salesforce Authenticator与LastPass密码管理器和其他需要更强身份验证的服务一起使用。
- 正在进行登录尝试的设备或浏览器。
- 手机的位置。
自动化身份验证过程
我们来试试吧。
- DESKTOP: 退出Sia的帐户,然后再次以Sia身份登录。
- PHONE: 在提示符下,选择 Always verify from here.
- DESKTOP: 退出Sia的帐户并重新登录。瞧!系统不会提示您输入密码。 Salesforce Authenticator认识到Sia使用相同的设备并在同一位置再次登录到她的Salesforce帐户。访问自动授予!
每当Sia尝试从其他位置登录时,她都可以将该位置添加到受信任位置的Salesforce Authenticator列表中。要查看列表和其他帐户详细信息,Sia会选择打开帐户详细信息页面的信息图标。
帐户详细信息页面列出了受信任位置和登录活动历史。已验证活动显示Salesforce Authenticator已验证Sia登录Salesforce的次数。自动化显示Salesforce Authenticator从受信任位置自动记录Sia的次数。
如果Sia不再信任某个地点怎么办?简单。她向左挥手。通过选择Salesforce Authenticator设置 
然后选择 Clear Trusted Locations,她可以立即清除所有受信任位置。
有时自动验证不起作用,例如数据连接中断时。不是问题。 Sia只输入Salesforce Authenticator显示的代码。
想要仅将用户的自动验证限制为可信IP地址,例如您的公司网络?还是完全阻止他们?您可以。以管理员身份登录后,转到您的组织会话设置并更改允许的内容。
如果Sia失去她的手机会发生什么?
如果Sia在她的Salesforce Authenticator应用程序中启用了帐户备份,那么她的状态非常好。她所要做的就是在她的新手机上重新安装Salesforce Authenticator。当她打开应用程序时,她会看到从备份中恢复帐户的选项。 Sia输入她备份帐户时使用的密码,她的帐户重新出现在她的手机上。
如果Sia没有备份她的帐户怎么办?以下是您可以提供的帮助。
- 以管理员身份登录。
- 从“设置”中,在“快速查找”框中输入用户,然后选择 Users.
- 单击Sia的名称。
- 在Sia的用户详细信息页面上,单击App Registration: Salesforce Authenticator旁边的Disconnect
下次Sia登录时,如果她没有连接其他验证方法,则会提示她再次连接Salesforce Authenticator。
看谁登录你的组织
- 以DE组织的系统管理员身份登录。
- 从“设置”中,在“快速查找”框中输入“验证”,然后选择 Identity Verification History.
查看“位置”列。 它默认为用户的国家/地区,但您可以通过创建自定义视图来获取更多详细信息。
恭喜,管理员! 您已设置2FA并允许用户使用它登录Salesforce。 我们建议您为用户探索其他2FA选项,例如U2F安全密钥,它们是第二个因素,不需要移动电话。 让我们在下一个单元“使用我的域自定义登录过程”中了解有关如何更好地控制登录过程的更多信息。