Esta es una historia de una transición suave de MFA. Más suave de lo que todos creíamos posible. Y como con cualquier historia, comenzaremos con…
Érase una vez, mi colega Mike (también conocido como agente Gill) y yo trabajábamos en un proyecto que implicaba una transición a Azure Active Directory para el cliente de correo electrónico y SSO en todas las aplicaciones. Esta vez, tuvimos el privilegio de trabajar en este proyecto con otro miembro del Salón de la Fama MVP de Salesforce, Natalie Gunther.
Natalie defendió la habilitación de Salesforce MFA con Azure Active Directory configurado como SSO para una aplicación interna de Salesforce, por lo que sabíamos que estábamos en buenas manos, especialmente porque enfatizó la importancia de probar esto; como con cualquier cosa relacionada con la autorización… bueno, ¡puede complicarse!
¡Gracias, Natalie, por lo que creo que es una de las habilitaciones de MFA de Salesforce más fluidas jamás realizadas! Pensamos que valía la pena compartir esta experiencia placentera (y, sinceramente, inesperada ) con otras personas que pueden estar enfrentando transiciones similares. Entonces, le pedimos a Natalie que compartiera sus ideas, preparación y pasos con nosotros.
En esta publicación, Natalie lo guiará a través del proceso, compartirá sus mejores prácticas, consejos y lecciones aprendidas de esto. ¡Esperamos que disfrutes del viaje!
Última versión de MFA de Salesforce: nuestras pruebas y revisión
La comunidad de usuarios esperaba con ansias el último lanzamiento de autenticación multifactor (MFA) de Salesforce, ya que promete proporcionar una capa adicional de seguridad para protegerse contra el acceso no autorizado. En esta publicación, compartiré nuestra experiencia probando esta nueva función y nuestras opiniones sobre su implementación.
La preparación es clave
Sabíamos que Salesforce planeaba lanzar automáticamente la función MFA pronto, así que queríamos estar preparados. Antes del lanzamiento, hicimos una lista (y la verificamos dos veces) de todos los sistemas e inicios de sesión que queríamos probar, incluidos los de nuestras integraciones. Es importante tener en cuenta que se supone que MFA solo se aplica a los inicios de sesión que no son de API, pero queríamos estar seguros de que nuestras integraciones continuarían funcionando sin ningún problema.
Pruebas en Sandbox
Para probar la función MFA, creamos un entorno de espacio aislado donde podíamos ejecutar nuestras pruebas de manera segura. Mantuvimos a un par de usuarios en la lista de excepciones, lo que hicimos al crear un conjunto de permisos "Renunciar a MFA". Esto nos permitió probar la función MFA en usuarios específicos sin afectar al resto de la organización.
- Agregamos algunos administradores a este conjunto de permisos.
- Activamos la configuración global (en nuestro sandbox).
- Hicimos que algunos usuarios probaran iniciar sesión en la zona de pruebas para ver qué mensajes recibían.
- Luego revisamos nuestra lista de escenarios para probar todas nuestras integraciones.
- Luego eliminamos este conjunto de permisos de nuestro administrador para poder probar la capacidad de un administrador para iniciar sesión.
Todo funcionó a la perfección, por lo que completamos el mismo proceso en producción, probando uno por uno y luego agregando la prueba SSO.
Integración de inicio de sesión único
También tenemos habilitada la función de inicio de sesión único (SSO), por lo que queríamos ver cómo funcionaría MFA con ella. Nuestro objetivo era asegurarnos de que la función MFA se integrara perfectamente con nuestro sistema SSO y no interrumpiera el flujo de trabajo de nuestros usuarios.
Implementación perfecta
Al final, descubrimos que la función MFA funcionó a la perfección. Solo avisó a los usuarios que no usaron SSO y dio instrucciones claras sobre cómo configurar la función MFA. No experimentamos ninguna interrupción en la integración y nuestros usuarios pudieron continuar trabajando sin cambios significativos en su flujo de trabajo diario.
[CONSEJO PROFESIONAL] : Tenía otro cliente que no quería descargar el autenticador de Salesforce y eso les impedía iniciar sesión porque sentían que las instrucciones no eran claras sobre cómo usar un autenticador diferente como Microsoft o Google. Hay un pequeño enlace en la parte inferior, pero es posible que los usuarios no lo noten. Además, es útil hacerles saber que PUEDEN usar otros autenticadores, pero el autenticador de Salesforce es bueno porque muestra la solicitud cuando intenta iniciar sesión. Esto puede ahorrarles la molestia de abrir su autenticador y escribir la clave, pero la compensación es que tienen que descargar otra aplicación en su dispositivo móvil.
Recomendamos monitorear los inicios de sesión durante los meses posteriores a la implementación para estar atento a aquellos usuarios que están frustrados o que quizás no leyeron sus correos electrónicos de preparación. Puede ayudar a detectarlos ejecutando un informe del historial de inicio de sesión y buscando cualquier abandono después de activar MFA. El historial de inicio de sesión es limitado, así que asegúrese de monitorearlos de inmediato.
En general, estamos satisfechos con la última versión de MFA de Salesforce. Proporciona una capa adicional de seguridad a nuestra organización y nos da la tranquilidad de saber que nuestros sistemas son más seguros. Agradecemos que la implementación haya sido fluida y no haya causado ninguna interrupción significativa en nuestra organización. Recomendamos que otras organizaciones se tomen el tiempo de probar la función MFA y asegurarse de que funcione con sus sistemas e integraciones existentes.
También puede consultar la página de ayuda de Salesforce para obtener más información: https://help.salesforce.com/s/articleView?id=000389361&type=1.
¿Ya hizo la transición a MFA?
¿Cuál es tu configuración?
¿Como le fue?
Una vez más, un agradecimiento súper especial a Natalie por esta entrada y por su constante esfuerzo por mejorar todo lo que hace. Es un placer trabajar contigo, de Mike & I.
Puedes ver más de sus aventuras en:
www.CatalysTech.solutions o www.twitter.com/gnatrae
…
Esta es una traducción realizada por EGA Futura, y este es el link a la publicación original: https://salesforceweek.ly/2023/03/salesforce-mfa-with-azure-active-directory.html