Vanaf 1 februari 2022 gaat Salesforce multifactor authenticatie verplicht stellen om toegang te krijgen tot de applicatie. In dit artikel geven we antwoord op de meest gestelde vragen, zodat je goed voorbereid bent op deze belangrijke wijziging.
Waarom kiest Salesforce voor multifactor authenticatie?
Met de toename van het aantal digitale dreigingen neemt ook de aandacht voor beveiliging toe. En dat is een goede zaak!
Een eerste stap in de beveiliging is het voorkomen van ongeautoriseerde toegang tot IT systemen. Het gebruiken van alleen een gebruikersnaam en een wachtwoord kan eigenlijk niet meer anno 2021. Wachtwoorden worden te vaak gedeeld, ‘gelekt’ of eenvoudig geraden door krachtige computers. Daarom gaat Salesforce met ingang van 1 februari 2022 multifactor authenticatie verplicht stellen. Dat betekent dat je je op tenminste twee manieren moet identificeren alvorens je bent ingelogd. Denk bijvoorbeeld aan het invoeren van een wachtwoord én een code uit een authenticatie app op je mobiele telefoon.
Wat betekent multifactor authenticatie?
Dit betekent dat je op meer dan één manier aantoont dat jij echt degene bent die probeert in te loggen. Een wachtwoord is de eerste ‘factor’ (iets wat je weet), een cijfercode via je mobiele telefoon is een tweede ‘factor’ (iets wat je hebt). Dit wordt ook wel tweestapsverificatie genoemd.
Ben ik als Salesforce klant verplicht om multifactor authenticatie te gebruiken?
Salesforce gaat dit vanaf 1 februari 2022 afdwingen. Ja dus. Het is verstandig om dit vóór 1 februari 2022 al te activeren en te communiceren met gebruikers. Activatie kan desgewenst stapsgewijs plaatsvinden, bijvoorbeeld per profiel.
Zijn er alternatieven?
Je zou gebruik kunnen maken van Single Sign On. Dat wil zeggen dat je met een geldige inlog op Microsoft of Google ook meteen in Salesforce kunt zonder dat er om een extra inlog wordt gevraagd. Single Sign On is vrij snel in te richten door een Salesforce beheerder in samenspraak met de beheerder van de Microsoft- of Google-omgeving. Zorg er dan wel voor dat inloggen in deze omgeving ook écht veilig is door ook daar multifactor authenticatie in te stellen, anders staat de achterdeur alsnog open!
Geldt multifactor authenticatie voor alle Salesforce accounts?
Nee, dit geldt alleen voor gebruikers die via een browser in de Salesforce applicatie willen werken. Accounts die worden gebruikt voor een integratie (bijv. met website of financieel systeem) vallen hier buiten. Ook gebruikers van een community (Experience Cloud) vallen hier buiten.
Welke manieren voor authenticatie zijn er?
Salesforce biedt drie mogelijkheden voor de extra authenticatie:
- De Salesforce Authenticator App
- Een andere Authenticator app (van Google of Microsoft)
- Een fysieke USB security key (bijvoorbeeld de Titan Security Key)
Het verzenden van codes via sms of e-mail vindt Salesforce niet veilig genoeg.
Wat raadt g-company aan als beste methode voor authenticatie?
g-company adviseert het gebruik van de Google- of Microsoft Authenticator app. De reden daarvoor is dat authenticatie dan vanaf meerdere apparaten mogelijk is. Dit is vooral handig wanneer een inlogaccount zoals ‘office manager’ door meer dan één persoon wordt gebruikt. Bij de Salesforce Authenticator app kan een account maar aan één apparaat gekoppeld worden voor verificatie.
Hoe maak ik authenticatie via meerdere apparaten mogelijk?
Zodra multifactor authenticatie actief is, zal bij de eerste inlogpoging gevraagd worden om een authenticatiemethode. Kies dan voor de Google- of Microsoft Authenticator app. Maak een schermafdruk van de QR-code die verschijnt, plak die in een document en deel het bestand alleen met degene die ook mag inloggen met het betreffende account. Zodra diegene wil inloggen kan hij/zij via een Authenticator app deze QR-code scannen.
Wat als mijn gebruikers geen smartphone hebben?
In dat geval zou je een smartphone of USB security key ter beschikking moeten stellen.
Wat als gebruikers hun telefoon of security key zijn vergeten?
In dat geval moeten ze contact opnemen met de applicatiebeheerder, die een tijdelijke toegangscode kan verstrekken.
Wat als de beheerder niet bereikbaar is?
g-company adviseert om tenminste twee beheerders aan te wijzen. Naast een interne beheerder zou dat de supportafdeling van g-company kunnen zijn, die tijdens kantooruren altijd bereikbaar is. Als de ene beheerder niet in Salesforce kan, kan de andere alsnog in actie komen. In het uiterste geval kan contact opgenomen worden met Salesforce support om toegang te verkrijgen.
Wat als een telefoon is kwijtgeraakt?
In dat geval kan de beheerder de authenticatiemethode resetten, zodat je je via een ander apparaat kunt aanmelden in Salesforce.
Hoe ga ik hier mee starten?
Salesforce heeft uitgebreide documentatie gepubliceerd, zoals deze compacte handleiding en dit filmpje. De applicatiebeheerder kan dit zelf oppakken, of contact opnemen met g-company voor advies en implementatie.
From February 1st, 2022, Salesforce will enforce multi-factor authentication to access the Salesforce application. In this article, we provide an answer to the most asked questions to make sure you are well prepared for this important change.
Why does Salesforce opt for multi-factor authentication?
With an increasing number of digital threats, the attention for security increases. Which is a good thing! A first step in the augmentation of security is preventing unauthorized access to IT systems.
In 2021, using just a username and password is not very secure anymore; passwords are shared too often, ‘leaked’ or simply ‘guessed’ by powerful computers. This is why Salesforce will enforce all its users to utilize multi-factor authentication from February 1st, 2022 onwards, which means you are required to identify yourself in two ways when signing in. This could be by using a password ánd a code using the authentication app on your mobile device.
What does multi-factor authentication mean?
This means that you show that you are really the person who is trying to sign in. A password is the first ‘factor’ (something you know), a digit code on your mobile phone is a second ‘factor’ (something you have). This is also referred to as ’two-step authentication’.
As a Salesforce customer, is it mandatory to start using multi-factor authentication?
Yes. You will be required to use this from February 1st, 2022. It is smart to anticipate on this in advance, and communicate with your users. Activation can also happen gradually, for instance per profile.
Are there alternatives?
You could make use of Single Sign On, which means you could log in using Google or Microsoft. This is done quite easily by the Salesforce and Google or Microsoft Administrators. Please make sure that signing in to either Google or Microsoft is secure as well, otherwise your backdoor is still open to cyber criminals!
Does multi-factor authentication apply to all Salesforce accounts?
No, MFA only applies to users that make use of the Salesforce application from their browsers. Accounts that are used for integration purposes (e.g. a website or financial system) are exempted, just like users of a community (Experience Cloud).
What ways of multi-factor authentication are available?
Salesforce offers three possibilities for multi-factor authentication:
- The Salesforce Authenticator App
- Other Authenticator apps (like Google or Microsoft)
- A physical USB security key (like the Titan Security Key)
Salesforce deems codes via email or text messages unsafe.
What way of multi-factor authentication does g-company recommend?
g-company recommends using another authenticator app, so either Google or Microsoft. Using these services, authentication is possible from multiple devices. This is mostly useful when a login account like ‘office manager’ is used by multiple people at the same time. On the contrary, using the Salesforce Authenticator app means that only one account can be connected with a single device for verification.
How do I enable authentication on multiple devices?
From the moment multi-factor authentication is enabled, you will be asked for an authentication method at the first login attempt. Choose for the Google or Microsoft Authenticator app. Make a screenshot of the QR code that appears, paste this in a document and share the file with the people that are allowed to sign in on this account. When this person tries to log in, he/she can use an authenticator app to scan the QR code.
What if my users do not have a smartphone?
In this case you should provide a smartphone or a USB security key.
What if users forget their smartphone or security key?
In this case they should reach out to the administrator, that can provide a temporary code to sign in without a smartphone or security key.
What if an admin cannot be reached?
g-company recommends to have at least two admins. Besides an internal administrator, this could be the support department of g-company, which can be reached during office hours. Hence, if one administrator cannot access Salesforce, there is always a backup admin plan. In case of emergency, you can always reach out to Salesforce support to get access.
What if a phone is lost?
In this case an admin can reset the authentication method, so you can use another device to sign in to Salesforce.
How do I get started?
Salesforce published extended documentation regarding this matter, like this compact manual and this video. The application administrator can implement MFA by him/herself, but it is also possible to reach out to g-company for advice and implementation.