Proteger la identidad de los usuarios Salesforce

Objetivos de aprendizaje

Después de completar este módulo, podrá:

  • Configurar la autenticación de múltiples factores para sus usuarios.
  • Utilizar la aplicación Salesforce Authenticator para los inicios de sesión con MFA.
  • Obtener información de inicio de sesión de los usuarios que inician sesión en su organización.

Proteger el acceso a las cuentas con la autenticación de múltiples factores y Salesforce Authenticator

Como administrador, pasará por una fina línea entre garantizar la protección de la organización de Salesforce y permitir que sus usuarios inicien sesión de forma rápida y sencilla. La forma más efectiva de proteger su organización y sus datos es requerir que los usuarios proporcionen algo más que su nombre de usuario y contraseña. Los expertos en seguridad llaman a esto autenticación de múltiples factores o MFA para abreviar.

Nota

Para completar las tareas de esta unidad, necesita un dispositivo móvil con Android o iOS.

¿Qué es la autenticación de múltiples factores?

Parece una ecuación matemática, ¿verdad? Con independencia de que las matemáticas le fascinen o le aterroricen, debe saber que MFA no tiene nada que ver con la álgebra que estudió en su día. Esta autenticación está estrechamente relacionada con garantizar que los usuarios son quienes dicen ser.

A propósito, es posible que esté más familiarizado con los términos de la autenticación de dos factores o 2FA. ¡No se preocupe! Aunque 2FA es un subconjunto de MFA, en realidad estamos hablando de la misma cosa.

Así que, ¿qué son exactamente los factores múltiples? Son diferentes tipos de pruebas que proporcionan los usuarios cuando inician sesión para confirmar sus identidades.

  • Un factor es algo que saben los usuarios. Para inicios de sesión en Salesforce, se trata de una combinación de nombre de usuario y contraseña.
  • Otros factores son métodos de verificación que tiene un usuario en su posesión, como un dispositivo móvil con una aplicación de autenticación instalada o una llave de seguridad física.

2FA algo que sabe y algo que tiene

Puede que no sepa cómo se llama, pero es probable que ya haya usado la autenticación de múltiples factores. Cada vez que obtiene dinero de un cajero automático, usa algo que tiene (su tarjeta bancaria) más algo que conoce (su PIN). 

Requerir otro factor además de un nombre de usuario y contraseña agrega una capa adicional e importante de seguridad para su organización. Incluso si se pierde la contraseña de un usuario, es muy poco probable que un atacante pueda adivinar o suplantar un factor que un usuario posea físicamente.

¿No le parece una excelente idea? Veamos cómo funciona.

Cómo funciona la autenticación de múltiples factores

MFA agrega un paso adicional a su proceso de inicio de sesión en Salesforce.

  1. Un usuario ingresa su nombre de usuario y contraseña como hace normalmente.
  2. Luego se solicita al usuario que proporcione uno de los métodos de verificación que admite Salesforce.

Puede permitir cualquiera o todos estos métodos de verificación:

Salesforce AuthenticatorUna aplicación móvil gratuita que se integra sin problemas en su proceso de inicio de sesión. Los usuarios pueden verificar rápidamente sus identidades a través de notificaciones distribuidas. En breve hablaremos más sobre esta aplicación.
Aplicaciones de autenticación TOTP externasAplicaciones que generan códigos de verificación temporales que los usuarios ingresan cuando se les solicita. Este código se denomina en ocasiones una contraseña simultánea basada en tiempo, o TOTP de manera abreviada. Los usuarios pueden elegir entre una gran variedad de opciones, incluyendo Google Authenticator, Microsoft Authenticator o Authy.
Llaves de seguridadTokens físicos pequeños que tienen el aspecto de una llave USB. Iniciar sesión con esta opción es rápido y sencillo: los usuarios solo tienen que conectar la llave a sus equipos y pulsar el botón de la llave para verificar sus identidades. Los usuarios pueden utilizar cualquier llave de seguridad que sea compatible con los estándares FIDO Universal Second Factor U2F, como YubiKey de Yubico o Titan Key de Google.

¿Cuándo se solicita a los usuarios la autenticación de múltiples factores?

Cuando activa MFA, se requiere a los usuarios que proporcionen múltiples factores cada vez que inician sesión. Puede establecer este requisito para inicios de sesión en la interfaz de usuario, inicios de sesión en la API, o ambos. 

Para aumentar la seguridad aún más, puede agregar un requisito de MFA para circunstancias adicionales:

  • Cuando los usuarios acceden a una aplicación, tablero o reporte. Este proceso se llama autenticación de nivel superior o alta seguridad.
  • Durante un flujo de inicio de sesión personalizado o en una aplicación personalizada (por ejemplo, antes de leer un contrato de licencia). Obtendrá más información sobre este tema más adelante en la ruta.

Activar autenticación de múltiples factores para cada inicio de sesión

Ya que domina los fundamentos de la autenticación de múltiples factores, veamos lo fácil que es configurar un requisito de MFA para sus usuarios.
A continuación puede ver un video que muestra cómo activar MFA y configurar Salesforce Authenticator como un segundo factor para los inicios de sesión con MFA.

Pasemos ahora por un ejemplo suyo propio. Suponga que es un administrador de Salesforce para Jedeye Technologies, una compañía no ubicada en una lejana galaxia. El responsable máximo de la seguridad le ha encomendado una misión: lograr que todos los empleados proporcionen algo más que su nombre de usuario y contraseña cada vez que inicien sesión en la organización de Salesforce de la compañía.


Empiece desde abajo activando MFA para una nueva empleada de Jedeye Technologies, Sia Thripio. Puede emplear los comentarios de Sia sobre su experiencia para asegurarse de que lo tiene todo cubierto cuando pase a la acción con el resto de los empleados de Jedeye. Empiece asegurándose de que el nivel de seguridad de la sesión está establecido para MFA y luego cree un usuario de Salesforce para Sia y active MFA para su cuenta.

Paso 1: Verificar que el nivel de seguridad de la sesión está establecido para la autenticación de múltiples factores

En primer lugar, asegurémonos de que el nivel de seguridad correcto está asociado con el método de inicio de sesión de la autenticación de múltiples factores.  En la mayoría de las organizaciones de producción, este parámetro ya está vigente. Pero en caso contrario, es importante llevar a cabo este paso antes de configurar un requisito de MFA para cualquier usuario de administración. De lo contrario, puede evitar que tanto usted como otros administradores inicien sesión.

  1. En Configuración, ingrese Configuración de la sesión en el cuadro Búsqueda rápida, luego seleccione Configuración de la sesión.
  2. En Niveles de seguridad de sesión, asegúrese de que la Autenticación de múltiples factores está en la categoría Alta seguridad.

Paso 2: Crear un usuario

  1. En Configuración, ingrese Usuarios en el cuadro Búsqueda rápida y, a continuación, seleccione Usuarios.
  2. Haga clic en Nuevo usuario.
  3. En el caso del nombre y el apellido, ingrese Sia y Thripio respectivamente.
  4. Ingrese su dirección de email en el campo Email. Esta opción se usa para obtener notificaciones de usuario para Sia.
  5. Cree un nombre de usuario para Sia e ingréselo en el campo Nombre de usuario. Debe tener el formato de dirección de email, pero no es necesario que sea una dirección de email que funcione. Asegúrese de que la dirección de email es exclusiva en su Trailhead Playground. Vamos a utilizar la primera inicial de Sia, el apellido y la fecha actual en el nombre de usuario de esta forma: SThripio.12202020@jedeye-tech.com.
  6. Modifique o acepte el valor de apodo.
  7. Para la licencia de usuario, seleccione Plataforma de Salesforce.
  8. Para el perfil, seleccione Usuario de Platform estándar. Desde aquí, anule la selección de las opciones para recibir alertas de contenido de Salesforce CRM. No es necesario llenar la bandeja de entrada con email innecesario de Salesforce.
  9. Asegúrese de que Generar nueva contraseña y notificar al usuario inmediatamente se ha seleccionado al final de la página. Salesforce le envía un email sobre el nuevo usuario de Sia, ya que ha ingresado su dirección de email en el campo Email.
  10. Haga clic en Guardar. Salesforce le envía un email con un vínculo para verificar el usuario y establecer la contraseña de Sia.
    Nota: Si aparece un error que indica que el nombre de usuario ya existe, cree un usuario con un nombre diferente.
  11. Inicie sesión como Sia y restablezca la contraseña.

Después de establecer la contraseña, es el momento de activar MFA para la cuenta de usuario de Sia.

Paso 3: Crear un conjunto de permisos para la autenticación de múltiples factores

Active MFA para los usuarios asignando el permiso de usuario Autenticación de múltiples factores para inicios de sesión de interfaz de usuario. Puede realizar este paso modificando los perfiles o creando un conjunto de permisos que asigne a usuarios específicos.

Un conjunto de permisos es una colección de configuraciones y permisos que ofrece a los usuarios acceso a varias funciones de Salesforce. Creemos un conjunto de permisos con el permiso MFA.

  1. Si ha iniciado sesión como Sia, cierre la sesión. Vuelva a iniciar sesión como administrador del sistema de su organización Trailhead Playground.
  2. En Configuración, ingrese Permiso en el cuadro Búsqueda rápida y, a continuación, seleccione Conjuntos de permisos.
  3. Haga clic en Nuevo.
  4. Etiquete el conjunto de permisos como “Autorización MFA para inicios de sesión de usuarios”.
  5. Haga clic en Guardar.
  6. Bajo Sistema, haga clic en Permisos del sistema.
    Ahora se encuentra en la página de detalles del conjunto de permisos Autorización MFA para inicios de sesión de usuarios.
  7. Haga clic en Modificar.
  8. Seleccione Autenticación de múltiples factores en los inicios de sesión de la interfaz de usuario.
  9. Haga clic en Guardar y, a continuación, vuelva a hacer clic en Guardar para confirmar los cambios en los permisos.

 Casi ha terminado. Solo necesita asignar el conjunto de permisos.

Paso 4: Asignar el conjunto de permisos al usuario de Sia

Por ahora asignaremos el conjunto de permisos solo a Sia. Más adelante, cuando esté listo para implantar MFA de manera más amplia, podrá asignar el mismo conjunto de permisos a otros usuarios.

Si no se encuentra en la página de detalles para el nuevo conjunto de permisos, vuelva a esta ubicación.

  1. En la página de detalles del nuevo conjunto de permisos, haga clic en Gestionar asignaciones.
  2. Haga clic en Agregar asignaciones. En la lista de usuarios, seleccione la casilla de verificación junto al usuario de Sia. (Si lo desea, puede asignar hasta 1000 usuarios a la vez).
  3. Haga clic en Asignar.

¡Estupendo! Activó la autenticación de múltiples factores para Sia. La próxima vez que Sia inicie sesión, se le pedirá que proporcione un método de verificación como segundo factor, además de su nombre de usuario y contraseña.

¿Cómo establece Sia un método de verificación? Veámoslo a continuación.

Cómo registran los usuarios Salesforce Authenticator para los inicios de sesión con MFA

Como en el caso de una visita no anunciada a una ciudad en las nubes, es una mala idea requerir la autenticación de múltiples factores sin ayudar a los usuarios a obtener al menos un método de verificación. Probablemente no sufra ninguna congelación ni lo retengan como prisionero, pero es posible que reciba infinidad de llamadas cuando menos lo desea, como cuando está viendo una película animada de aventuras. Por suerte, Salesforce le permite ayudar fácilmente a los usuarios. Solo tiene que pedirles que descarguen una aplicación de autenticación en sus dispositivos móviles y la conecten a sus cuentas de Salesforce. 

No ocurrirá ningún desastre si los usuarios no descargan una aplicación de inmediato. Se les pedirá que registren un método de verificación cuando inicien sesión por primera vez después de activar el requisito de MFA.

Sia Thripio, nuestra nueva empleada, desea utilizar la aplicación móvil Salesforce Authenticator de modo que pueda aprovechar la interesante función de notificación distribuida para una rápida autenticación. Veamos cómo funciona el proceso de registro e inicio de sesión. Use su dispositivo móvil con Android o iOS como si fuera el teléfono de Sia. Va a descargar la aplicación Salesforce Authenticator y conectarla a la cuenta de Salesforce de Sia.

Tenga en cuenta que tendrá que cambiar entre dos dispositivos en los siguientes pasos. En su TELÉFONO, trabaja como Sia en la aplicación Salesforce Authenticator. En su ESCRITORIO, inicia sesión como Sia en su Trailhead Playground en un navegador.

  1. TELÉFONO: Descargue e instale Salesforce Authenticator para iOS desde App Store o Salesforce Authenticator para Android desde Google Play.
  2. Toque el icono de aplicación para abrir Salesforce Authenticator.
  3. ESCRITORIO: Si aún está activo el inicio de sesión en su Trailhead Playground como administrador del sistema, cierre la sesión.
  4. ESCRITORIO: Utilice el nombre de usuario y la contraseña de Sia para iniciar sesión.Pantalla de inicio de sesión en escritorio de Salesforce
  5. ESCRITORIO: Salesforce le solicita que conecte Salesforce Authenticator con la cuenta de Sia.
  6. TELÉFONO: Eche un vistazo al recorrido por la aplicación para saber cómo funciona Salesforce Authenticator.
  7. TELÉFONO: Ingrese el número de teléfono celular de Sia (el suyo) para crear una copia de seguridad de las cuentas que están conectadas con Salesforce Authenticator. Luego toque la notificación cuando se le solicite completar la verificación. Puede omitir la creación de un código de aprobación por ahora. (Más adelante Sia puede crear un código de aprobación si desea configurar una copia de seguridad para restaurar sus cuentas.)
  8. Toque la flecha para agregar la cuenta de Sia a Salesforce Authenticator. La aplicación muestra una frase de dos palabras. (¿Se le ocurre alguna frase especialmente poética o ingeniosa? ¡Díganos cuál es! #Trailhead #FraseFormidable #SalesforceAuthenticator.)
  9. ESCRITORIO: Ingrese la frase en el campo Frase de dos palabras. Frase de dos palabras de Salesforce Authenticator
  10. ESCRITORIO: Haga clic en Conectar.
  11. TELÉFONO: Salesforce Authenticator muestra los detalles sobre la cuenta de Sia: su nombre de usuario y el nombre del proveedor de servicios (en este caso, Salesforce). Cuenta de conexión de Salesforce Authenticator
  12. TELÉFONO: Toque Conectar.
  13. ESCRITORIO: ¡Sia inició sesión en su cuenta de Salesforce! Ya puede empezar a trabajar.

Ahora, siempre que Sia inicie sesión en su cuenta Salesforce, recibirá una notificación en su teléfono. Abrirá Salesforce Authenticator y comprobará los detalles de la actividad. Si todo parece bien, tocará Aprobar y terminará de iniciar sesión. 

¿Qué ocurrirá si otra persona intenta iniciar sesión con el nombre de usuario y contraseña de Sia? Lo adivinó: recibirá también una notificación sobre ello, y podrá indicar a Salesforce Authenticator que deniegue la solicitud de inicio de sesión. ¡Ufff!

Vamos a examinar con más atención los datos de los que hace un seguimiento Salesforce Authenticator.

  1. La acción que Salesforce Authenticator está verificando. Aquí se pueden mostrar otras acciones si configura una seguridad aún más estricta. Por ejemplo, puede requerir la autenticación cuando alguien intenta acceder a un registro o tablero. Este proceso se llama autenticación de “nivel superior”.
  2. El usuario que está intentando iniciar sesión.
  3. El servicio al que el usuario está intentando acceder. Además de Salesforce, puede usar Salesforce Authenticator con el gestor de contraseñas LastPass y otros servicios que requieren una autenticación más segura.
  4. El dispositivo o navegador desde el que se intenta iniciar sesión.
  5. Ubicación del teléfono.
Puntos de datos de Salesforce Authenticator

Automatizar el proceso de autenticación

Suponga que Sia inicia sesión habitualmente desde la misma ubicación, como desde la oficina, en su casa o en su cafetería con luz tenue favorita. Tocar Aprobar en su teléfono podría llegar a convertirse en una tarea tediosa. Si permite que Salesforce Authenticator use servicios de ubicación de su teléfono, puede indicar a la aplicación que verifique sus actividades automáticamente cuando se encuentre en una ubicación determinada. Es decir, si todo es normal, no necesitará sacar el teléfono del bolsillo. ¡Salesforce Authenticator puede tratar el requisito de MFA para ella de forma automática!

Probémoslo.

  1. ESCRITORIO: Cierre sesión en la cuenta de Sia y vuelva a iniciar sesión como Sia.
  2. TELÉFONO: Cuando se le solicite, seleccione Siempre aprobar desde esta ubicación.
  3. ESCRITORIO: Cierre sesión en la cuenta de Sia y vuelva a iniciar sesión. ¡Voilà! No se le pide una contraseña. Salesforce Authenticator reconoce el inicio de sesión de Sia en su cuenta de Salesforce de nuevo con el mismo dispositivo y en la misma ubicación. El acceso se concede automáticamente.

Siempre que Sia intenta iniciar sesión desde otra ubicación, puede agregar dicha ubicación a la lista de ubicaciones de confianza de Salesforce Authenticator. Para ver esta lista y otros detalles de la cuenta, Sia selecciona el icono de información que abre la página de detalles de la cuenta.

Información de cuenta de Salesforce Authenticator

En la página de detalles de la cuenta se incluyen las ubicaciones de confianza y el historial de actividades de inicio de sesión. En Actividades verificadas se muestra el número de veces que Salesforce Authenticator ha verificado el inicio de sesión de Sia en Salesforce. En Automatizaciones se muestra el número de veces que Salesforce ha iniciado sesión por Sia automáticamente desde una ubicación de confianza.

Detalles de cuenta de Salesforce Authenticator

¿Qué ocurre si Sia deja de confiar en una ubicación? Sencillo. Desliza el dedo hacia la izquierda. A continuación, puede borrar todas las ubicaciones de confianza a la vez seleccionando 

Icono de configuración de Salesforce Authenticator y, a continuación, Borrar ubicaciones de confianza.

En ocasiones, una verificación automatizada podría no funcionar, como ocurre cuando se interrumpe la conexión de datos. Esto no es ningún problema. Sia solo tiene que escribir el código TOTP que muestra Salesforce Authenticator.

¿Desea restringir las verificaciones automatizadas de los usuarios tan solo a direcciones IP de confianza, como una red corporativa? ¿O bien desea evitarlas por completo? Puede hacerlo. Cuando inicie sesión como administrador, vaya a Configuración de la sesión en su organización y cambie lo que se permita.

Configuración de la sesión que controla verificaciones automatizadas basadas en ubicación

¿Qué ocurre si Sia pierde su teléfono celular?

Buena pregunta. Como sabe, los usuarios tienen accidentes o terminan atrapados en planetas desiertos y pierden sus teléfonos. Todo ocurre a la vez. Si Sia pierde su teléfono, consigue uno nuevo o elimina por accidente Salesforce Authenticator, tiene algunas opciones. Sia puede restaurar sus cuentas desde la copia de seguridad que realizó anteriormente o puede desconectar su cuenta de Salesforce Authenticator y luego volver a registrar la aplicación.

Si Sia activó copias de seguridad de cuentas en su aplicación Salesforce Authenticator, está en plena forma. Todo lo que tiene que hacer es reinstalar Salesforce Authenticator en su nuevo teléfono. Cuando abra la aplicación, verá la opción de restaurar sus cuentas desde su copia de seguridad. Sia ingresa la contraseña que utilizó cuando realizó la copia de seguridad de sus cuentas y sus cuentas reaparecen en su teléfono.

¿Qué sucede si Sia no realiza una copia de seguridad de sus cuentas? Esto es lo que puede hacer para ayudar.

  1. Inicie sesión como administrador.
  2. En Configuración, ingrese Usuarios en el cuadro Búsqueda rápida y, a continuación, seleccione Usuarios.
  3. Haga clic en el nombre de Sia.
  4. En la página de detalles de usuario de Sia, haga clic en Desconectar junto a Registro de aplicación: Salesforce Authenticator.

La próxima vez que Sia inicie sesión, si no tiene otro método de verificación conectado, se le pide que vuelva a conectar Salesforce Authenticator.

Nota

Si desea desinstalar la aplicación Salesforce Authenticator, elimine el conjunto de permisos de MFA de los detalles de usuario de Sia en primer lugar. De lo contrario, no puede iniciar sesión como Sia en futuras unidades.

Monitorear quién inicia sesión en su organización

Una parte importante del trabajo de un administrador es saber quién inicia sesión en la organización. El historial de verificación de identidad se usa para esto.

  1. Inicie sesión como administrador del sistema de su organización Trailhead Playground.
  2. En Configuración, ingrese Verificación en el cuadro Búsqueda rápida y, a continuación, seleccione Historial de verificación de identidad.

Compruebe la columna Ubicación. Se establece de forma predeterminada en el país del usuario, pero puede obtener información más detallada mediante la creación de una vista personalizada.

¡Felicitaciones, administrador! Ya vio lo fácil que es activar MFA para sus usuarios. Le instamos a que explore las opciones para su implementación de MFA, como la activación de llaves de seguridad compatibles con U2F como un método de verificación alternativo. Las llaves de seguridad son una excelente opción si los usuarios no tienen un dispositivo móvil o si no se permiten teléfonos celulares en las instalaciones.   Aprendamos ahora cómo aumentar aún más el control sobre el proceso de inicio de sesión en la siguiente unidad “Personalizar el proceso de inicio de sesión con Mi dominio”.