Depuis un an, on parle MFA, Multi-Factor Authentication pour Salesforce Marketing Cloud.
Vous savez, c’est la petite nouveauté qui est présente partout et qui nous oblige à recevoir un code par SMS ou à valider sur une application bancaire notre achat réalisé sur un site e-commerce par exemple. Je vous propose un petit format FAQ pour faire le tour du sujet et vous délivrer quelques informations.
Quel est le planning de mise en place de la MFA ? Cet article arrive peut être un peu tard.. la MFA est déjà active. Elle est même obligatoire pour bénéficier de la garantie Salesforce sur la sécurisation de l’accès à la plateforme. En effet, depuis février, la MFA doit être activée sur les instances Marketing Cloud.
D'accord, mais on peut toujours cliquer sur Ignorer, non ? 
C’est vrai. On peut ignorer la MFA, c’est d’ailleurs ce que certains font (si si c’est vrai, et il y en a beaucoup qui le font). Depuis février, en cas de souci de sécurité sur l’accès de votre Marketing Cloud (piratage, usurpation de compte), Salesforce déclinera toute responsabilité vu que vous ignorez la MFA. C’est écrit, il faut lire les petites lignes.
En réalité, quelle est la date d'activation définitive de la MFA ? A partir du 1er juin 2022, Salesforce va activer la MFA pour tous ses comptes de manière progressive jusqu’à la fin de la release Summer 22. Il ne sera plus possible de l’ignorer.
Cela ne m'arrange pas vraiment d'utiliser mon téléphone personnel pour valider l'accès à mon compte Marketing Cloud professionnel. En plus, le service SSI de mon entreprise craint des problèmes de sécurité avec les téléphones personnels des employés, existe-t-il un moyen de contourner l'application pour la double authentification ? Il existe plusieurs manières de provoquer la double authentification :
- Via l’application mobile Salesforce Authenticator
- Via une clé de sécurité prenant en charge WebAuthn ou U2F, telles que Yubico YubiKey ou Google Titan
- Via une application d’authentification à usage unique basé sur le temps (TOTP), telles que Google Authenticator, Microsoft Authenticator ou Authy.
L’avis de la French SFMC : Le plus simple est l’application mobile Salesforce Authenticator. La connexion est simple et rapide et elle prend en charge plusieurs instances Salesforce Marketing Cloud sans aucun problème.
J'ai entendu dire que le SSO pouvait remplacer la MFA ? Le SSO ne remplace par la MFA. Le SSO va permettre de désactiver la MFA Salesforce Marketing Cloud. Nuance. En effet, la connexion SSO demandée par Salesforce pour Marketing Cloud aura pour prérequis de prévoir un système de MFA similaire pour la connexion au compte principal.
C’est une procédure classique concernant un compte Microsoft Office par exemple.
1. Je me connecte à mon compte Office
2. Je reçois un SMS avec un code pour confirmer ma connexion
3. Je me connecte à Salesforce Marketing Cloud avec le SSO de mon compte Office.
Pas besoin de la MFA Salesforce, je suis en règle.
Si mon SSO n’a pas de procédure de double authentification, je ne suis pas en règle.
Concernant les API, a-t-on besoin de la MFA ? Les API Rest et SOAP ne sont pas concernés par la MFA qui est nécessaire seulement en cas d’accès à la plateforme via login + mot de passe.
Pour conclure, mettons fin à une rumeur persistante : catégoriser un utilisateur comme « User API » ne désactive pas la double authentication pour l’utilisateur en question.
La French SFMC 