Répondre aux exigences MFA de Salesforce avec le SSO pour l’identité Active Directory

Besoin de répondre aux exigences d’authentification multifacteur (MFA) de Salesforce via l’authentification unique (SSO) ? Le SSO et la MFA de UserLock protègent l’accès à Salesforce en s’appuyant sur l’identité Active Directory on-premise.

Mis à jour le 15 décembre 2025
Meet Salesforce MFA requirements with SSO for Active Directory identities

Afin de protéger votre entreprise et vos données contre les menaces de sécurité, Salesforce exige désormais l’authentification multifacteur (MFA) pour l’accès à ses produits. Si Salesforce impose la MFA pour les connexions directes à Salesforce, les utilisateurs qui accèdent aux produits Salesforce via un service d’authentification unique (SSO) doivent également mettre en place la MFA. Voici comment UserLock vous aide à respecter l’exigence MFA de Salesforce, à fournir un accès sécurisé et à garantir une adoption simple de la MFA pour vos équipes.

Comment les utilisateurs Active Directory peuvent-ils répondre à l’exigence MFA de Salesforce ?

Salesforce décrit plusieurs moyens permettant à tous les utilisateurs, qu’ils soient dans un environnement Active Directory (AD) ou non, de répondre à la nouvelle exigence MFA :

  • Activer la MFA directement dans vos produits Salesforce pour protéger les connexions directes

  • Activer la MFA via le service SSO de votre fournisseur d’identité

Qu’en est-il des appareils d’entreprise de confiance ?

Salesforce prévoit également des dispositions pour les organisations qui utilisent des appareils d’entreprise de confiance. Désormais, pris isolément, les appareils d’entreprise de confiance équipés de certificats émis par des services tels qu’Active Directory ou une solution de gestion des appareils mobiles (MDM) ne répondent pas aux exigences MFA de Salesforce. La raison est simple : toute personne ayant accès à l’appareil peut compromettre et utiliser ces certificats.

Si vous utilisez des certificats d’appareil pour l’accès des utilisateurs, vous devez activer la MFA pour votre fournisseur d’identité SSO ou pour vos produits Salesforce. Si ce n’est pas possible, vous pouvez satisfaire à l’exigence MFA en respectant ces deux conditions pour les connexions SSO ou directes :

  • Vos employés doivent se connecter depuis des appareils d’entreprise de confiance auxquels un certificat a été délivré, et

  • Ces appareils de confiance doivent se trouver sur une adresse IP appartenant à la plage IP de votre réseau d’entreprise, soit en accédant au réseau depuis les bureaux, soit via un VPN.

Quelles solutions MFA sont les mieux adaptées à Active Directory ?

Si vous souhaitez uniquement appliquer la MFA pour l’accès à Salesforce, la solution native de Salesforce peut constituer une option.

Cependant, comme le souligne Salesforce, l’augmentation des menaces à l’échelle mondiale rend l’adoption de la MFA indispensable, et cette adoption est largement en retard dans la plupart des entreprises. Si vous détenez la moindre information sensible sur les applications ou le réseau de votre entreprise (spoiler : c’est le cas), il est pertinent de considérer l’exigence de Salesforce comme une opportunité d’appliquer plus largement la MFA afin de protéger vos identités Active Directory (AD).

Avant de choisir une solution, assurez-vous que votre solution MFA s’appuie sur votre infrastructure AD existante.

Ensuite, il convient de sélectionner le bon type de MFA. Aujourd’hui, la majorité des organisations optent pour l’authentification à deux facteurs (2FA), qui requiert deux facteurs d’authentification distincts. Elle offre un excellent compromis entre renforcement de la sécurité des connexions et charge acceptable pour les employés.

Vous pouvez également choisir entre différentes méthodes d’authentification pour la seconde étape de la 2FA. Parmi les méthodes les plus courantes figurent les applications d’authentification telles que Google Authenticator ou Microsoft Authenticator, ainsi que les clés de sécurité comme YubiKey ou Token2. Idéalement, choisissez une solution MFA offrant la flexibilité nécessaire pour combiner plusieurs méthodes d’authentification.

Comme le souligne Salesforce :

« Favoriser l’adoption d’une MFA robuste — la mesure la plus efficace que les individus et les organisations puissent prendre pour protéger les comptes utilisateurs et les données — nécessite une gamme d’options MFA, telles que les clés matérielles. »

Bien entendu, vous ne souhaitez pas que vos employés perdent du temps (ou s’arrachent les cheveux) avec une MFA distincte pour chaque application ou service. C’est là que la combinaison de la MFA et du SSO prend tout son sens.

Combiner SSO et MFA avec vos identifiants Active Directory

Grâce à la combinaison du SSO et de la MFA, les employés se connectent à Active Directory avec leurs identifiants existants et valident la MFA une seule fois pour accéder de manière fluide à l’ensemble des applications métiers et des ressources cloud.

Le SSO facilite l’intégration de la MFA pour vos équipes, puisqu’il n’ajoute qu’une seule étape supplémentaire à l’accès aux ressources réseau et cloud. Il favorise également l’adhésion durable à la MFA, ce qui est essentiel. Après tout, les mesures de sécurité que nous appliquons le plus volontiers sont celles qui sont les plus simples à respecter.

Simplifier la sécurité avec la MFA et le SSO pour l’identité que vous possédez déjà

Dans un environnement AD on-premise, la mise en œuvre du SSO pose un défi particulier : comment réussir la transition vers un environnement AD hybride en toute sécurité. Les responsables IT de nombreuses organisations AD on-premises préfèrent, ou sont contraints, de conserver l’authentification des utilisateurs sur site.

Or, la majorité des solutions SSO du marché sont basées dans le cloud. Pour déployer le SSO dans un environnement AD on-premises, la première étape consiste donc soit à dupliquer l’annuaire utilisateurs AD on-premises dans le cloud, comme c’est le cas avec le SSO via Entra ID, soit à créer un nouvel annuaire distinct. Cette approche est non seulement longue à mettre en place, mais elle peut également devenir extrêmement complexe à gérer. Plus important encore, externaliser l’authentification des utilisateurs hors site accroît les risques de sécurité inhérents au SSO.

Vous conservez la maîtrise de votre surface d’attaque et réduisez la complexité en choisissant une solution de SSO et de MFA qui s’appuie sur votre identité AD on-premises existante, en maintenant l’authentification et les données d’identité sensibles sur site.

Faciliter l’adoption de la MFA grâce à des contrôles d’accès granulaires

Les contrôles d’accès granulaires permettent aux organisations de restreindre ou d’autoriser des accès système spécifiques et de définir précisément quand et comment la MFA est demandée. Avec UserLock, la possibilité d’appliquer la MFA à l’aide de politiques granulaires facilite l’adoption de la MFA par vos équipes.

Contrôle granulaire MFA

Choisir un SSO sécurisé avec MFA pour Active Directory

Que vous cherchiez une meilleure manière de répondre à l’exigence MFA de Salesforce ou que vous souhaitiez simplement déployer un SSO avec MFA, UserLock SSO offre un accès fluide aux ressources cloud en s’appuyant sur vos identités AD existantes. En conservant l’authentification des utilisateurs sur votre Active Directory on-premises, le SSO reste sécurisé et limite les risques auxquels sont confrontés les environnements AD on-premises lors d’une transition vers un modèle hybride.

Grâce à la MFA granulaire, vous gardez un contrôle total sur la fréquence et les conditions d’application de la MFA. Vous définissez ainsi l’équilibre optimal entre sécurité et productivité pour votre équipe.

XFacebookLinkedIn

Chris Bunn

Directeur Général, IS Decisions

Chris Bunn est CRO et Directeur Général chez IS Decisions, où il pilote la croissance internationale, la stratégie go-to-market (GTM) et les opérations. Son parcours couvre les ventes, le marketing et le développement commercial dans des secteurs fortement réglementés.