Modifica delle impostazioni di protezione della sessione

Configurazione delle impostazioni di timeout della sessione

1. Da Imposta, nella casella Ricerca veloce, immettere Impostazioni di sessione e quindi selezionare Impostazioni di sessione.
2. Per Valore timeout, selezionare il periodo di tempo dopo il quale il sistema disconnette gli utenti inattivi. Per gli utenti dei portali, anche se il timeout effettivo è compreso tra 10 minuti e 24 ore, è possibile selezionare solo un valore compreso tra 15 minuti e 24 ore. Se si desidera imporre una protezione più rigorosa per le informazioni sensibili, scegliere un periodo di timeout più breve.
   

   Nota Salesforce aggiorna il valore di ora dell'ultima sessione attiva ogni 5 minuti. Di conseguenza, se si ha un timeout di 30 minuti e si aggiorna un record dopo 3 minuti, Salesforce controlla l'attività e aggiorna la sessione dopo 5 minuti. Se non si effettua alcun altro aggiornamento, la durata totale della sessione è di 35 minuti.
3. Per disabilitare il messaggio di avviso del timeout per gli utenti inattivi, selezionare Disabilita il popup di avviso del timeout sessione. Quando questa impostazione non è selezionata, viene visualizzato un messaggio di avviso di timeout agli utenti inattivi 30 secondi prima del timeout oppure come specificato dal valore di timeout.
   

   Nota Se si è accesi come un altro utente, il popup di avviso di timeout della sessione è sempre disabilitato. Anche se si deseleziona l'impostazione Disabilita il popup di avviso di timeout sessione, il popup viene comunque disabilitato.
4. Per reindirizzare automaticamente gli utenti alla pagina di accesso quando scade una sessione, selezionare Forza disconnessione al timeout. Il browser si aggiorna e torna alla pagina di accesso ed è necessario che l'utente esegua nuovamente l'accesso.
   Con questa impostazione deselezionata, quando una sessione scade il browser rimane sulla stessa pagina. Non viene reindirizzato alla pagina di accesso finché l'utente non esegue un'operazione che richiede l'accesso. Ad esempio, se la sessione scade mentre un utente è nella pagina Account, il browser rimane in questa pagina. Se l'utente fa clic su un pulsante per aggiornare un account, il browser reindirizza alla pagina di accesso.
   

   Nota Quando questa impostazione è abilitata, non selezionare Disabilita il popup di avviso del timeout sessione.

Configurazione delle impostazioni della sessione

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Per bloccare l'indirizzo IP da cui l'utente ha eseguito l'accesso, selezionare Blocca sessioni all'indirizzo IP da cui hanno avuto origine. il blocco dell'indirizzo IP impedisce attacchi hijack a una sessione valida da parte di persone non autorizzate.
   

   Nota Questa impostazione può bloccare l'accesso di varie applicazioni e dispositivi mobili.
3. Se si desidera, abilitare Chiudi tutte le sessioni di un utente quando un amministratore reimposta la password dell'utente. Questa impostazione consente di ridurre gli incidenti di sicurezza, quali le password rubate e gli attacchi con credential stuffing. Se si sospetta che la password di un utente sia stata compromessa, è possibile reimpostarla e chiudere tutte le sessioni dell'interfaccia utente dell'utente nello stesso momento. Questa impostazione si applica anche quando si reimpostano le password di più utenti contemporaneamente.
4. Per associare una sessione dell'interfaccia utente in corso a un dominio specifico, selezionare Blocca le sessioni al dominio nel quale sono state utilizzate per la prima volta. Ad esempio, associare un utente del sito Experience Cloud al dominio del sito. Questa impostazione aiuta a prevenire l'utilizzo non autorizzato dell'ID sessione in un altro dominio. Questa impostazione è abilitata per impostazione predefinita per le organizzazioni Salesforce create con il rilascio Spring '15 o successivi.
5. Se si desidera, abilitare Consenti ai dipendenti di accedere direttamente a un sito Experience Cloud (consigliato). Con questa impostazione, gli utenti interni possono utilizzare il loro nome utente e password interni nella pagina di accesso al sito. I dipendenti devono essere membri del sito per accedere direttamente dalla pagina di accesso del sito. Una volta eseguito l'accesso, gli utenti interni visualizzano la pagina iniziale del sito.
6. Se si desidera, abilitare Quando si incorpora un'applicazione Lightning in un sito di terze parti, utilizzare un token di sessione anziché un cookie di sessione. Questa impostazione sostituisce il cookie di autenticazione con un token di sessione quando un'app Lightning si trova in un contesto di terze parti, ad esempio Lightning Out. I browser limitano l'uso dei cookie di terze parti. Di conseguenza, un'app Lightning che utilizza cookie di terze parti deve adottare un approccio diverso per mantenere l'identificatore della sessione tra il browser e il server. Questa impostazione è un'alternativa al richiedere agli utenti di disabilitare le impostazioni del browser, ad esempio l'impostazione Impedisci il monitoraggio tra siti Web di Safari.

Configurazione delle impostazioni delle connessioni protette (HTTPS)

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. L'impostazione Forza riaccesso dopo Accesso-come-utente è abilitata per impostazione predefinita. Quando questa impostazione è abilitata, un amministratore che ha eseguito l'accesso come un altro utente, può accedere di nuovo dopo aver eseguito la disconnessione come l'altro utente. Per semplificare il tracciamento e la registrazione delle attività utente, si consiglia di mantenere questa impostazione abilitata.
3. Per limitare l'accesso ai cookie dell'ID sessione, selezionare Richiedi attributo HttpOnly. Un cookie con l'attributo HttpOnly non è accessibile tramite metodi non HTTP, ad esempio le chiamate da JavaScript.
   

   Nota Se si dispone di un'applicazione personalizzata o inserita in un pacchetto che utilizza JavaScript per accedere ai cookie ID sessione, la selezione dell'attributo Richiedi HttpOnly interrompe l'applicazione. poiché viene negato all'applicazione l'accesso al cookie. Inoltre, se si seleziona questa impostazione, la finestra di debug del Toolkit AJAX non è disponibile.
4. Per inviare le informazioni della sessione mediante una richiesta POST anziché una richiesta GET per gli scambi tra domini diversi, selezionare Utilizza le richieste POST per le sessioni tra domini diversi. Ad esempio, quando si utilizza una pagina Visualforce, le richieste POST sono più sicure perché conservano le informazioni sulla sessione nel corpo della richiesta. Se questa impostazione viene abilitata, a volte il contenuto incorporato di un altro dominio, ad esempio un'immagine, non viene visualizzato.
5. Per limitare gli indirizzi IP dai quali gli utenti possono ottenere l'accesso solo agli indirizzi IP definiti in Intervalli IP di accesso, selezionare Imponi intervalli IP di accesso su ogni richiesta.

   Se questa impostazione è abilitata, gli intervalli IP di accesso vengono imposti su ogni richiesta di pagina, incluse le richieste provenienti dalle applicazioni client. Se questa impostazione non è abilitata, gli intervalli IP di accesso vengono imposti solo quando un utente esegue l'accesso. Questa opzione riguarda tutti i profili con restrizioni IP di accesso.

6. Per Intervalli IP di accesso (solo per le versioni Contact Edition, Manager Edition, Group Edition e Professional Edition), se è stata selezionata l'opzione Imponi intervalli IP di accesso su ogni richiesta, specificare un intervallo di indirizzi IP da cui gli utenti devono eseguire l'accesso (inclusivo). Per specificare un intervallo, fare clic su Nuovo e immettere un indirizzo IP iniziale e un indirizzo IP finale per definire l'intervallo, che include i valori di inizio e di fine.
   

   Nota Questo campo non è disponibile nelle versioni Enterprise Edition, Unlimited Edition, Performance Edition e Developer Edition. In queste versioni, è possibile specificare un intervallo IP di accesso valido nelle impostazioni del profilo utente.

Configurazione delle impostazioni di caching

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Per consentire al browser di un utente di memorizzare i nomi utente, selezionare Abilita caching e completamento automatico nella pagina di accesso. Se abilitata, dopo l'accesso iniziale, i nomi utente vengono compilati automaticamente nel campo Nome utente della pagina di accesso. Se l'utente seleziona Ricordami nella pagina di accesso, il nome utente viene mantenuto dopo la scadenza della sessione o la disconnessione dell'utente. Il nome utente viene visualizzato anche nel commutatore. Questa impostazione è abilitata per impostazione predefinita.
3. Per abilitare il caching sicuro dei dati nel browser, selezionare Abilita caching del browser sicuro e persistente per migliorare le prestazioni. Se selezionata, questa impostazione migliora le prestazioni di ricaricamento delle pagine evitando viaggi andati e ritorno al server. Questa impostazione è abilitata per impostazione predefinita.
   

   Avvertenza La disabilitazione del caching del browser persistente ha un impatto negativo significativo sulle prestazioni in Lightning Experience. Disabilitarlo solo in questi scenari.

   • La policy della propria società non autorizza il caching del browser anche se i dati sono crittografati.
   • Durante lo sviluppo in un'organizzazione Sandbox o Developer Edition, si desidera vedere l'effetto delle modifiche apportate al codice senza svuotare la cache sicura.
4. Per visualizzare il commutatore quando gli utenti selezionano le immagini del profilo, selezionare Abilita cambio utente. Questa impostazione evita inoltre che gli utenti visualizzino il commutatore quando selezionano la propria immagine del profilo. Questa impostazione è abilitata per impostazione predefinita. per evitare che la propria organizzazione venga visualizzata nei commutatori di altre organizzazioni, deselezionare questa impostazione.
   

   Nota Per abilitare l'impostazione Abilita cambio utente, è necessario abilitare anche l'impostazione Abilita caching e completamento automatico nella pagina di accesso.
5. Per eliminare i nomi utente inseriti nella cache solo quando l'utente si disconnette in modo esplicito, selezionare Ricordami fino alla disconnessione. Se la sessione scade, i nomi utente vengono visualizzati come inattivi nel commutatore. Di conseguenza, se gli utenti lavorano nel proprio computer e consentono il timeout di una sessione, possono selezionare il nome utente per eseguire nuovamente l'autenticazione. Se invece lavorano in un computer condiviso, il nome utente viene eliminato immediatamente alla disconnessione dell'utente. Questa impostazione si applica a tutti gli utenti.

   Se non si abilita questa impostazione (impostazione predefinita), i nomi utente vengono memorizzati nella cache solo mentre è attiva una sessione o se l'utente seleziona Ricordami. Questa opzione non è disponibile per le sessioni Single Sign-On. Una volta scaduta la sessione, il nome utente scompare dalla pagina di accesso e dal commutatore. Mantenere disabilitata questa impostazione se i provider di autenticazione non sono esposti nella pagina di accesso.

6. Per caricare più rapidamente Lightning Experience e altre app abilitando la CDN (Content Delivery Network) per servire il contenuto statico per il framework Componente Lightning, selezionare Abilita CDN (Content Delivery Network) per il framework Componente Lightning. Una CDN normalmente accelera il caricamento delle pagine ma cambia anche il dominio di origine che serve i file. Se la società applica restrizioni dell'intervallo IP per i contenuti serviti da Salesforce, eseguire test completi prima di abilitare questa impostazione. Le CDN (Content Delivery Network) migliorano il tempo di caricamento dei contenuti statici archiviando le versioni memorizzate nella cache in più aree geografiche. Questa impostazione attiva la consegna CDN per JavaScript e CSS statici nel framework Componente Lightning. Non distribuisce i dati o metadati Salesforce in una CDN.

Configurazione della protezione dal Cross-Site Request Forgery (CSRF)

Configurazione della protezione della Policy sulla sicurezza dei contenuti

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Per ignorare la restrizione relativa all'accesso dei modelli di email in Salesforce Classic aa Internet Explorer, selezionare Ignora restrizione relativa all'accesso dei modelli di email in Salesforce Classic utilizzando Internet Explorer.
   

   Avvertenza Si consiglia vivamente di non abilitare questa impostazione. Internet Explorer non soddisfa il livello richiesto da Salesforce per la protezione della sicurezza del browser. L'abilitazione di questa impostazione rende gli utenti vulnerabili ai tentativi dannosi di terze parti di accedere ai dati.
3. Per vietare l'uso della fonte di unsafe-inline per la direttiva script-src, selezionare Enable Stricter Content Security Policy.

   Il framework Componente Lightning utilizza la policy CSP (Content Security Policy), uno standard W3C, per controllare l'origine dei contenuti che possono essere caricati su una pagina. Questa impostazione riduce il rischio di attacchi di cross-site scripting ed è abilitata per impostazione predefinita.

   

   Importante Si consiglia di mantenere abilitata questa impostazione. Lightning Locker e Lightning Web Security si basano su questa impostazione per garantire una sicurezza ottimale per i componenti Lightning.

Configurazione dell'impostazione della versione API Lightning Locker

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Per Usa le ottimizzazioni di sicurezza nella versione API, selezionare la versione API più recente in cui i componenti funzionavano correttamente. Quando gli sviluppatori del componente hanno aggiornato i componenti per l'utilizzo con le funzionalità di protezione di Lightning Locker correnti, ripristinare questa impostazione sulla versione dell'API corrente per garantire la massima protezione.

Configurazione di Lightning Web Security

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Selezionare Utilizza Lightning Web Security per i componenti Web Lightning e i componenti Aura .

Configurazione di ulteriore protezione per le sessioni

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Per proteggere i dati sensibili negli URL, ad esempio l'ID organizzazione o il numero dell'account, selezionare una policy referrer HTTP. Vedere Protezione delle informazioni sensibili negli URL.
3. Per proteggere gli utenti dagli URL dannosi e dal phishing, specificare i domini esterni affidabili e scegliere un'impostazione del reindirizzamento esterno. È possibile bloccare questi reindirizzamenti o avvisare l'utente che il link reindirizza all'esterno del dominio Salesforce. Per informazioni, vedere Gestione dei reindirizzamenti a URL esterni nella Guida di Salesforce. In Lightning Experience, il messaggio di avviso è valido solo per le schede Web.

Nota l'opzione Abilita protezione con sniffing di contenuti è abilitata e non può essere disabilitata. Questa impostazione impedisce l'esecuzione di file dannosi (JavaScript, fogli di stile) come contenuto dinamico, impedendo al browser di dedurre il tipo MIME a partire dal contenuto del documento. Per disabilitare temporaneamente questa funzione per risolvere il problema, contattare l'Assistenza clienti Salesforce.

Configurazione dei livelli di sicurezza della sessione

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Selezionare il metodo di accesso dalla tabella seguente in Livelli di sicurezza sessione.
3. Per spostare il metodo nella categoria corretta, fare clic su Aggiungi o Rimuovi.

Configurazione di sessioni High Assurance per rapporti, cruscotti digitali e app connesse

È anche possibile impostare policy che richiedono High Assurance per rapporti, cruscotti digitali e applicazioni connesse. È inoltre possibile specificare un'azione da eseguire quando la sessione utilizzata per accedere alla risorsa non è High Assurance. Sono supportate le azioni seguenti.

• Blocca: impedisce l'accesso alla risorsa visualizzando un errore di privilegi insufficienti.
• Innalza livello sessione: richiede all'utente di effettuare l'autenticazione a più fattori (MFA). Una volta completata correttamente l'autenticazione, l'utente può accedere alla risorsa. Per i rapporti e i cruscotti digitali, è possibile applicare questa azione quando gli utenti accedono ai rapporti o ai cruscotti digitali, oppure solo quando li esportano e stampano.

Avvertenza l'innalzamento del livello di sessione su High Assurance tramite il reindirizzamento dell'utente all'autenticazione a più fattori (MFA) non è un'azione supportata in Lightning Experience. Se si abilita Lightning Experience e si imposta il requisito della policy di sessione High Assurance, gli utenti Lightning Experience con una sessione standard non possono accedere a rapporti e cruscotti digitali. Inoltre, non visualizzano le icone per queste risorse nel menu di navigazione. Per risolvere il problema, gli utenti che dispongono di una sessione Standard Assurance possono disconnettersi e poi riconnettersi utilizzando un metodo di autenticazione definito come High Assurance per la loro organizzazione. Potranno quindi accedere a rapporti e cruscotti digitali. In alternativa, possono passare a Salesforce Classic, dove verrà loro richiesto di innalzare il livello di sessione quando tentano di accedere a rapporti e cruscotti digitali.

I livelli di sessione non hanno alcun impatto sulle risorse dell'app diverse da applicazioni connesse, rapporti e cruscotti digitali per cui sono state definite policy di sicurezza.

Per informazioni su come richiedere High Assurance quando si accede a un'applicazione connessa, vedere Gestione delle policy di sessione per un'applicazione connessa.

Per richiedere una policy High Assurance per l'accesso a rapporti e cruscotti digitali, eseguire i passaggi seguenti.

1. Da Imposta, nella casella Ricerca veloce immettere Policy di accesso, quindi selezionare Policy di accesso.
2. Selezionare Richiesta sessione High Assurance.
3. Selezionare un'opzione per bloccare l'accesso a rapporti e cruscotti digitali o per elevare il livello di sessione a High Assurance.
4. Salvare le modifiche.

Configurazione delle impostazioni della pagina di disconnessione

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Per URL di disconnessione, immettere l'URL della pagina a cui reindirizzare gli utenti dopo la disconnessione da Salesforce. Ad esempio, immettere l'URL della pagina di un provider di autenticazione o di una pagina con immagine aziendale personalizzata.

   Questo URL di disconnessione di reindirizzamento viene usato solo se non è specificato alcun URL di disconnessione nelle impostazioni del provider di identità, di Single Sign-On SAML o del provider di autenticazione di terze parti. Se non si specifica un URL di disconnessione, l'impostazione predefinita è https://MyDomainName.my.salesforce.com.

3. Per reindirizzare tutte le schede scadute nel browser all'URL di disconnessione personalizzato, selezionare Memorizza l'URL di disconnessione di reindirizzamento nel browser locale. Prima di abilitare questa impostazione, leggere le considerazioni che seguono.

   Questa impostazione utilizza l'archiviazione locale del browser per memorizzare l'URL di disconnessione personalizzato. Verificare che questa impostazione non interferisca con le integrazioni degli accessi personalizzati.

Configurazione delle impostazioni di sessione per le email dei nuovi utenti

1. Da Imposta, nella casella Ricerca veloce immettere Impostazioni di sessione, quindi selezionare Impostazioni di sessione.
2. Per Il link scade tra, selezionare l'intervallo di tempo per cui è valido il link di verifica dell'account incluso nelle email di benvenuto. Si possono selezionare 1, 7 o 180 giorni. Per impostazione predefinita, i link per la verifica dell'account scadono dopo 7 giorni.

   Quando si aggiorna questa impostazione, la modifica è valida per i link delle email di benvenuto già inviate. Ad esempio, è stata inviata un'email di benvenuto due giorni fa con il link la cui scadenza è tra 7 giorni. Se si aggiorna l'impostazione per fare in modo che i link scadano dopo un giorno, il link nell'email inviata due giorni fa non sarà più valido.