修改工作階段安全性設定
使用「工作階段設定」畫面以設定工作階段安全性。您可以設定如工作階段連線類型、逾時限制以及 IP 位址範圍,以防護惡意攻擊。
必要版本
| 提供版本:Lightning Experience 與 Salesforce Classic |
將工作階段鎖定在工作階段來源的 IP 位址設定適用於:Enterprise、Performance、Unlimited、Developer 及 Database.com Edition 所有其他設定適用於:Essentials、Personal、Contact Manager、Group、Professional、Enterprise、Performance、Unlimited、Developer 及 Database.com Edition |
| 需要的使用者權限 | |
|---|---|
| 若要修改工作階段安全性設定: | 自訂應用程式 |
在「工作階段設定」頁面上進行設定。
- 進行工作階段逾時設定
- 進行工作階段設定
- 進行安全連線 (HTTPS) 設定
- 進行快取設定
- 跨站請求偽造保護
- 設定內容安全原則保護
- 設定 Lightning Locker API 版本設定
- 設定 Lightning Web 安全性
- 為您的工作階段設定額外保護
- 設定工作階段安全性層級
- 為報告、顯示面板和連線應用程式設定高度保證工作階段
- 進行登出頁面設定
- 為新增使用者電子郵件進行工作階段設定
進行工作階段逾時設定
這些設定不適用於使用 JWT 型存取權杖建立的工作階段。針對這些權杖,請在外部用戶端應用程式或連線的應用程式原則中設定逾時。請參閱 核發 JSON Web 權杖 (JWT) 型存取權杖。
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
-
針對「逾時值」,選取在系統登出未啟用使用者之後的時間長度。針對入口網頁使用者,即使實際的逾時介於 10 分鐘至 24 小時之間,您也只能選取介於 15 分鐘到 24 小時之間的數值。如果您想要對敏感資訊強制執行更嚴格的安全性,請選擇更短的逾時期間。
備註 Salesforce 每 5 分鐘更新一次上次啟用中工作階段時間值。因此,如果您有 30 分鐘的逾時,且您在 3 分鐘的標記時更新記錄,則 Salesforce 會檢查活動,並在 5 分鐘的標記時重新整理您的工作階段。如果您沒有進行任何其他更新,工作階段的總長度會是 35 分鐘。
-
若要針對未啟用的使用者停用逾時警告訊息,請選取「停用工作階段逾時警告快顯功能」。若未選取此設定,則逾時警告訊息會在逾時前 30 秒或如逾時值所指定的時間提示未啟用的使用者。
備註 如果您以另一位使用者身分登入,則工作階段逾時警告快顯視窗一律會停用。即使您取消選取「停用工作階段逾時警告快顯視窗」設定,快顯視窗仍會停用。
-
若要在工作階段逾時時自動將使用者重新導向至登入頁面,請選取「在工作階段逾時時強制登出」。瀏覽器會重新整理並回到登入頁面,使用者必須重新登入。
取消選取此設定後,當工作階段逾時時,瀏覽器會保持在相同的頁面上。在使用者執行需要其登入的動作之前,系統不會重新導向至登入頁面。例如,如果使用者在「帳戶」頁面時工作階段逾時,瀏覽器會保持在此頁面上。如果使用者按一下按鈕來更新帳戶,瀏覽器會重新導向至登入頁面。備註 此設定啟用時,請勿選取「停用工作階段逾時警告快顯功能」。
進行工作階段設定
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
-
若要鎖定使用者登入的 IP 位址,請選取「將工作階段鎖定為工作階段來源的 IP 位址」。鎖定 IP 位址有助於防止未經授權人員劫持有效工作階段。
備註 這個設定可能會禁止各種應用程式和行動裝置。
- 或者,啟用「在管理員重設使用者的密碼時終止所有使用者的工作階段」。此設定可協助您減少如密碼遭竊和認證填充攻擊等安全性事件的發生。如果您懷疑使用者的密碼遭到入侵,則可以同時重設該使用者的密碼並終止其所有 UI 工作階段。當您一次重設多個使用者的密碼時,也會套用此設定。
- 若要將使用者目前的 UI 工作階段與特定網域相關聯,請選取「將工作階段鎖定在其首次使用的網域中」。例如,將 Experience Cloud 網站使用者與網站網域相關聯。此設定可協助防止未經授權的工作階段識別碼在其他網域中遭他人使用。此設定在使用 Spring ’15 版本或更新版本建立的 Salesforce 組織中預設為啟用。
- 或者,啟用「允許員工直接登入 Experience Cloud 網站」(建議)。透過此設定,內部使用者可以在網站登入頁面上使用其內部使用者名稱與密碼。員工必須是網站的成員才能直接從網站登入頁面進行登入。內部使用者登入之後,便會進入網站首頁。
- 或者,啟用「將 Lightning 應用程式內嵌在第三方網站中時,使用工作階段權杖,而非工作階段 Cookie」。當 Lightning 應用程式在第三方內容 (例如 Lightning Out) 中時,會以工作階段權杖取代驗證 Cookie。瀏覽器正在限制使用第三方 Cookie。因此,使用第三方 Cookie 的 Lightning 應用程式必須使用不同的方法來維護瀏覽器和伺服器之間的工作階段識別碼。此設定是要求使用者停用瀏覽器設定的替代設定,例如 Safari 的「防止跨網站追蹤設定」。
進行安全連線 (HTTPS) 設定
依預設, Salesforce 需要 HTTPS 連線,並會透過 HSTS 頁首自動將 HTTP 要求升級為 HTTPS。針對第三方網域的連線,也需要 HTTPS 。
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
- 「以使用者身分登入之後強制重新登入」設定預設為啟用。當此設定啟用時,以其他使用者身分登入的管理員在以另一個使用者身分登出後,會再次登入。為了能更輕鬆地追蹤和記錄使用者活動,建議您將此設定保持為啟用。
-
若要限制工作階段識別碼 Cookie 存取,請選取「要求 HttpOnly 屬性」。含 HttpOnly 屬性的 Cookie 無法透過非 HTTP 方法存取,例如從 JavaScript 呼叫。
備註 如果您有使用 JavaScript 存取工作階段識別碼 Cookie 的自訂或封裝應用程式,則選取「需要 HttpOnly」屬性會中斷您的應用程式。這樣會拒絕應用程式存取 Cookie。如果您選取此設定,則無法使用 AJAX Toolkit 除錯視窗。
- 若要針對跨網域交換使用 POST 要求傳送工作階段資訊,而不是使用 GET 要求,請選取「針對跨網域工作階段使用 POST 要求」。例如,當您使用 Visualforce 頁面時, POST 要求較為安全,因為會將工作階段資訊保留在內文中。但若您啟用此設定,有時不會顯示其他網域中的內嵌內容,例如圖片。
-
若要限制使用者只能從「登入 IP 範圍」中定義的 IP 位址取得存取權,請選取「在每個要求上強制登入 IP 範圍」。
若啟用此設定,則每個頁面要求 (包含來自用戶端應用程式的要求) 都會強制執行登入 IP 範圍。若未啟用此設定,只有使用者登入時才會強制執行登入 IP 範圍。此設定會影響具有登入 IP 限制的所有使用者設定檔。
-
針對「登入 IP 範圍」(僅適用於 Contact 、 Manager 、 Group 和 Professional Edition) ,如果您選取「在每個要求上強制登入 IP 範圍」,請指定使用者必須從哪一個 IP 位址範圍 (包含頭尾) 登入。若要指定範圍,請按一下「新增」,然後輸入「起始 IP 位址」和「結束 IP 位址」以定義範圍,此範圍包含起始和結束值。
備註 Enterprise、Unlimited、Performance 及 Developer Edition 中沒有此欄位。在這些版本中,您可以在使用者設定檔設定中指定有效的登入 IP 範圍。
進行快取設定
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
- 若要允許使用者的瀏覽器儲存使用者名稱,請選取「啟用快取並於登入頁自動完成密碼輸入」。如果啟用,則在初次登入之後,會將使用者名稱自動填入登入頁面的「使用者名稱」欄位中。若使用者在登入頁面上選取「記住我」,則該使用者名稱會在工作階段或使用者登出後持續存在。使用者名稱也會顯示在切換器上。此設定預設為啟用。
- 若要在瀏覽器中啟用安全資料快取,請選取「啟用安全且永久的瀏覽器快取以提升效能」。選取後,此設定會透過避免伺服器的額外來回行程,以提升頁面重新載入效能。此設定預設為啟用。
-
若要在使用者選取其設定檔圖片時顯示切換器,請選取「啟用使用者切換」。此設定亦可防止使用者在選取其設定檔圖片時看見切換器。此設定預設為啟用。若要防止貴組織出現在其他組織的切換器中,請取消選取此設定。
備註 若要啟用「啟用使用者切換」設定,您也必須啟用「啟用快取」與登入頁面設定的自動完成功能。
-
若要僅在使用者明確登出時才會刪除快取使用者名稱,請選取「記住我,直到登出為止」。若工作階段逾時,則使用者名稱會在切換器中顯示為未啟用。若使用者使用自己的電腦,且允許工作階段逾時,則其可以選取使用者名稱以重新驗證。但若使用者使用共用的電腦,則該使用者名稱會在登出時立即刪除。此設定適用於所有使用者。
若您未啟用此設定 (預設) ,則使用者名稱僅會在工作階段為啟用,或是使用者選取「記住我」時進行快取。此選項不適用於單一登入的工作階段。工作階段過期時,使用者名稱會從登入頁面及切換器中消失。若驗證提供者未顯示在登入頁面上,則請保持停用此設定。
- 若要透過啟用內容傳遞網路 (CDN) 為 Lightning 元件架構提供靜態內容,以加速載入 Lightning 元件架構的靜態內容,請選取「啟用 Lightning 元件架構的內容傳遞網路 (CDN)」。CDN 通常會加快頁面載入時間,但也會變更提供檔案的安全網域。若您的公司對 Salesforce 提供的內容設定 IP 範圍限制,請在啟用此設定之前進行全面測試。CDN 透過在多個地理位置儲存快取的版本來縮短靜態內容的載入時間。此設定會在 Lightning 元件架構中針對 JavaScript 與 CSS 開啟 CDN 遞送。它不會在 CDN 散佈您 Salesforce 的資料或中繼資料。
跨站請求偽造保護
Salesforce 會自動受到保護,避免受偽造的跨網站要求 (CSRF) 攻擊。非設定頁面將隨機的字元字串包含在 URL 參數中,或成為隱藏表單欄位。對於各個 GET 及 POST 要求,應用程式會檢查此字元字串的有效性。除非找到的值符合預期值,否則應用程式不會執行指令。
設定內容安全原則保護
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
-
若要覆寫從 Internet Explorer 存取 Salesforce Classic 中電子郵件範本的特定安全性限制,請選取「使用 Internet Explorer 覆寫存取 Salesforce Classic 中電子郵件範本的限制」。
警告 強烈建議不要啟用此設定。Internet Explorer 不符合 Salesforce 所要求的瀏覽器安全性保護層級。啟用此設定會讓使用者容易受到惡意第三方意圖竊取您的資料。 -
若要禁止針對
script-src指示詞使用unsafe-inline來源,請選取「啟用更嚴格的內容安全性原則」。Lightning 元件架構使用屬於 W3C 標準的內容安全性原則 (CSP) 來控制可在頁面中載入的內容來源。此設定可以減輕跨站台指令檔攻擊的風險,並且已依預設啟用。
重要 強烈建議您保持啟用此設定。Lightning Locker 與 Lightning Web Security 依賴此設定,以對 Lightning 元件提供強大安全性。
設定 Lightning Locker API 版本設定
您可以暫時設定您的組織使用舊版 Salesforce 的 Lightning Locker 安全性功能。如果新版本中 Lightning Locker 的變更會造成元件錯誤地運作,則此設定可讓您快速將 Lightning 元件回復至完整功能。
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
- 針對「使用 API 版本中的安全性增強功能」,選取元件之前能正確運作的最近 API 版本。當元件開發人員已更新元件以使用目前的 Lightning Locker 安全性功能時,會將此設定回復至目前的 API 版本,以確保獲得最佳保護。
如需詳細資訊,請參閱《Lightning Web 元件開發人員指南》中的選取組織的 Locker API 版本。
設定 Lightning Web 安全性
「Lightning 元件」架構提供兩種安全性結構,分別是 Lightning Locker 和 Lightning Web 安全性。
「Lightning Web 安全性」的設計宗旨是讓 Lightning 元件能夠更容易使用安全的編碼作法,並預期取代 Lightning Locker。目前正透過數個版本推出「Lightning Web 安全性」。「Lightning Web 安全性」是適用於 Lightning Web 元件 (LWC) 與 Aura 元件的正式推出功能。
若要使用「Lightning Web 安全性」與 Lightning Locker:
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
- 選取「將 Lightning Web 安全性用於 Lightning Web 元件與 Aura 元件版)」。
如需詳細資訊,請參閱《Lightning Web 元件開發人員指南》中的 Lightning Web 安全性支援的元件。
為您的工作階段設定額外保護
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
- 若要保護 URL 中敏感資訊,例如組織識別碼或帳戶號碼,請選取 HTTP 轉介者原則。請參閱保護 URL 中的敏感資訊。
- 若要保護使用者免受惡意 URL 和網路釣魚攻擊,請指定您信任的外部網域,然後選擇「外部重新導向」設定。您可以封鎖這些重新導向,或警示使用者連結正在將其移至 Salesforce 網域之外。如需詳細資料,請參閱 Salesforce 說明中的管理外部 URL 的重新導向。在 Lightning Experience 中,警告訊息僅適用於網路索引標籤。
設定工作階段安全性層級
您可以根據與使用者目前工作階段驗證方法相關聯的安全性層級,將存取限制在某些類型的資源。依預設,每個登入方法皆有以下兩個安全性層級之一:標準或高保證。您可以變更工作階段安全性層級並定義原則,讓指定的資源僅供獲派「高保證」層級的使用者使用。
針對敏感性作業,請要求安全性的高度保證層級,或將使用者封鎖。如果使用者在登入後已具有「高度保證」工作階段,則系統不會提示他們要在相同工作階段中重新驗證其身分。即使您要求這些作業必須具有「高度保證」,此要求仍適用。
若要變更與登入方法相關聯的安全性層級,請執行下列步驟。
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
- 進入「工作階段安全性層級」,從此表中選取登入方法。
- 若要將方法移至適當的種類,請按一下「新增」或「移除」。
工作階段安全性層級登入方法:
| 類型 | 預設工作階段安全性層級 | 描述 |
|---|---|---|
| 使用者名稱和密碼 | 標準 | 使用者可透過在登入頁面提供使用者名稱和密碼來登入。 |
| 委派的驗證 | 標準 | 使用者可透過提供使用者名稱和密碼來登入,使用者名稱和密碼會使用對委派驗證端點的呼叫來加以驗證。 |
| 啟用 | 標準 | 從新瀏覽器或裝置存取 Salesforce 時,使用者會驗證其身分。 |
| Lightning Login | 標準 | 內部使用者會透過使用 Salesforce Authenticator 而非密碼來登入。 |
| 無密碼登入 | 標準 | Experience Cloud 的使用者會透過提供驗證碼而非密碼來登入。 |
| 多因素驗證 | 高度保證 | 使用者完成多因素驗證 (MFA) 問題以存取資源。例如,使用者在存取需要「高度保證」層級且採用提高工作階段層級原則的報告時,必須完成 MFA。 將 MFA 的安全性層級變更至「標準」時請特別注意。若 MFA 有標準安全性層級,但使用者設定檔設定「登入時所需工作階段安全性層級」需要高度保證工作階段安全性層級,則使用者無法登入。使用者存取權會在不符合「高度保證」需求時遭封鎖。 |
| 驗證提供者 | 標準 | 使用者可以使用來自第三方服務提供者的登入認證來登入 Salesforce 組織。 |
| SAML | 標準 | 系統會使用單一登入的 SAML 通訊協定來驗證使用者。 您也可以使用身分提供者所傳送 SAML 判斷式的 SessionLevel 屬性,來指定 SAML 工作階段的安全性層級。此屬性會取得以下兩個值之一:STANDARD 或 HIGH_ASSURANCE。 |
為報告、顯示面板和連線應用程式設定高度保證工作階段
您亦可設定原則來要求報告、顯示面板和連線應用程式的「高度保證」。您也可以指定當用來存取資源的工作階段非「高度保證」時所要採取的動作。支援以下動作:
- 封鎖—這會透過顯示權限不足錯誤來阻止存取資源。
- 提高工作階段層級—提示使用者完成多因素驗證。當使用者成功驗證時,他們便可存取資源。對報告和顯示面板,您可在使用者存取報告或顯示面板,或在他們匯出和列印報告和顯示面板時套用此動作。
對於已定義安全性原則之連線應用程式、報告與顯示面板以外的應用程式,工作階段層級不會影響其中的資源。
如需在存取連線的應用程式時要求「高度保證」的資訊,請參閱針對連線的應用程式管理工作階段原則。
存取報告和顯示面板時若需要「高度保證」原則,請採取以下步驟。
- 進入「設定」,在「快速尋找」方塊中,輸入存取原則」,然後選取「存取原則」。
- 選取「需要高保證工作階段」。
- 選取封鎖存取報告和顯示面板的選項,或將工作階段層級提高為高度保證。
- 儲存您的變更。
如需詳細資訊,請參閱針對敏感性作業要求高度保證工作階段安全性
進行登出頁面設定
- 進入「設定」,在「快速尋找」方塊中,輸入工作階段設定,然後選取「工作階段設定」。
-
針對「登出 URL 」,輸入使用者登出 Salesforce 後,將重新導向使用者至該頁面的 URL。例如:輸入驗證提供者的頁面或客戶品牌頁面的 URL 。
只有尚未在身分提供者、SAML 單一登入或第三方驗證提供者設定中指定登出 URL 時,才會使用此重新導向 URL。如果您未提供登出 URL,則預設值為 https://MyDomainName.my.salesforce.com。
-
若要將瀏覽器中所有過期索引標籤重新導向至自訂登出 URL,請選取「將重新導向登出 URL 儲存在本機瀏覽器中」。啟用此設定前,請檢閱以下考量事項。
此設定會使用瀏覽器本身的儲存空間來自訂登出 URL 。請確認此設定不會影響您個人自訂的登入整合。
