breadcrumbDescription
Godkendelsesudbydere
I Salesforce bruges der en godkendelsesudbyder, når du ønsker, at Salesforce skal lade brugere logge ind ved brug af deres legitimationsoplysninger fra en anden tjeneste.
Sikkerhedstilstandscheck evaluerer din godkendelsesudbyderliste, der er tilladt i din Salesforce-organisation, ved brug af konfigurationssignaler, der er i overensstemmelse med de bedste fremgangsmåder, der anbefales af Salesforce, og fremhæver mangler, der repræsenterer den højeste sikkerheds- og forretningsrisiko.
Kontrolnavn
Konfiguration og validering af godkendelsesudbyder
Anbefalet konfiguration
Konfigurer, valider og gennemgå regelmæssigt alle godkendelsesudbydere for at sikre, at de er betroede, tilpasset korrekt og integreret sikkert.
Kontroller oversigt
Godkendelsesudbydere tillader, at Salesforce uddelegerer brugergodkendelse til betroede tredjepartsidentitetsplatforme, f.eks. Apple, Google, Microsoft, OpenID Connect-udbydere og andre understøttede tjenester. Korrekt konfiguration sikrer, at godkendelsespåstande kun accepteres fra bekræftede kilder, og at brugerprovisionering og adgang kontrolleres sikkert.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Ikke-bekræftede eller ukonfigurerede godkendelsesudbydere kan tillade Salesforce at acceptere bedrageriske godkendelsesanprisninger, hvilket fører til uautoriseret brugeroprettelse, kontoovertagelse eller adgang fra usikrede identitetskilder.
Trusselscenarier
Accept af forfalskede eller afspilte godkendelsestokener, uautoriseret brugerprovisionering via forkert konfigurerede identitetsudbydertilknytninger (IdP), Trust med udfasede eller kompromitterede IdP'er, misbrug af overdrevent tilladende udbyderkonfigurationer.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Risikostyring afhænger af antallet af godkendelsesudbydere, der er konfigureret, brugerpopulationsstørrelse, adgangsrettigheder, der er tildelt ved login, og om udbyderne er eksternt administrerede eller rettet mod forbrugere.
Højere risiko når
Godkendelsesudbydere bekræftes ikke formelt, udbydermetadata er forældede, attributtilknytninger er overdrevent tilladende, eller flere udbydere af forbrugerniveau er aktiveret uden styringskontroller.
Lav eller ingen risiko når
Denne kontrol kan betragtes som lav risiko, når der implementeres et eller flere af følgende:
- Validering af betroet udbyder: Godkendelsesudbydere er kun aktiveret for godkendte og betroede identitetsplatforme.
- Sikker attributtilknytning: Brugerattributter og klargørelsesregler er nøje tilpasset for at håndhæve mindste rettighed.
- Metadata Management: Udbydercertifikater, slutpunkter og metadata bevares opdateret og gennemses regelmæssigt.
- MFA-håndhævelse: MFA håndhæves hos godkendelsesudbyderen eller via Salesforce-politikker med høj sikring.
- Styringskontroller: Godkendelsesudbydere administreres, dokumenteres og gennemses centralt som en del af administration af identitetslivscyklus.
Overvejelser i forbindelse med forretning og integration
Kunder bør evaluere forretningsjustering for hver godkendelsesudbyder, især forbrugeridentitetsplatforme, og sikre justering med adgangspolitikker, bestemmelseskrav og forventninger til brugeroplevelsen.
Anbefalet rettelse
Gennemse alle konfigurerede godkendelsesudbydere, deaktiver ubrugte eller usikrede udbydere, valider udbydermetadata og certifikater, begræns attributtilknytninger, håndhæv MFA og etabler periodiske styringsgennemgange.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer godkendelsesudbydere, der er konfigureret i Salesforce for at hjælpe kunder med at reducere risikoen for identitetsfederation, forhindre uautoriseret adgang og justere tredjepartsgodkendelsesintegrationer med Salesforce-anbefalede sikkerhedsbasislinjer og Trust ved at identificere tilsluttede godkendelsesudbydere.
