Authentifizierungsanbieter

Steuerelementname

Konfiguration und Validierung des Authentifizierungsanbieters

Empfohlene Konfiguration

Konfigurieren, validieren und überprüfen Sie alle Authentifizierungsanbieter regelmäßig, um sicherzustellen, dass sie vertrauenswürdig, richtig in den Geltungsbereich aufgenommen und sicher integriert sind.

Steuerelementübersicht

Mit Authentifizierungsanbietern kann Salesforce die Benutzerauthentifizierung an vertrauenswürdige Identitätsdrittanbieter wie Apple, Google, Microsoft, OpenID Connect und andere unterstützte Services delegieren. Durch die richtige Konfiguration wird sichergestellt, dass Authentifizierungsbehauptungen nur aus überprüften Quellen akzeptiert werden und dass die Benutzerbereitstellung und der Zugriff sicher gesteuert werden.

Sicherheitsrisiko, wenn nicht konfiguriert

Nicht überprüfte oder falsch konfigurierte Authentifizierungsanbieter können es Salesforce ermöglichen, betrügerische Authentifizierungsbehauptungen zu akzeptieren, was zur Erstellung nicht autorisierter Benutzer, zur Accountübernahme oder zum Zugriff über nicht vertrauenswürdige Identitätsquellen führt.

Bedrohungsszenarien

Akzeptanz von gefälschten oder wiedergegebenen Authentifizierungstoken, nicht autorisierte Benutzerbereitstellung über falsch konfigurierte Identitätsanbieterzuordnungen, Trust Beziehungen mit veralteten oder kompromittierten Identitätsanbietern, Missbrauch von zu freizügigen Anbieterkonfigurationen.

Geschätzter CVSS-Bewertungsbereich

Kritisch (9.0–10.0).

Überlegungen zu Risikoauswirkungen

Der Risikoschweregrad hängt von der Anzahl der konfigurierten Authentifizierungsanbieter, der Benutzerpopulationsgröße, den bei der Anmeldung gewährten Zugriffsberechtigungen und davon ab, ob Anbieter extern verwaltet oder Verbraucher sind.

Höheres Risiko, wenn

Authentifizierungsanbieter werden nicht formal überprüft, Anbietermetadaten sind veraltet, Attributzuordnungen sind zu freizügig oder mehrere Anbieter auf Verbraucherebene sind ohne Steuerungssteuerung aktiviert.

Geringes oder kein Risiko, wenn

Dieses Steuerelement kann als risikoarm angesehen werden, wenn eine oder mehrere der folgenden Aktionen implementiert werden:

• Validierung vertrauenswürdiger Anbieter: Authentifizierungsanbieter sind nur für genehmigte und vertrauenswürdige Identitätsplattformen aktiviert.
• Sichere Attributzuordnung: Benutzerattribute und Bereitstellungsregeln sind eng begrenzt, um geringste Berechtigungen zu erzwingen.
• Metadata Management: Anbieterzertifikate, Endpunkte und Metadaten werden regelmäßig aktualisiert und überprüft.
• MFA Enforcement: Die MFA wird beim Authentifizierungsanbieter oder über Salesforce-Richtlinien mit hoher Sicherung erzwungen.
• Steuerungssteuerungen: Authentifizierungsanbieter werden im Rahmen der Identitätslebenszyklus-Verwaltung zentral verwaltet, dokumentiert und überprüft.

Überlegungen zu Unternehmen und Integration

Kunden sollten die geschäftliche Begründung für jeden Authentifizierungsanbieter, insbesondere für Consumer Identity-Plattformen, auswerten und sicherstellen, dass sie mit den Zugriffsrichtlinien, den gesetzlichen Anforderungen und den Erwartungen an die Benutzererfahrung in Einklang stehen.

Empfohlene Sanierung

Überprüfen Sie alle konfigurierten Authentifizierungsanbieter, deaktivieren Sie nicht verwendete oder nicht vertrauenswürdige Anbieter, validieren Sie Anbietermetadaten und Zertifikate, schränken Sie Attributzuordnungen ein, erzwingen Sie die Multi-Faktor-Authentifizierung und richten Sie regelmäßige Governance-Überprüfungen ein.

Anleitung zur Sicherheitsintegritätsprüfung

Die Sicherheitsintegritätsprüfung identifiziert in Salesforce konfigurierte Authentifizierungsanbieter, um Kunden dabei zu unterstützen, das Identitätsverbundrisiko zu reduzieren, unbefugten Zugriff zu verhindern und Authentifizierungsintegrationen von Drittanbietern an die von Salesforce empfohlenen Sicherheitsgrundlagen und Zero Trust Prinzipien anzupassen, indem verbundene Authentifizierungsanbieter identifiziert werden.