인증 공급자

제어 이름

인증 공급자 구성 및 유효성 검사

권장 구성

모든 인증 공급자를 구성, 확인, 정기적으로 검토하여 신뢰할 수 있고 범위가 올바르고 안전하게 통합되어 있는지 확인합니다.

제어 개요

인증 공급자를 사용하면 Salesforce가 Apple, Google, Microsoft, OpenID Connect 공급자 및 기타 지원되는 서비스와 같은 신뢰할 수 있는 타사 ID 플랫폼에 사용자 인증을 위임할 수 있습니다. 올바른 구성을 통해 인증 어설션은 확인된 소스에서만 승인되고 사용자 프로비저닝 및 액세스가 안전하게 제어됩니다.

구성되지 않은 경우 보안 위험

확인되지 않거나 잘못 구성된 인증 공급자는 Salesforce가 사기성 인증 어설션을 수락하도록 허용할 수 있으므로 무단 사용자 생성, 계정 인수 또는 신뢰할 수 없는 ID 소스에서 액세스할 수 있습니다.

위협 시나리오

가짜 또는 재생된 인증 토큰의 수락, 잘못 구성된 ID 공급자(IdP) 매핑을 통한 무단 사용자 프로비저닝, 사용되지 않거나 손상된 IdP와의 Trust 관계, 과도하게 허용되는 공급자 구성의 오용

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

위험 심각도는 구성된 인증 공급자의 수, 사용자 모집단의 크기, 로그인 시 부여된 액세스 권한, 공급자가 외부에서 관리되는지 아니면 소비자 대면하는지에 따라 다릅니다.

고위험 시점

인증 공급자가 공식적으로 확인되지 않거나, 공급자 메타데이터가 기한이 경과하거나, 특성 매핑이 과도하게 허용되거나, 관리 제어 없이 여러 소비자 등급 공급자가 활성화됩니다.

낮은 위험 또는 비위험

이 제어는 다음 중 하나 이상을 구현할 때 낮은 위험으로 간주할 수 있습니다.

• 신뢰할 수 있는 제공자 유효성 검사: 인증 공급자는 승인 및 신뢰할 수 있는 ID 플랫폼에 대해서만 활성화됩니다.
• 보안 특성 매핑: 사용자 특성 및 프로비저닝 규칙은 최소 권한을 적용하기 위해 범위를 좁힙니다.
• 메타데이터 관리: 제공자 인증서, 끝점, 메타데이터는 최신 상태로 유지되고 정기적으로 검토됩니다.
• MFA 적용: MFA는 인증 공급자 또는 Salesforce 높은 보증 정책을 통해 적용됩니다.
• 거버넌스 제어: 인증 공급자는 ID 수명 주기 관리의 일부로 중앙에서 관리, 문서화, 검토됩니다.

비즈니스 및 통합 고려 사항

고객은 각 인증 공급자, 특히 소비자 ID 플랫폼에 대한 비즈니스 근거를 평가하고 액세스 정책, 규제 요구 사항, 사용자 환경 기대에 맞춰야 합니다.

권장 수정

구성된 모든 인증 공급자를 검토하고, 사용하지 않는 또는 신뢰할 수 없는 공급자를 해제하고, 공급자 메타데이터 및 인증서의 유효성을 검사하고, 특성 매핑을 제한하고, MFA를 적용하고, 정기적인 거버넌스 검토를 설정합니다.

보안 상태 검토 지침

보안 상태 검토는 Salesforce에 구성된 인증 공급자를 식별하여 연결된 인증 공급자를 식별하여 고객이 ID 연합 위험을 줄이고 무단 액세스를 방지하고 타사 인증 통합을 Salesforce 권장 보안 기준 및 제로 Trust 원칙에 맞추도록 지원합니다.