Controle van authenticatieleverancier

Controlenaam

Configuratie en validatie van authenticatieleveranciers

Aanbevolen configuratie

Configureer, valideer en controleer regelmatig alle authenticatieleveranciers om er zeker van te zijn dat ze vertrouwd, correct bereikt en veilig geïntegreerd zijn.

Overzicht van besturingselementen

Met authenticatieleveranciers kan Salesforce gebruikersauthenticatie delegeren aan vertrouwde externe identiteitsplatforms zoals Apple, Google, Microsoft, OpenID Connect-leveranciers en andere ondersteunde services. De juiste configuratie zorgt ervoor dat authenticatiedefinities alleen worden geaccepteerd vanuit geverifieerde bronnen en dat gebruikersprofielen en toegang veilig worden beheerd.

Beveiligingsrisico indien niet geconfigureerd

Niet-geverifieerde of verkeerd geconfigureerde authenticatieleveranciers kunnen Salesforce toestaan frauduleuze authenticatiedefinities te accepteren, die leiden tot het maken van ongeoorloofde gebruikers, het overnemen van accounts of toegang vanuit niet-vertrouwde identiteitsbronnen.

Dreigingsscenario's

Acceptatie van vervalste of opnieuw afgespeelde authenticatietokens, ongeautoriseerde gebruikersprofielen via verkeerd geconfigureerde toewijzingen van identiteitsleveranciers (IdP's), Trust relaties met verouderde of gecompromitteerde IdP's, misbruik van te permissieve configuraties van aanbieders.

Geschatte CVSS-scorebereik

Kritiek (9,0–10,0).

Overwegingen bij risico-impact

De ernst van het risico is afhankelijk van het aantal geconfigureerde authenticatieleveranciers, de grootte van de gebruikerspopulatie, de toegangsprivileges die bij inloggen worden verleend en of aanbieders extern worden beheerd of op de consument zijn gericht.

Hoger risico wanneer

Authenticatieleveranciers worden niet formeel geverifieerd, metagegevens van leveranciers zijn verouderd, kenmerktoewijzingen zijn te tolerant of meerdere aanbieders van consumentenkwaliteit zijn ingeschakeld zonder governance-controles.

Laag of geen risico wanneer

Deze controle kan als laag risico worden beschouwd bij de implementatie van een of meer van de volgende:

• Validatie vertrouwde aanbieder: Authenticatieleveranciers zijn alleen ingeschakeld voor goedgekeurde en vertrouwde identiteitsplatforms.
• Veilige kenmerktoewijzing: Gebruikerskenmerken en leveringsregels zijn strikt gericht op het afdwingen van de minste rechten.
• Metagegevensbeheer: Leverancierscertificaten, eindpunten en metagegevens worden actueel gehouden en periodiek gecontroleerd.
• MFA-afdwinging: MFA wordt afgedwongen bij de authenticatieleverancier of via Salesforce-beleidsvormen met grote zekerheid.
• Besturingselementen voor governance: Authenticatieleveranciers worden centraal beheerd, gedocumenteerd en beoordeeld als onderdeel van identiteitslevenscyclusbeheer.

Overwegingen bij bedrijf en integratie

Klanten moeten de zakelijke rechtvaardiging voor elke authenticatieleverancier evalueren, met name consumentenidentiteitsplatforms, en zorgen voor afstemming met het toegangsbeleid, de wettelijke vereisten en de verwachtingen van de gebruikerservaring.

Aanbevolen oplossing

Controleer alle geconfigureerde authenticatieleveranciers, schakel ongebruikte of niet-vertrouwde leveranciers uit, valideer metagegevens en certificaten van leveranciers, beperk kenmerktoewijzingen, dwing MFA af en stel periodieke governancebeoordelingen op.

Begeleiding bij beoordeling van beveiligingstoestand

Beoordeling van beveiligingstoestand identificeert authenticatieleveranciers die in Salesforce zijn geconfigureerd om klanten te helpen het risico van identiteitsbundeling te verminderen, ongeoorloofde toegang te voorkomen en externe authenticatie-integraties af te stemmen op door Salesforce aanbevolen beveiligingsbaselines en Zero Trust principes door verbonden authenticatieleveranciers te identificeren.