Поставщики проверки подлинности

Управление именем

Конфигурация и проверка поставщика проверки подлинности

Рекомендованная конфигурация

Настройте, проверьте и регулярно проверяйте всех поставщиков проверки подлинности, чтобы убедиться, что они надежные, корректно распределены и безопасно интегрированы.

Общие сведения о контроле

Поставщики проверки подлинности позволяют Salesforce делегировать проверку подлинности пользователей надежным сторонним платформам идентификации, например, Apple, Google, Microsoft, поставщикам OpenID Connect и другим поддерживаемым службам. Правильная конфигурация обеспечивает принятие утверждений проверки подлинности только из проверенных источников и безопасный контроль инициализации и доступа пользователя.

Риск безопасности, если он не настроен

Непроверенные или некорректно настроенные поставщики проверки подлинности могут позволить Salesforce принимать мошеннические утверждения проверки подлинности, приводящие к несанкционированному созданию пользователя, захвату организации или доступу из ненадежных источников удостоверений.

Сценарии угроз

Принятие поддельных или воспроизведенных маркеров проверки подлинности, неавторизованная инициализация пользователя посредством неправильно настроенных соотнесений поставщика удостоверений (IdP), отношения Trust с нерекомендуемыми или скомпрометированными IdP, неправильное использование слишком мягких конфигураций поставщика удостоверений.

Примерный диапазон оценки CVSS

Критические (9,0-10,0).

Рекомендации по влиянию риска

Тяжесть риска зависит от количества настроенных поставщиков проверки подлинности, размера загруженности пользователей, привилегий доступа, предоставленных при входе, а также от того, находятся ли поставщики под внешним управлением или ориентированы на потребителя.

Повышенный риск при

Поставщики проверки подлинности формально не проверяются, метаданные поставщика устарели, соотнесения атрибутов слишком гибкие или включено несколько поставщиков потребительского уровня без элементов управления.

Низкий или нулевой риск при

Этот элемент управления можно считать низкорисковым при внедрении одного или нескольких из следующих элементов:

• Проверка надежного поставщика: Поставщики проверки подлинности включены только для утвержденных и надежных платформ удостоверений.
• Безопасное соотнесение атрибутов: Атрибуты пользователя и правила инициализации жестко ограничены, чтобы применить наименьшие привилегии.
• Управление метаданными: Сертификаты поставщиков, конечные точки и метаданные постоянно обновляются и периодически проверяются.
• Внедрение MFA: MFA внедряется в поставщике проверки подлинности или посредством высоконадежных политик Salesforce.
• Элементы управления: Поставщики проверки подлинности управляются централизованно, документируются и проверяются как часть управления жизненным циклом удостоверений.

Рекомендации по бизнесу и интеграции

Клиенты должны оценить бизнес-обоснование для каждого поставщика проверки подлинности, особенно для платформ удостоверения пользователя, и обеспечить соответствие политикам доступа, нормативным требованиям и ожиданиям взаимодействия пользователя.

Рекомендованное исправление

Просмотрите всех настроенных поставщиков проверки подлинности, выключите неиспользуемых или ненадежных поставщиков, проверьте метаданные и сертификаты поставщиков, ограничьте соотнесения атрибутов, примените MFA и установите периодические проверки управления.

Руководство по проверке состояния безопасности

Обзор состояния безопасности определяет поставщиков проверки подлинности, настроенных в Salesforce, чтобы помочь клиентам снизить риск интегрирования удостоверений, предотвратить несанкционированный доступ и согласовать интеграции проверки подлинности сторонних компаний с рекомендованными Salesforce базовыми показателями безопасности и принципами Zero Trust, определив подключенных поставщиков проверки подлинности.