验证提供商

控件名称

身份验证提供商配置和验证

推荐配置

配置、验证并定期审查所有身份验证提供商，以确保它们可信、范围正确和安全集成。

控制概览

身份验证提供商允许 Salesforce 将用户身份验证委派给受信任的第三方身份平台，例如 Apple、Google、Microsoft、OpenID Connect 提供商和其他支持服务。正确配置可确保身份验证声明仅从已验证的来源接受，并且用户配置和访问得到安全控制。

安全风险（如果未配置）

未经验证或配置错误的身份验证提供商可以允许 Salesforce 接受欺诈性的身份验证声明，从而导致未经授权的用户创建、帐户接管或从不可信身份源访问。

威胁场景

接受伪造或重放的身份验证令牌、通过配置错误的身份提供商 (IdP) 映射进行未经授权的用户配置、与已弃用或已泄露的 IdP 之间的 Trust 关系、滥用过度宽松的提供商配置。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

风险严重性取决于配置的身份验证提供商的数量、用户群体大小、登录时授予的访问权限，以及提供商是外部受管还是面向消费者。

高风险

身份验证提供商未经过正式验证，提供商元数据过时，属性映射过于宽松，或者启用了多个消费者级提供商，但没有治理控制。

低风险或无风险

在实施以下一项或多项时，此控制可视为低风险：

• 受信提供商验证：身份验证提供商仅为已批准和受信的身份平台启用。
• 安全属性映射：用户属性和配置规则的范围严格，以强制执行最低权限。
• 元数据管理：提供商证书、端点和元数据保持最新，并定期查看。
• MFA 执行：MFA 在身份验证提供商处或通过 Salesforce 高保证策略强制执行。
• 治理控制：身份验证提供商作为身份生命周期管理的一部分进行集中管理、记录和审查。

业务和集成注意事项

客户应评估每个身份验证提供商的业务理由，特别是消费者身份平台，并确保与访问策略、监管要求和用户体验预期保持一致。

建议的补救措施

查看所有配置的身份验证提供商，关闭未使用或不可信的提供商，验证提供商元数据和证书，限制属性映射，强制执行 MFA，并建立定期治理审查。

安全健康审查指导

安全健康审查识别在 Salesforce 中配置的身份验证提供商，以帮助客户降低身份联盟风险，防止未经授权的访问，并通过识别连接的身份验证提供商，使第三方身份验证集成与 Salesforce 推荐的安全基准和 Zero Trust 原则保持一致。