Sie befinden sich hier:
Authentifizieren der Benutzersteuerung für Experience Cloud-Sites
Das Steuerziel der Aktivierung von SAML-basiertem SSO für Experience-Site-Benutzer besteht darin, die externe Identitätsverwaltung zu zentralisieren.
Steuerelementname
Experience Cloud-Site-Benutzerauthentifizierung
Empfohlene Konfiguration
Aktivieren Sie zentralisiertes SSO, das in die SAML-Authentifizierung mit einem Identitätsanbieter (Enterprise Identity Provider, IdP) integriert ist, und erzwingen Sie strenge Authentifizierungsrichtlinien.
Steuerelementübersicht
Das Steuerziel der Aktivierung von SAML-basiertem SSO für Experience-Site-Benutzer besteht darin, die externe Identitätsverwaltung zu zentralisieren und sicherzustellen, dass Partner und Kunden sich über ein einzelnes verwaltetes Unternehmensverzeichnis authentifizieren. Diese Einrichtung ermöglicht den Widerruf von Zugriffen in Echtzeit und die konsistente Erzwingung von Unternehmenssicherheitsrichtlinien wie der Multi-Faktor-Authentifizierung (MFA), wodurch verhindert wird, dass unberechtigte Zugriffe über verwaiste oder schwache lokale Anmeldeinformationen erfolgen.
Sicherheitsrisiko, wenn nicht konfiguriert
Das primäre Sicherheitsrisiko besteht in einer Lücke bei der Verwaltung von Anmeldeinformationen, bei der externe Benutzer über schwache lokale Kennwörter, die nicht mit Ihrem Corporate Identity Store synchronisiert werden, aktiven, nicht überwachten Zugriff beibehalten. Durch diese fehlende zentralisierte Steuerung wird die Echtzeit-Aufhebung der Bereitstellung verhindert, sodass gekündigte Partner oder Kunden lange nach Beendigung ihrer Geschäftsbeziehung weiterhin Zugriff auf proprietäre Dokumente und sensible Daten haben.
Bedrohungsszenarien
Ein Angreifer nutzt ein schwaches oder wiederverwendetes Kennwort für den persönlichen Account eines Partners aus, um sich unbefugten Zugriff auf Ihre Experience-Site zu verschaffen und dabei proprietäre Preise oder Kundendaten zu erfassen. Da der Account lokal und nicht über ein zentralisiertes SSO verwaltet wird, ist sich Ihr IT-Team der Verletzung nicht bewusst und kann den Zugriff auf das gesamte Ökosystem nicht sofort widerrufen.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Der Risikoschweregrad hängt von den Benutzerberechtigungsebenen, Freigaberegeln und den verwendeten Authentifizierungsmechanismen ab.
Höheres Risiko, wenn
Fehlen strenger Rollen und Berechtigungen für den Objektzugriff, die für Benutzer und Profile definiert sind.
Geringes Risiko, wenn
Diese Regelung kann als risikoarm angesehen werden, wenn eine oder mehrere Ausgleichsregelungen implementiert werden, einschließlich:
- Multi-Faktor-Authentifizierung: Die Multi-Faktor-Authentifizierung wird am Identitätsanbieter oder über Salesforce-Richtlinien für die Authentifizierung mit hoher Sicherung erzwungen.
- Anmelde-IP-Zulassungsliste: Schränken Sie die IP-Adresse des Benutzerprofils ein, um sicherzustellen, dass es aus einem vertrauenswürdigen Netzwerk stammt.
Überlegungen zu Unternehmen und Integration
Kunden sollten ihren Geschäftsprozess, die Benutzerberechtigung und -rollen sowie die Benutzererfahrung berücksichtigen, um den Authentifizierungsprozess für Experience-Site-Benutzer zu konfigurieren.
Empfohlene Sanierung
Konfigurieren Sie Experience-Site-Benutzer für die Authentifizierung mit SAML.
Anleitung zur Sicherheitsintegritätsprüfung
SAML-Authentifizierung für Experience-Site-Benutzer erforderlich.
