Experience Cloud サイトユーザーの認証

コントロール名

Experience Cloud サイトユーザー認証

推奨設定

エンタープライズ ID プロバイダー (IdP) を使用して SAML 認証と統合した集中型 SSO を有効にし、強力な認証ポリシーを適用します。

制御の概要

エクスペリエンスサイトユーザーの SAML ベースの SSO を有効にする制御目的は、外部 ID 管理を一元化し、パートナーと顧客が 1 つの管理対象企業ディレクトリに対して認証されるようにします。この設定により、リアルタイムのアクセス取り消しと、多要素認証 (MFA) などのエンタープライズセキュリティポリシーの一貫した適用が可能になり、孤立したローカルログイン情報や脆弱なローカルログイン情報からの不正アクセスを防止できます。

設定されていない場合のセキュリティリスク

主なセキュリティリスクは、外部ユーザーが、会社の ID ストアと同期されていない脆弱なローカルパスワードを使用して有効な監視されていないアクセスを維持するログイン情報管理のギャップです。この一元管理の欠如により、リアルタイムのプロビジョニング解除が妨げられるため、解除したパートナーや顧客は、プロフェッショナルな関係が終了した後も、専有ドキュメントや機密データへのアクセスを維持できます。

脅威のシナリオ

攻撃者は、パートナーの個人アカウントで脆弱なパスワードや再利用されたパスワードを悪用して、エクスペリエンスサイトに不正に侵入、独自の価格設定や顧客データを黙って収集します。アカウントは一元化された SSO ではなくローカルで管理されるため、IT チームは侵害に気付かず、エコシステム全体のアクセス権をすぐに取り消すことはできません。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

リスクの重要度は、ユーザー権限レベル、共有ルール、および使用される認証メカニズムによって異なります。

より高いリスク

ユーザーとプロファイルに定義されたオブジェクトアクセスの厳格なロールと権限がない。

低リスク

次のような 1 つ以上の補償制御が実装されている場合、この制御は低リスクとみなされます。

• 多要素認証: MFA は IdP で適用されるか、Salesforce 高保証認証ポリシーを介して適用されます。
• Login IP Allowlist (ログイン IP 許可リスト): ユーザープロファイルの IP アドレスを制限して、信頼済みネットワークからのものであることを保証します。

ビジネスと統合に関する考慮事項

顧客は、エクスペリエンスサイトユーザーの認証プロセスを設定するために、ビジネスプロセス、ユーザーの権限とロール、ユーザーエクスペリエンスを考慮する必要があります。

推奨される修復

SAML を使用して認証するようにエクスペリエンスサイトユーザーを設定します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

エクスペリエンスサイトユーザーに SAML 認証を要求する。