对 Experience Cloud 站点用户进行身份验证

控件名称

Experience Cloud 站点用户身份验证

推荐配置

启用与使用企业身份提供商 (IdP) 的 SAML 身份验证集成的集中式 SSO，强制执行强身份验证策略。

控制概览

为 Experience 站点用户启用基于 SAML 的 SSO 的控制目标是集中外部身份管理，确保合作伙伴和客户根据单个受管公司目录进行身份验证。此设置允许实时撤销访问权限，并一致强制执行企业安全策略，例如多重身份验证 (MFA)，防止从孤立或弱本地凭据进行未经授权的访问。

安全风险（如果未配置）

主要安全风险是凭据管理漏洞，外部用户通过未与公司身份存储同步的弱本地密码保持活动、不受监控的访问。这种缺乏集中控制的情况阻止了实时取消配置，允许终止的合作伙伴或客户在其专业关系结束后很长时间内保留对专有文档和敏感数据的访问权限。

威胁场景

攻击者利用合作伙伴个人帐户上的弱密码或重复使用的密码未经授权进入您的 Experience 站点，以静默方式获取专有定价或客户数据。因为客户是在本地管理的，而不是通过集中的 SSO，所以您的 IT 团队仍然不知道这个漏洞，并且不能立即撤销整个生态系统的访问权限。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

风险严重性取决于用户权限级别、共享规则和使用的身份验证机制。

高风险

缺少为用户和简档定义的严格角色和对象访问权限。

低风险

当实施一个或多个补偿控制时，这种控制可以被认为是低风险，包括：

• 多重身份验证：MFA 在 IdP 或通过 Salesforce 高保证身份验证策略强制执行。
• 登录 IP 允许列表：限制用户简档的 IP 地址，以确保它来自受信网络。

业务和集成注意事项

在为体验站点用户配置身份验证流程时，客户应考虑业务流程、用户权限和角色以及用户体验。

建议的补救措施

配置 Experience 站点用户，以使用 SAML 进行身份验证。

安全健康审查指导

需要 Experience 站点用户的 SAML 身份验证。