驗證 Experience Cloud 網站使用者

控制名稱

Experience Cloud 網站使用者驗證

建議組態

使用企業身分提供者 (IdP),啟用與 SAML 驗證整合的集中 SSO,強制執行強大驗證原則。

控制概觀

針對 Experience 網站使用者啟用 SAML 型 SSO 的控制目標是集中外部身分管理,確保合作夥伴和客戶可針對單一受管理的公司目錄進行驗證。此設定允許即時撤銷存取權,並一致強制執行企業安全性原則,例如多因素驗證 (MFA),以防止來自孤立或弱本機認證的未經授權存取。

未設定安全性風險

主要的安全性風險是認證管理缺口,外部使用者可透過未與您公司身分存放區同步化的弱本機密碼,維持已啟用且未監視的存取權。此缺少集中控制可防止即時淘汰佈建,讓終止的合作夥伴或客戶在其專業關係結束後保留專屬文件和敏感資料的存取權。

威脅情況

攻擊者利用合作夥伴個人帳戶上的弱密碼或重複使用密碼,以取得未經授權的 Experience 網站存取權,並無聲地收集專屬定價或客戶資料。由於帳戶是由本機管理,而非透過集中 SSO 管理,因此您的 IT 小組不會注意到缺口,且無法立即撤銷整個生態系統的存取權。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

風險嚴重性取決於使用者權限層級、共用規則和使用的驗證機制。

風險愈高時機

缺少針對使用者和設定檔定義之物件存取權的嚴格角色和權限。

低度風險時機

實作一或多個補償控制,包括:

• 多因素驗證:MFA 會在 IdP 或透過 Salesforce 高保證驗證原則強制執行。
• 登入 IP 允許清單:限制使用者設定檔的 IP 位址,以確保其來自信任的網路。

業務與整合考量事項

客戶應考量其業務流程、使用者權限和角色,以及使用者體驗,以針對 Experience 網站使用者設定驗證流程。

建議的補救措施

設定 Experience 網站使用者以使用 SAML 進行驗證。

安全性健康檢閱指南

要求 Experience 網站使用者進行 SAML 驗證。