위치:
내장형 로그인 제어
내장형 로그인은 JavaScript의 작은 부분을 사용하여 외부 웹 페이지에 직접 로그인 형식을 배치할 수 있는 기존 기능입니다.
제어 이름
내장형 로그인
권장 구성
Salesforce Identity 내장형 로그인을 사용하면 고객이 Salesforce 로그인 기능을 자체 외부 웹 사이트에 통합할 수 있습니다. 이 제어는 권장하지 않습니다.
제어 개요
내장형 로그인은 작은 조각의 JavaScript와 <iframe>와 같은 구조를 사용하여 외부 웹 페이지에 직접 로그인 양식을 넣을 수 있는 기존 기능입니다.
구성되지 않은 경우 보안 위험
로그인 인터페이스는 기술적으로 전용 보안 Salesforce 도메인이 아닌 외부 타사 사이트 내에서 "호스팅"되므로 클릭잭 및 크로스 사이트 스크립팅(XSS)의 위험이 높으므로 내장형 로그인을 사용하지 않는 것이 좋습니다.
위협 시나리오
공격자가 호스팅 웹 서버를 손상하고 내장형 로그인 스크립트에 악성 코드를 삽입하여 양식에 입력할 때 사용자 자격 증명을 "스니프"하고 캡처합니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
인증은 외부 프레임 내에서 이루어지므로 사용자는 Salesforce 브랜드화된 URL 표시줄의 시각적 보안을 상실하므로 합법적인 로그인 포털과 상호 작용하는지 확인하기가 거의 불가능합니다.
위험이 높은 경우
호스팅 웹 사이트에 엄격한 콘텐츠 보안 정책(CSP)이 없거나 브라우저에 프레임에 로그인 형식을 표시할 수 있는 권한이 있는 도메인을 정확하게 알려주는 특정 보안 머리글이 없는 경우 사이트를 허용되지 않은 타사 페이지가 하이재킹할 수 있게 합니다.
낮은 위험 시기
외부 사이트가 완전히 관리되고 높은 보안을 유지하며 가장 제한적인 브라우저 기반 보안 머리글을 사용하여 내장형 로그인 코드를 격리하는 경우에만 위험이 낮습니다.
비즈니스 및 통합 고려 사항
내장형 로그인을 유지하려면 타사 사이트의 JavaScript가 Salesforce의 발전하는 보안 업데이트 및 쿠키 처리 정책과 호환되는지 확인하기 위해 개발자 서비스 점검이 필요합니다.
권장 수정
조직은 내장형 로그인을 사용하는 대신 사용자 정의 UI에 대해 헤드리스 ID로 마이그레이션하거나 표준 OAuth 2.0 리디렉션 플로를 사용하여 강화된 Salesforce 도메인에서 인증을 수행해야 합니다.
보안 상태 검토 지침
보안 상태 검토에서는 iframes에 의존하므로 내장형 로그인을 사용하지 않는 것이 좋습니다. 따라서 타사 쿠키에 대한 최신 브라우저 제한으로 인해 상당한 클릭잭 위험과 자주 발생하는 세션 실패가 발생합니다.
