身份和身份验证控制

身份和身份验证控制

• 单点登录
  单点登录 (SSO) 是 Salesforce 中的基础安全控制，它支持集中的企业级身份管理，同时减少了对本地凭据的依赖。
• 多重身份验证
  多重身份验证 (MFA) 是一种安全的身份验证方法，除了密码之外，还需要用户使用第二种证据（或因素）来验证他们的身份。
• 验证提供商
  在 Salesforce 中，当您希望 Salesforce 允许用户使用来自其他服务的凭据登录时，会使用身份验证提供商。
• 身份提供商
  当您希望 Salesforce 成为“真相的来源”时，请将 Salesforce 配置为身份提供商 (IdP)。
• 身份验证
  Salesforce 中身份验证设置的控制目标是通过要求用户在登录上下文更改时提供辅助身份证明来强制执行基于风险的身份验证。
• OAuth 和 OpenID Connect 设置
  OAuth 主要用于为外部应用程序提供对平台数据的安全的委派访问。
• 单点登录设置
  单点登录通过允许用户使用受信任的身份提供商访问 Salesforce 和集成的应用程序来集中身份验证。
• 会话安全级别策略
  高保证会话安全性的控制目标是对高风险操作强制执行“逐步身份验证”。
• 对 Experience Cloud 站点用户进行身份验证
  为 Experience 站点用户启用基于 SAML 的 SSO 的控制目标是集中外部身份管理。
• 单点注销
  为与外部应用程序或身份提供商的连接配置适用用户个案上的单点注销。
• 登录访问
  Salesforce 允许 Salesforce 管理员设置您的组织，以允许 Salesforce 支持用户、合作伙伴支持用户或订阅者以其他用户身份登录 Salesforce 组织。
• 管理用户密码
  Salesforce 中的密码策略强制实施强大的身份验证标准（例如复杂性、长度和到期），以防止通过“暴力”或“凭据填充”攻击进行未经授权的访问。
• Lightning Login 实现无密码登录
  将 Lightning Login 限制为仅具有特定“Lightning Login 用户”权限的用户的控制目标是确保将无密码身份验证部署为特权的精细访问方法，而不是组织范围的默认设置。
• 使用 SCIM 管理 Salesforce 用户身份
  使用 SCIM（跨域身份管理系统）管理 Salesforce 用户身份有助于自动化整个用户生命周期。
• 会话安全设置
  了解会话安全设置。
• 限制与外部 URL 和来源的交互
  了解限制与外部 URL 和来源的交互。
• 限制登录 IP 范围
  简档级别的登录 IP 范围通过将 Salesforce 访问权限限制为仅授权、公司控制的网络环境（例如公司 VPN 或办公室 IP），强制执行Trust任边界。