Loading
Proteger su organización de Salesforce
Índice de materias
Filtrar por (0)Agregar
Seleccionar filtros

          No hay resultados
          No hay resultados
          Estas son algunas sugerencias de búsqueda

          Compruebe la ortografía de sus palabras clave.
          Utilice términos de búsqueda más generales.
          Seleccione menos filtros para ampliar su búsqueda.

            Buscar en toda la Ayuda de Salesforce
            Buscar en toda la Ayuda de Salesforce
            Control de proveedor de identidad

            Usted está aquí:

            1. Ayuda de Salesforce
            2. Documentos
            3. Proteger su organización de Salesforce

            Control de proveedor de identidad

            Configure Salesforce como un proveedor de identidad (IdP) cuando desee que Salesforce sea la "fuente de la verdad".

            La configuración de Salesforce como un IdP permite a los usuarios iniciar sesión en Salesforce una vez y luego acceder a otras aplicaciones externas sin volver a iniciar sesión. Puede configurar el inicio de sesión único (SSO) de modo que los usuarios puedan iniciar sesión en un proveedor de servicio externo o parte de apoyo con sus credenciales de Salesforce. Puede activar su organización de Salesforce como un IdP de SAML e integrar un proveedor de servicio como una aplicación cliente externa de SAML o una aplicación conectada. También puede utilizar OpenID Connect para integrar una parte de apoyo con su organización.

            Cuando se implementa correctamente, su organización de Salesforce se convierte en un IdP fiable que ayuda a los usuarios a iniciar sesión en Salesforce una vez y luego acceder a otras aplicaciones externas sin volver a iniciar sesión. Cuando se configuran de forma incorrecta, las compañías enfrentan un mayor riesgo de compromiso de credenciales, acceso no autorizado, movimiento lateral y visibilidad reducida en el estado de identidad. Los actores de amenazas no solo tienen acceso a su organización de Salesforce, sino que inician sesión automáticamente en cada aplicación conectada que confía en Salesforce.

            Security Health Review proporciona información acerca de si su instancia de Salesforce está configurada como IdP utilizando señales de configuración alineadas con mejores prácticas recomendadas por Salesforce y resalta brechas que presentan el mayor riesgo de negocio y seguridad.

            Nombre de control

            Validación y configuración del proveedor de identidad

            Configuración recomendada

            Configure, valide y revise regularmente la configuración del proveedor de identidad de Salesforce para asegurarse de que tienen el ámbito correcto y están integrados de forma segura.

            Descripción general de control

            La configuración de Proveedor de identidad permite a Salesforce ser el IdP permitiendo a los usuarios iniciar sesión en Salesforce y luego acceder a las otras aplicaciones externas enumeradas como Proveedores de servicio sin volver a iniciar sesión. La configuración apropiada garantiza que las afirmaciones de autenticación se envían de forma segura a través de algoritmos de firma seguros, los ámbitos de acceso se configuran con el control de acceso correcto establecido.

            Riesgo de seguridad si no está configurado

            La configuración de IdP incorrecta puede permitir a Salesforce proporcionar acceso excesivo, incorporación incompleta que lleva a la toma de posesión de cuentas no autorizada o acceso de los Proveedores de servicio conectados y también Salesforce a través de movimiento lateral.

            Escenarios de amenazas

            Aceptación de tokens de autenticación falsificados o reproducidos, aprovisionamiento de usuarios no autorizado a través de asignaciones de IdP mal configuradas, relaciones Trust con IdP desusados o comprometidos, mal uso de configuraciones de proveedor demasiado permisivas.

            Intervalo de puntuaje de CVSS estimado

            Crítico (9,0 a 10,0).

            Consideraciones de impacto de riesgo

            La gravedad del riesgo depende del número de aplicaciones externas conectadas como Proveedores de servicio configurados, el tamaño de la población de usuarios, los privilegios de acceso otorgados al iniciar sesión y si los proveedores están gestionados de forma externa o de cara al consumidor.

            Mayor riesgo cuando

            La configuración de Proveedor de identidad no está configurada con un algoritmo de seguridad de afirmación sólido y ámbitos de permisos excesivos.

            Bajo o ningún riesgo cuando

            Este control se puede considerar de bajo riesgo cuando se implementa uno o más de los elementos siguientes:

            • Revisión periódica de proveedores de servicio: Revise las aplicaciones conectadas a Salesforce como proveedores de servicio y comprenda los riesgos.
            • Gestión de certificados: Revise periódicamente el certificado utilizado para permitir a su organización comunicarse con el proveedor de servicio, utilice CA de confianza para el certificado.
            • Autenticación forzada configurada: Garantizar que los usuarios que ya iniciaron sesión en Salesforce vuelvan a ingresar sus credenciales cuando intentan acceder al proveedor de servicio.
            • Asignación de atributos segura: Los atributos de usuario y las reglas de aprovisionamiento tienen un ámbito estricto para aplicar el menor privilegio.
            • Tiempo de espera de inicio de sesión: Cierre sesión automáticamente de los usuarios del proveedor de servicio cuando cierran sesión en Salesforce.
            • Gestión de metadatos: Los extremos de descubrimiento de metadatos se mantienen actualizados y se revisan periódicamente.
            • Aplicación de MFA: MFA se aplica para usuarios de Salesforce
            • Restricción de inicio de sesión de IP: Restricción de inicio de sesión de IP para usuarios con privilegios para modificar la configuración
            • Controles de gobernanza: La configuración de Salesforce se rige, documenta y revisa de forma centralizada como parte de la gestión del ciclo de vida de identidad.

            Consideraciones de negocio e integración

            Los clientes deben evaluar la justificación de negocio para cada Proveedor de autenticación, especialmente plataformas de identidad de consumidores, y garantizar la alineación con políticas de acceso, requisitos normativos y expectativas de experiencia de usuario.

            Remediación recomendada

            Revise toda la configuración de IdP configurada, los Proveedores de servicio conectados, desactive proveedores no utilizados o de confianza, valide certificados y metadatos de proveedores, restrinja asignaciones de atributos, aplique MFA y establezca revisiones de gobernanza periódicas.

            Directrices de revisión del estado de seguridad

            Security Health Review identifica una configuración de IdP configurada en Salesforce para ayudar a los clientes a reducir el riesgo de federación de identidad, evitar el acceso no autorizado con líneas base de seguridad recomendadas por Salesforce y principios de Zero Trust identificando Proveedores de servicio conectados y configuración de IdP.

            Consulte también:

             
            Cargando
            Salesforce Help | Article