Loading
Protezione dell'organizzazione Salesforce
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            Controllo provider di identità

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Protezione dell'organizzazione Salesforce

            Controllo provider di identità

            Configurare Salesforce come provider di identità (IdP) quando si desidera che Salesforce sia la "fonte della verità".

            La configurazione di Salesforce come IdP consente agli utenti di accedere a Salesforce una sola volta e quindi di accedere ad altre applicazioni esterne senza eseguire nuovamente l'accesso. È possibile configurare Single Sign-On (SSO) in modo che gli utenti possano accedere a un fornitore di servizi esterno o a una relying party con le credenziali Salesforce. È possibile abilitare l'organizzazione Salesforce come IdP SAML e integrare un fornitore di servizi come app client esterna SAML o applicazione connessa. È anche possibile utilizzare OpenID Connect per integrare una relying party con l'organizzazione.

            Se implementata correttamente, l'organizzazione Salesforce diventa un IdP affidabile che consente agli utenti di accedere a Salesforce una volta e quindi di accedere alle altre applicazioni esterne senza eseguire nuovamente l'accesso. Quando sono configurate in modo errato, le aziende devono affrontare un rischio maggiore di compromissione delle credenziali, accesso non autorizzato, spostamento laterale e visibilità ridotta sul comportamento dell'identità. Gli agenti delle minacce non solo hanno accesso all'organizzazione Salesforce, ma vengono automaticamente connessi a tutte le applicazioni connesse che si affidano a Salesforce.

            Security Health Review fornisce informazioni sul fatto che l'istanza di Salesforce sia configurata come IdP utilizzando segnali di configurazione in linea con le procedure consigliate da Salesforce ed evidenzia le lacune che presentano il rischio aziendale e di sicurezza più elevato.

            Nome controllo

            Configurazione e convalida del provider di identità

            Configurazione consigliata

            Configurare, convalidare e rivedere regolarmente l'impostazione del provider di identità Salesforce per assicurarsi che siano correttamente limitati e integrati in modo sicuro.

            Panoramica sul controllo

            L'impostazione del provider di identità consente a Salesforce di essere il provider di identità che consente agli utenti di accedere a Salesforce e quindi accedere alle altre applicazioni esterne elencate come fornitori di servizi senza eseguire nuovamente l'accesso. Una configurazione corretta garantisce che le asserzioni di autenticazione vengano inviate in modo sicuro tramite algoritmi di firma sicuri, gli ambiti di accesso vengono configurati con il controllo di accesso appropriato.

            Rischio per la sicurezza se non configurato

            Un'impostazione errata del provider di servizi può consentire a Salesforce di fornire un accesso eccessivo, un offboarding incompleto che causa l'acquisizione non autorizzata di account o l'accesso dei fornitori di servizi connessi e anche di Salesforce tramite movimento laterale.

            Scenari di minaccia

            Accettazione di token di autenticazione contraffatti o riprodotti, provisioning utente non autorizzato tramite mappature IdP non configurate correttamente, relazioni Trust con IdP deprecati o compromessi, uso improprio di configurazioni provider eccessivamente permissive.

            Intervallo di punteggi CVSS stimato

            Critico (9.0–10.0).

            Considerazioni sull'impatto del rischio

            La gravità del rischio dipende dal numero di applicazioni esterne connesse come fornitori di servizi configurati, dalle dimensioni della popolazione degli utenti, dai privilegi di accesso concessi all'accesso e dal fatto che i fornitori siano gestiti esternamente o rivolti ai consumatori.

            Rischio maggiore quando

            L'impostazione del provider di identità non è configurata con un algoritmo di sicurezza delle asserzioni forte e ambiti di autorizzazione eccessivi.

            Rischio basso o nullo quando

            Questo controllo può essere considerato a basso rischio quando vengono implementati uno o più dei seguenti elementi:

            • Revisione periodica dei fornitori di servizi: Esaminare le applicazioni connesse a Salesforce come fornitori di servizi e comprenderne i rischi.
            • Gestione certificati: Esaminare periodicamente il certificato utilizzato per consentire all'organizzazione di comunicare con il fornitore di servizi, utilizzare CA affidabile per il certificato.
            • Autenticazione forzata configurata: Assicurare agli utenti che hanno già eseguito l'accesso a Salesforce di immettere nuovamente le credenziali quando tentano di accedere al fornitore di servizi.
            • Mappatura attributi protetti: Gli attributi utente e le regole di provisioning sono strettamente limitati per imporre privilegi minimi.
            • Timeout di accesso: Disconnette automaticamente gli utenti dal fornitore di servizi quando si disconnettono da Salesforce.
            • Gestione dei metadati: Gli endpoint di individuazione dei metadati vengono mantenuti aggiornati e rivisti periodicamente.
            • Applicazione della MFA: La MFA viene applicata per gli utenti Salesforce
            • Limitazione di accesso IP: Limitazione di accesso IP per gli utenti con privilegi di modifica dell'impostazione
            • Controlli di governance: Le impostazioni di Salesforce vengono gestite, documentate e riviste a livello centrale nell'ambito della gestione del ciclo di vita dell'identità.

            Considerazioni su Business e integrazione

            I clienti devono valutare la giustificazione aziendale per ogni provider di autenticazione, in particolare per le piattaforme di identità dei consumatori, e assicurarsi che siano in linea con le policy di accesso, i requisiti normativi e le aspettative di esperienza degli utenti.

            Rimedio consigliato

            Esaminare tutte le impostazioni IdP configurate, i fornitori di servizi connessi, disabilitare i provider non utilizzati o non affidabili, convalidare i metadati e i certificati dei provider, limitare le mappature degli attributi, applicare la MFA e stabilire revisioni periodiche della governance.

            Guida all'esame dello stato della sicurezza

            Security Health Review identifica un'impostazione IdP configurata in Salesforce per aiutare i clienti a ridurre il rischio di federazione dell'identità, impedire l'accesso non autorizzato con i principi di base di sicurezza consigliati da Salesforce e Zero Trust identificando i fornitori di servizi connessi e l'impostazione IdP.

            Vedere anche:

             
            Caricamento
            Salesforce Help | Article