ID 공급자 제어

제어 이름

ID 공급자 구성 및 유효성 검사

권장 구성

Salesforce ID 공급자 설정을 구성, 확인, 정기적으로 검토하여 범위가 올바르게 지정되고 안전하게 통합되어 있는지 확인합니다.

제어 개요

ID 공급자 설정을 사용하면 Salesforce가 IdP가 되므로 사용자가 Salesforce에 로그인한 다음, 다시 로그인하지 않고 서비스 공급자로 나열된 다른 외부 응용 프로그램에 액세스할 수 있습니다. 올바른 구성을 통해 보안 서명 알고리즘을 통해 인증 어설션이 안전하게 전송되며, 액세스 범위가 올바른 액세스 제어를 사용하여 구성됩니다.

구성되지 않은 경우 보안 위험

잘못 구성된 IdP 설정으로 인해 Salesforce에서 과도한 액세스, 무단 계정 인수로 이어지는 불완전한 오프보딩 또는 측면 이동을 통해 연결된 서비스 공급자 및 Salesforce에 대한 액세스를 제공할 수 있습니다.

위협 시나리오

위조 또는 재생된 인증 토큰의 수락, 잘못 구성된 IdP 매핑을 통한 무단 사용자 프로비저닝, 사용되지 않거나 손상된 IdP와의 Trust 관계, 과도하게 허용되는 공급자 구성의 오용

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

위험 심각도는 서비스 공급자로 구성된 연결된 외부 응용 프로그램의 수, 사용자 모집단의 크기, 로그인 시 부여된 액세스 권한, 공급자가 외부에서 관리되는지 아니면 소비자 대면하는지에 따라 다릅니다.

위험이 높은 경우

ID 공급자 설정은 강력한 어설션 보안 알고리즘 및 과도한 권한 범위로 구성되지 않습니다.

낮은 위험 또는 비위험

다음 중 하나 이상이 구현되면 이 제어가 낮은 위험으로 간주될 수 있습니다.

• 서비스 공급자 정기 검토: Salesforce에 서비스 공급자로 연결된 응용 프로그램을 검토하고 위험을 이해합니다.
• 인증서 관리: 조직이 서비스 공급자와 통신할 수 있도록 사용하는 인증서를 정기적으로 검토하고 인증서에 신뢰할 수 있는 CA를 사용합니다.
• 인증 적용 구성: Salesforce에 이미 로그인한 사용자가 서비스 공급자에 액세스하려고 할 때 자격 증명을 다시 입력하도록 합니다.
• 보안 특성 매핑: 사용자 특성 및 프로비저닝 규칙은 최소 권한을 적용하기 위해 범위를 좁힙니다.
• 로그인 시간 제한: Salesforce에서 로그아웃하면 사용자가 서비스 공급자에서 자동으로 로그아웃됩니다.
• 메타데이터 관리: 메타데이터 검색 끝점은 최신 상태로 유지되고 정기적으로 검토됩니다.
• MFA 적용: Salesforce 사용자에게 MFA 적용
• IP 로그인 제한: 설정을 수정할 권한이 있는 사용자의 IP 로그인 제한
• 거버넌스 제어: Salesforce 설정은 ID 수명 주기 관리의 일부로 중앙에서 관리, 문서화, 검토됩니다.

비즈니스 및 통합 고려 사항

고객은 각 인증 공급자, 특히 소비자 ID 플랫폼에 대한 비즈니스 근거를 평가하고 액세스 정책, 규제 요구 사항, 사용자 환경 기대에 맞춰야 합니다.

권장 수정

모든 구성된 IdP 설정, 연결된 서비스 공급자 검토, 사용되지 않거나 신뢰할 수 없는 공급자 비활성화, 공급자 메타데이터 및 인증서 유효성 검사, 특성 매핑 제한, MFA 적용, 정기적인 거버넌스 검토 설정

보안 상태 검토 지침

보안 상태 검토는 연결된 서비스 공급자 및 IdP 설정을 식별하여 Salesforce에서 구성된 IdP 설정을 식별하여 고객이 ID 통합 위험을 줄이고 Salesforce 권장 보안 기준 및 Zero Trust 원칙을 사용하여 무단 액세스를 방지할 수 있도록 지원합니다.