Вы находитесь здесь:
Контроль поставщика удостоверений
Настройте Salesforce в качестве поставщика удостоверений (IdP), если хотите, чтобы Salesforce был «источником истины».
Настройка Salesforce в качестве IdP позволяет пользователям входить в Salesforce один раз, а потом открывать другие внешние приложения без повторного входа. Вы можете настроить единую регистрацию (SSO), чтобы пользователи могли войти во внешнего поставщика услуг или проверяющую сторону с помощью регистрационных данных Salesforce. Вы можете включить организацию Salesforce в качестве SAML IdP и интегрировать поставщика услуг в качестве приложения внешнего клиента SAML или связанного приложения. Вы можете также использовать OpenID Connect для интеграции проверяющей стороны в организации.
При правильном внедрении организация Salesforce становится надежным IdP, который помогает пользователям один раз войти в Salesforce, а потом получить доступ к другим внешним приложениям без повторного входа. При неправильной настройке компании сталкиваются с повышенным риском нарушения регистрационных данных, несанкционированного доступа, бокового перемещения и снижения доступности состояния удостоверения. Исполнители угроз не просто имеют доступ к организации Salesforce, они автоматически входят во все связанные приложения, которые доверяют Salesforce.
Проверка состояния безопасности предоставляет сведения о том, настроен ли экземпляр Salesforce как IdP посредством сигналов конфигурации, соответствующих рекомендациям Salesforce, и выделяет пробелы, представляющие самый высокий риск безопасности и бизнеса.
Управление именем
Конфигурация и проверка поставщика удостоверений
Рекомендованная конфигурация
Настройте, проверьте и регулярно проверяйте настройки поставщика удостоверений Salesforce, чтобы убедиться в их корректном охвате и безопасной интеграции.
Общие сведения о контроле
Настройка поставщика удостоверений позволяет Salesforce быть IdP, позволяющим пользователям входить в Salesforce, а потом открывать другие внешние приложения, указанные в качестве поставщиков услуг, без повторного входа. Правильная конфигурация обеспечивает безопасную отправку утверждений проверки подлинности посредством безопасных алгоритмов подписи, области доступа настроены с соответствующим контролем доступа.
Риск безопасности, если он не настроен
Некорректная настройка IdP может позволить Salesforce предоставить чрезмерный доступ, незавершенную автономную работу, ведущую к несанкционированному переходу организации, или доступ подключенных поставщиков услуг, а также Salesforce посредством бокового перемещения.
Сценарии угроз
Принятие поддельных или воспроизведенных маркеров проверки подлинности, несанкционированная инициализация пользователя посредством некорректно настроенных соотнесений IdP, отношения Trust с нерекомендуемыми или скомпрометированными IdP, неправильное использование слишком мягких конфигураций поставщика.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Тяжесть риска зависит от количества внешних приложений, подключенных в качестве настроенных поставщиков услуг, размера загруженности пользователей, привилегий доступа, предоставленных при входе, а также от того, находятся ли поставщики под внешним управлением или ориентированы на потребителя.
Повышенный риск при
Настройка поставщика удостоверений не настроена с помощью сильного алгоритма безопасности утверждения и чрезмерных ограничений полномочий.
Низкий или нулевой риск при
Этот элемент управления можно считать низкорисковым при внедрении одного или нескольких из следующих элементов:
- Периодический обзор поставщиков услуг: Просмотрите приложения, связанные с Salesforce в качестве поставщиков услуг, и поймите риски.
- Управление сертификатами: Периодически просматривайте сертификат, используемый для связи организации с поставщиком услуг, используйте надежный центр сертификации для сертификата.
- Принудительная проверка подлинности настроена: Предоставление пользователям, которые уже вошли в систему Salesforce, возможности повторного ввода регистрационных данных при попытке доступа к поставщику услуг.
- Безопасное соотнесение атрибутов: Атрибуты пользователя и правила инициализации жестко ограничены, чтобы применить наименьшие привилегии.
- Время ожидания входа: Автоматический выход пользователей из поставщика услуг при выходе из Salesforce.
- Управление метаданными: Конечные точки обнаружения метаданных поддерживаются и периодически проверяются.
- Внедрение MFA: MFA применяется для пользователей Salesforce
- Ограничение входа IP-адресов: Ограничение входа IP-адресов для пользователей с полномочиями на изменение настроек
- Элементы управления: Настройка Salesforce управляется централизованно, документируется и проверяется как часть управления жизненным циклом удостоверений.
Рекомендации по бизнесу и интеграции
Клиенты должны оценить бизнес-обоснование для каждого поставщика проверки подлинности, особенно для платформ удостоверений пользователя, и обеспечить соответствие политикам доступа, нормативным требованиям и ожиданиям взаимодействия пользователя.
Рекомендованное исправление
Просмотрите все настроенные настройки IdP, подключенных поставщиков услуг, отключите неиспользуемых или ненадежных поставщиков, проверьте метаданные и сертификаты поставщиков, ограничьте соотнесения атрибутов, примените MFA и установите периодические проверки управления.
Руководство по проверке состояния безопасности
Проверка состояния безопасности определяет настройку IdP, настроенную в Salesforce, чтобы помочь клиентам снизить риск интегрирования удостоверений, предотвратить несанкционированный доступ с рекомендованными Salesforce базисами безопасности и принципами Zero Trust, определив подключенных поставщиков услуг и настройку IdP.
См. также:
- Определение поставщика проверки подлинности
- Использование службы MFA поставщика удостоверений SSO для организаций Salesforce
- Salesforce как поставщик удостоверений
- Salesforce как поставщик удостоверений SAML
- Salesforce как поставщик удостоверений OpenID Connect
- Интеграция поставщиков услуг как связанных приложений с OpenID Connect
