您在此处:
身份提供商
当您希望 Salesforce 成为“真相的来源”时,请将 Salesforce 配置为身份提供商 (IdP)。
将 Salesforce 配置为 IdP 允许用户登录 Salesforce 一次,然后访问其他外部应用程序,而无需再次登录。您可以配置单点登录 (SSO),以便用户可以使用 Salesforce 凭据登录外部服务提供商或依赖方。您可以将 Salesforce 组织启用为 SAML IdP,并将服务提供商集成为 SAML 外部客户端应用程序或连接的应用程序。您还可以使用 OpenID Connect 将依赖方与您的组织集成在一起。
正确实施后,您的 Salesforce 组织将成为可靠的 IdP,帮助用户一次性登录 Salesforce,然后访问其他外部应用程序,而无需再次登录。当配置错误时,公司面临着凭据泄露、未经授权的访问、横向移动和身份状况可见性降低的更大风险。威胁操作者不仅有权访问您的 Salesforce 组织,他们还会自动登录到信任 Salesforce 的每个连接的应用程序。
安全运行状况审查使用符合 Salesforce 推荐的最佳实践的配置信号,提供有关您的 Salesforce 实例是否配置为 IdP 的信息,并强调存在最高安全和业务风险的差距。
控件名称
身份提供商配置和验证
推荐配置
配置、验证并定期审查 Salesforce 身份提供商设置,以确保其范围正确且安全集成。
控制概览
身份提供商设置允许 Salesforce 成为 IdP,允许用户登录 Salesforce,然后访问列为服务提供商的其他外部应用程序,而无需再次登录。正确配置可确保身份验证声明通过安全签名算法安全发送,访问范围配置有正确的访问控制。
安全风险(如果未配置)
配置错误的 IdP 设置会允许 Salesforce 提供过多的访问权限、导致未经授权的帐户接管的不完整的离线培训,或通过横向移动访问连接的服务提供商和 Salesforce。
威胁场景
接受伪造或重放的身份验证令牌、通过配置错误的 IdP 映射进行未经授权的用户配置、与已弃用或受威胁的 IdP 之间的 Trust 关系、滥用过度宽松的提供商配置。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
风险严重性取决于作为配置的服务提供商连接的外部应用程序的数量、用户群体大小、登录时授予的访问权限,以及提供商是外部受管还是面向消费者。
高风险
身份提供商设置未配置强声明安全算法,权限范围过大。
低风险或无风险
当实施以下一项或多项时,此控制可视为低风险:
- 服务提供商的定期审查:审查作为服务提供商连接到 Salesforce 的应用程序,并了解风险。
- 证书管理:定期审查用于使您的组织与服务提供商通信的证书,将受信 CA 用于证书。
- 配置的强制身份验证:确保已登录 Salesforce 的用户在尝试访问服务提供商时重新输入凭据。
- 安全属性映射:用户属性和配置规则的范围严格,以强制执行最低权限。
- 登录超时:当用户注销 Salesforce 时,自动将用户注销服务提供商。
- 元数据管理:元数据发现端点保持最新,并定期查看。
- MFA 执行:为 Salesforce 用户强制执行 MFA
- IP 登录限制:具有修改设置权限的用户的 IP 登录限制
- 治理控制:Salesforce 设置作为身份生命周期管理的一部分进行集中管理、记录和审查。
业务和集成注意事项
客户应评估每个身份验证提供商的业务理由,特别是消费者身份平台,并确保与访问策略、监管要求和用户体验预期保持一致。
建议的补救措施
查看所有配置的 IdP 设置、连接的服务提供商、禁用未使用或不可信的提供商、验证提供商元数据和证书、限制属性映射、强制执行 MFA 并建立定期治理审查。
安全健康审查指导
安全运行状况审查识别在 Salesforce 中配置的 IdP 设置,通过识别连接的服务提供商和 IdP 设置,帮助客户降低身份联盟风险,通过 Salesforce 推荐的安全基准和 Zero Trust 原则防止未经授权的访问。
