您位於此處:
身分提供者
當您想要 Salesforce 成為「事實來源」時,請將 Salesforce 設定為身分提供者 (IdP)。
將 Salesforce 設定為 IdP 可讓使用者登入 Salesforce 一次,然後存取其他外部應用程式,而無須再次登入。您可以設定單一登入 (SSO),讓使用者可以使用其 Salesforce 認證登入外部服務提供者或信賴憑證者。您可以將 Salesforce 組織啟用為 SAML IdP,並將服務提供者整合為 SAML 外部用戶端應用程式或連線的應用程式。您也可以使用 OpenID Connect,以整合信賴憑證者與您的組織。
正確實作時,您的 Salesforce 組織會成為可靠的 IdP,協助使用者登入 Salesforce 一次,然後存取其他外部應用程式,而無須再次登入。設定錯誤時,公司會面臨認證入侵、未經授權的存取、側邊移動和身分狀態可視性的增加風險。威脅執行動作的存取權不只是您的 Salesforce 組織,而且會自動登入信任 Salesforce 的每個連線應用程式。
「安全性健康審查」提供有關是否使用符合 Salesforce 建議最佳作法的組態訊號將您的 Salesforce 例項設定為 IdP 的資訊,並醒目提示呈現最高安全性與業務風險的間隙。
控制名稱
身分提供者組態和驗證
建議組態
設定、驗證和定期檢閱 Salesforce Identity 提供者設定,以確保其範圍正確且安全整合。
控制概觀
「身分提供者」設定可讓 Salesforce 成為「IdP」,允許使用者登入 Salesforce,然後存取列為「服務提供者」的其他外部應用程式,而無須再次登入。適當的組態可確保透過安全的簽署演算法安全地傳送驗證判斷式,且系統會以正確的存取控制來設定存取範圍。
未設定安全性風險
設定錯誤的 IdP 設定可能會允許 Salesforce 提供過度的存取權、導致未經授權接管帳戶的未完成離線,或透過側邊移動存取連線的服務提供者和 Salesforce。
威脅情況
接受偽造或重新執行的驗證權杖、透過設定錯誤的 IdP 對應進行未經授權的使用者提供、使用已淘汰或入侵 IdP 的 Trust 關係,以及濫用過度允許的提供者組態。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
風險嚴重性取決於已設定為「服務提供者」之連線的外部應用程式數目、使用者族群大小、登入時授與的存取權限,以及提供者是由外部管理還是面向消費者。
風險愈高時機
「身分提供者」設定並未使用強大的判斷式安全性演算法,且權限範圍過多。
低風險或無風險的時機
實作下列一或多個控制項時,可以將此控制項視為低度風險:
- 服務提供者的定期檢閱:檢閱以服務提供者身分連線至 Salesforce 的應用程式,並瞭解風險。
- 憑證管理:定期檢閱用於讓貴組織與服務提供者通訊的憑證,請使用信任的 CA 作為憑證。
- 強制驗證已設定:確保已登入 Salesforce 的使用者在嘗試存取服務提供者時重新輸入其認證。
- 安全屬性對應:使用者屬性和佈建規則會密切限定範圍,以強制執行最低權限。
- 登入逾時:當使用者登出 Salesforce 時,自動將使用者登出服務提供者。
- 中繼資料管理:中繼資料探索端點會保持最新狀態並定期檢閱。
- MFA 強制執行:為 Salesforce 使用者強制執行 MFA
- IP 登入限制:具有修改設定權限之使用者的 IP 登入限制
- 監管控制:Salesforce 設定會集中管理、記錄和檢閱,作為身分週期管理的一部分。
業務與整合考量事項
客戶應評估每個驗證提供者的業務理由,特別是消費者身分識別平台,並確保符合存取原則、法規需求和使用者體驗期望。
建議的補救措施
檢閱所有設定的 IdP 設定、連線的服務提供者、停用未使用或不受信任的提供者、驗證提供者中繼資料和憑證、限制屬性對應、強制執行 MFA,以及建立定期監管審查。
安全性健康檢閱指南
「安全性健康審查」會透過識別連線的服務提供者和 IdP 設定,識別在 Salesforce 中設定的 IdP 設定,以協助客戶降低身分識別聯合風險、使用 Salesforce 建議的安全性基準和零 Trust 原則防止未經授權的存取。
