Du är här:
Inloggningsåtkomst
Salesforce låter Salesforce-administratörer konfigurera din organisation så att Salesforce-supportanvändare, partnersupportanvändare eller prenumeranter kan logga in i en Salesforce-organisation som en annan användare.
Kontrollnamn
Policyer för inloggningsåtkomst
Rekommenderad konfiguration
Aktivera flerfaktorsautentisering för inloggning som. Kräv administratörsinloggning för att meddela kunden: Inställningar>Inloggningsåtkomstpolicyer>Inaktivera administratörer kan logga in som vilken användare som helst. Hindra användare från att bevilja åtkomst till en utgivare: Inställningar>Policyer för inloggningsåtkomst - Endast tillgängliga för administratörer.
Kontrollöversikt
Salesforce låter Salesforce-administratörer konfigurera din organisation så att Salesforce-supportanvändare, partnersupportanvändare eller prenumeranter kan logga in i en Salesforce-organisation som en annan användare. Strikt kontroll av denna inloggningsåtkomstkapacitet hjälper till att styra oauktoriserade åtgärder som utförs med inloggningsåtkomstsessioner.
Säkerhetsrisk om den inte är konfigurerad
Felaktig konfiguration av Salesforces inloggningsåtkomst leder till risk för förbigående av behörigheter eller fönster med interna hot, där känsliga data kan kommas åt utan uttryckligt användarsamtycke eller en giltig verksamhetsmotivering av support- eller partnersupportanvändare.
Hotscenarier
En hotaktör som har äventyrat ett administratörskonto—imiterar i tysthet en chef på hög nivå för att komma åt känsliga ekonomiska data eller konfidentiella HR-poster utan den ansvariges Knowledge. Eftersom personifieringssessionen ärver målanvändarens fullständiga behörigheter och kanske inte kräver en ny utmaning för MFA kan attackeraren filtrera egen information.
Uppskattat CVSS-betygintervall
Hög (7,0-8,9).
Att tänka på vad gäller riskpåverkan
Riskernas svårighetsgrad beror på användarpopulationens storlek och åtkomstbehörigheter som beviljas vid inloggning.
Högre risk när
Användaridentitetsbekräftelse finns inte (MFA eller andra), ingen händelseövervakning finns.
Låg eller ingen risk när
Denna kontroll kan anses vara låg risk när en eller flera av följande implementeras:
- MFA-tillämpning eller identitetsbekräftelse finns: MFA tillämpas för Salesforce-användare eller vid inloggning som används
- Begränsning av IP-inloggning i nätverkslagret: IP-inloggningsbegränsning för användare med behörighet att ändra inställningarna
- Inloggningstimeout: Logga automatiskt ut användare ur tjänstleverantören när de loggar ut ur Salesforce eller loggar in som avslutat.
Att tänka på vad gäller affärer och integration
Kunder bör utvärdera sin verksamhetsprocess avseende användarinloggningsåtkomst.
Rekommenderad åtgärd
Aktivera användarsamtycke för administratörsinloggning som användare och begränsa möjligheten att bevilja utgivaråtkomst efter användare utan administratörsgodkännande.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning identifierar plattformskonfigurationen relaterad till inloggningsåtkomst. Som en del av den grundläggande säkerheten utvärderar Säkerhetshälsogranskning inloggningsåtkomstkontroller, inklusive notiser och samtycke när ett användarkonto öppnas, för att se till att funktionen följer allmänna rekommendationer för sekretess och efterlevnad.
