breadcrumbDescription
Administrer Salesforce-brugeridentiteter med SCIM
Administration af Salesforce-brugeridentiteter med SCIM (System for Cross-Domain Identity Management) hjælper med at automatisere hele brugerlivscyklussen.
Kontrolnavn
Administrer Salesforce-brugeridentiteter med SCIM
Anbefalet konfiguration
Klargør og administrer Salesforce-brugeridentiteter på tværs af systemer med den åbne standard SCIM (System for Cross-Domain Identity Management). Rediger og administrer Salesforce-brugeregenskaber ved brug af REST API-handlinger.
Kontroller oversigt
Administration af Salesforce-brugeridentiteter med SCIM (System for Cross-Domain Identity Management) hjælper med at automatisere hele brugerlivscyklussen – oprettelse, opdatering og deaktivering – direkte fra en centraliseret identitetsudbyder (IdP). Dette sikrer, at brugeradgang synkroniseres i realtid med firmaets kilde til sandheden, hvilket effektivt eliminerer risikoen for forældreløse konti ved straks at tilbagekalde Salesforce-adgang i det øjeblik, hvor en bruger inaktiveres i den centrale mappe.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Forkert konfigureret SCIM-opsætning øger risikoen for forkert brugerprovisionering og deprovisionering, hvilket fører til vedvarende adgang til følsomme CRM-data. Denne uoverensstemmelse mellem identitetsudbyderen og Salesforce opretter forældreløse konti med høj risiko, der nemt kan udnyttes til uautoriseret dataudtrækning eller bruges af tidligere medarbejdere til at få adgang til ejendomsoplysninger, der ikke er registreret.
Trusselscenarier
Forkert konfigureret SCIM, der tillader forældreløse Salesforce-konti at forblive aktive og tilgængelige. Trusselaktør logger derefter ind fra en personlig enhed for at eksportere hele kundelister og egne salgsdata, før it-teamet manuelt kan deaktivere den "forældreløse" konto.
Estimeret CVSS-scoringsinterval
Høj (7,0-8,90).
Overvejelser i forbindelse med risikopåvirkning
Risikostyring afhænger af brugerpopulationens størrelse, adgangsrettigheder, der tildeles ved login.
Højere risiko når
Brugeridentitetsbekræftelse er ikke på plads (MFA eller andre) Session er ikke konfigureret med sessionskontroller til at begrænse session, som inkluderer:
- Ineffektiv sessiontimeoutpolitik
- Omfang for overdrevent tilladelig adgang
Lav eller ingen risiko når
Denne kontrol kan betragtes som lav risiko, når et eller flere af følgende implementeres:
- MFA-håndhævelse eller identitetsbekræftelse er i kraft: MFA håndhæves for Salesforce-brugere
- IP-loginbegrænsning på netværkslaget: Begrænsning af IP-login for brugere med rettigheder til at redigere opsætningen
- SSO-håndhævelse: Alle profiler konfigureres med SAML SSO
Overvejelser i forbindelse med forretning og integration
Kunder bør evaluere indgangspunkter for deres brugers slutpunkter, og hvilke data hver brugerprofil er udsat for.
Anbefalet rettelse
Opsæt login-IP-områder for hver profil i organisationen.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer platformskonfigurationen, der er relateret til IP-områder. Opsætning af IP-områder kan konfigureres via netværksopsætningen eller organisationen (Sikrede IP-områder) eller via profilniveauet (Login IP-områder).
