Sie befinden sich hier:
Verwalten von Salesforce-Benutzeridentitäten mit SCIM
Die Verwaltung von Salesforce-Benutzeridentitäten mit SCIM (System for Cross-domain Identity Management) hilft Ihnen, den gesamten Benutzerlebenszyklus zu automatisieren.
Steuerelementname
Verwalten von Salesforce-Benutzeridentitäten mit SCIM
Empfohlene Konfiguration
Stellen Sie Salesforce-Benutzeridentitäten systemübergreifend mit dem offenen Standardsystem für die domänenübergreifende Identitätsverwaltung (SCIM) bereit und verwalten Sie sie. Bearbeiten und verwalten Sie Salesforce-Benutzereigenschaften mithilfe von REST-API-Vorgängen.
Steuerelementübersicht
Die Verwaltung von Salesforce-Benutzeridentitäten mit SCIM (System for Cross-domain Identity Management) hilft Ihnen, den gesamten Benutzerlebenszyklus – Erstellung, Aktualisierung und Deaktivierung – direkt über einen zentralen Identitätsanbieter (IdP) zu automatisieren. Dadurch wird sichergestellt, dass der Benutzerzugriff in Echtzeit mit der Quelle der Wahrheit des Unternehmens synchronisiert wird, wodurch das Risiko verwaister Accounts effektiv vermieden wird, indem der Salesforce-Zugriff sofort widerrufen wird, sobald ein Benutzer im zentralen Verzeichnis deaktiviert ist.
Sicherheitsrisiko, wenn nicht konfiguriert
Falsch konfiguriertes SCIM-Setup erhöht das Risiko einer falschen Benutzerbereitstellung und -deprovisionierung, was zu persistentem Zugriff auf sensible CRM-Daten führt. Durch diese Diskrepanz zwischen dem Identitätsanbieter und Salesforce entstehen verwaiste Accounts mit hohem Risiko, die leicht für nicht autorisierte Datenexfiltration ausgenutzt oder von ehemaligen Mitarbeitern verwendet werden können, um unentdeckt auf proprietäre Informationen zuzugreifen.
Bedrohungsszenarien
Falsch konfigurierte SCIM, wodurch verwaiste Salesforce-Accounts aktiv und zugänglich bleiben. Der Bedrohungsakteur meldet sich dann über ein persönliches Gerät an, um ganze Kundenlisten und proprietäre Vertriebsdaten zu exportieren, bevor das IT-Team den "verwaisten" Account manuell deaktivieren kann.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,90).
Überlegungen zu Risikoauswirkungen
Der Risikoschweregrad hängt von der Benutzerpopulationsgröße und den bei der Anmeldung gewährten Zugriffsberechtigungen ab.
Höheres Risiko, wenn
Die Benutzeridentitätsüberprüfung ist nicht vorhanden (MFA oder andere) Die Sitzung ist nicht mit Sitzungssteuerungen zum Begrenzen der Sitzung konfiguriert, einschließlich:
- Ineffektive Sitzungs-Timeout-Richtlinie
- Zugriffsumfang für zu hohe Berechtigungen
Geringes oder kein Risiko, wenn
Diese Steuerung kann als risikoarm angesehen werden, wenn eine oder mehrere der folgenden Aktionen implementiert sind:
- Die MFA-Erzwingung oder Identitätsüberprüfung ist vorhanden: Die MFA wird für Salesforce-Benutzer erzwungen
- IP-Anmeldeeinschränkung auf Netzwerkebene: IP-Anmeldeeinschränkung für Benutzer mit Berechtigungen zum Ändern des Setups
- SSO-Erzwingung: Alle Profile werden mit SAML SSO konfiguriert
Überlegungen zu Unternehmen und Integration
Kunden sollten die Eintrittspunkte der Endpunkte ihrer Benutzer auswerten und die Daten, denen die einzelnen Benutzerprofile ausgesetzt sind.
Empfohlene Sanierung
Richten Sie IP-Bereiche für die Anmeldung für jedes Profil in der Organisation ein.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Plattformkonfiguration in Bezug auf IP-Bereiche. Das Setup von IP-Bereichen kann über das Netzwerk-Setup oder die Organisation (vertrauenswürdige IP-Bereiche) oder über die Profilebene (Anmelde-IP-Bereiche) konfiguriert werden.
