Usted está aquí:
Gestionar identidades de usuario de Salesforce con SCIM
La gestión de identidades de usuario de Salesforce con SCIM (Sistema para Gestión de identidad de dominios cruzados) ayuda a automatizar todo el ciclo de vida del usuario.
Nombre de control
Gestionar identidades de usuario de Salesforce con SCIM
Configuración recomendada
Aprovisione y gestione identidades de usuario de Salesforce entre sistemas con el estándar abierto System for Cross-Domain Identity Management (SCIM). Modifique y gestione propiedades de usuario de Salesforce utilizando operaciones de API de REST.
Descripción general de control
La gestión de identidades de usuario de Salesforce con SCIM (Sistema para Gestión de identidad de dominios cruzados) ayuda a automatizar todo el ciclo de vida del usuario (creación, actualizaciones y desactivación) directamente desde un Proveedor de identidad (IdP) centralizado. Esto garantiza que el acceso de usuarios se sincronice en tiempo real con la fuente de la verdad de la empresa, eliminando de forma efectiva el riesgo de cuentas huérfanas revocando instantáneamente el acceso de Salesforce en el momento en que un usuario se desactiva en el directorio central.
Riesgo de seguridad si no está configurado
La configuración incorrecta de SCIM aumenta el riesgo de aprovisionamiento y desaprovisionamiento incorrectos de los usuarios, lo que lleva a un acceso persistente a datos confidenciales de CRM. Este desajuste entre el proveedor de identidad y Salesforce crea cuentas huérfanas de alto riesgo que pueden explotarse fácilmente para la exfiltración de datos no autorizada o utilizarse por antiguos empleados para acceder a información patentada sin ser detectados.
Escenarios de amenazas
SCIM configurado incorrectamente, permitiendo que las cuentas huérfanas de Salesforce permanezcan activas y accesibles. El actor de amenazas inicia sesión a continuación desde un dispositivo personal para exportar listas de clientes completas y datos de ventas propios antes de que el equipo de TI pueda desactivar manualmente la cuenta "huérfana".
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,90).
Consideraciones sobre el impacto del riesgo
La gravedad del riesgo depende del tamaño de la población de usuarios, los privilegios de acceso otorgados al iniciar sesión.
Riesgo más alto cuando
La verificación de identidad de usuario no está establecida (MFA u otros) La sesión no está configurada con controles de sesión para limitar la sesión, que incluyen:
- Política de tiempo de espera de sesión ineficaz
- Ámbito de acceso demasiado permisivo
Riesgo bajo o nulo cuando
Este control puede considerarse de bajo riesgo cuando se implementa uno o más de los siguientes elementos:
- Aplicación de MFA o verificación de identidad está en vigor: MFA se aplica para usuarios de Salesforce
- Restricción de inicio de sesión de IP en la capa de red: Restricción de inicio de sesión de IP para usuarios con privilegios para modificar la configuración
- Aplicación de SSO: Todos los perfiles están configurados con SSO de SAML
Consideraciones comerciales y de integración
Los clientes deben evaluar los puntos de entrada de sus extremos de usuarios y a qué datos está expuesto cada perfil de usuario.
Remediación recomendada
Configure intervalos de direcciones IP de inicio de sesión para cada perfil en la organización.
Directrices de revisión del estado de seguridad
Security Health Review identifica la configuración de plataforma relacionada con los intervalos de IP. La configuración de intervalos de IP se puede configurar a través de la configuración de red o la organización (intervalos de IP de confianza) o a través del nivel de perfil (intervalos de IP de inicio de sesión).
