Olet tässä:
Salesforcen käyttäjäidentiteettien hallinta SCIM:n avulla
Salesforce-käyttäjäidentiteettien hallinta SCIM:n (System for Cross-Domain Identity Management) avulla auttaa automatisoimaan käyttäjien koko elinkaaren.
Ohjaimen nimi
Salesforcen käyttäjäidentiteettien hallinta SCIM:n avulla
Suositeltu kokoonpano
Provisioi ja hallitse Salesforce-käyttäjäidentiteettejä eri järjestelmissä avoimen standardin System for Cross-Domain Identity Management (SCIM) avulla. Muokkaa ja hallitse Salesforce-käyttäjäominaisuuksia REST API -toiminnoilla.
Ohjauksen yleiskatsaus
Salesforce-käyttäjäidentiteettien hallinta SCIM:n (System for Cross-Domain Identity Management) avulla auttaa automatisoimaan käyttäjien koko elinkaaren — luomisen, päivittämisen ja deaktivoinnin — suoraan keskitetystä henkilöllisyydentarjoajasta (IdP). Näin varmistetaan, että käyttäjien käyttöoikeudet synkronoidaan reaaliajassa yrityksen totuuden lähteen kanssa, mikä poistaa tehokkaasti orvojen tilien riskin poistamalla Salesforcen käyttöoikeudet välittömästi, kun käyttäjä poistetaan käytöstä keskitetystä hakemistosta.
Tietoturvariski, jos ei määritetty
Jos SCIM-määritykset on määritetty väärin, käyttäjien provisioinnin ja provisioinnin poistamisen riski kasvaa, mikä johtaa luottamuksellisten CRM-tietojen pysyviin käyttöoikeuksiin. Tämä henkilöllisyydentarjoajan ja Salesforcen välinen ristiriita luo riskialttiita orpoja tilejä, joita voidaan helposti hyödyntää tietojen valtuuttamattomaan suodattamiseen tai joita entiset työntekijät voivat käyttää käyttääkseen omistettuja tietoja havaitsematta.
Uhkien skenaariot
Väärin määritetty SCIM sallii orvojen Salesforce-tilien pysyä aktiivisina ja käytettävissä. Uhkien tekijä kirjautuu sitten sisään henkilökohtaiselta laitteelta viedäkseen kokonaisia asiakasluetteloita ja omistettuja myyntidataa ennen kuin IT-tiimi voi deaktivoida "orpota" tilin manuaalisesti.
Arvioitu CVSS-pistealue
Korkea (7.0–8,90).
Riskien vaikutuksissa huomioitavia asioita
Riskien vakavuus riippuu käyttäjäjoukon koosta ja sisäänkirjautumisen yhteydessä myönnetyistä käyttöoikeuksista.
Korkeampi riski, kun
Käyttäjän henkilöllisyydenvahvistusta ei ole käytössä (MFA tai muut) Istuntoa ei ole määritetty istuntojen ohjaimilla istunnon rajoittamiseksi, mukaan lukien:
- Ei-aktiivinen istunnon aikakatkaisukäytäntö
- Liian sallittu käyttöoikeusalue
Matala riski tai ei riskiä, kun
Tätä asetusta voidaan pitää vähäriskisenä, kun yksi tai useampi seuraavista on käytössä:
- MFA-vahvistus tai henkilöllisyydenvahvistus on käytössä: MFA on pakollinen Salesforce-käyttäjille
- IP-kirjautumisen rajoitus verkkokerroksessa: IP-kirjautumisen rajoitus käyttäjille, joilla on oikeus muokata määrityksiä
- SSO-kertakirjautumisen käyttö: Kaikki profiilit on määritetty SAML SSO -kertakirjautumisella
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Asiakkaiden tulisi arvioida käyttäjien päätepisteet ja mitä tietoja jokainen käyttäjäprofiili näyttää.
Suositeltu korjaus
Määritä sisäänkirjautumisen IP-osoitealueet organisaation jokaiselle profiilille.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus tunnistaa IP-alueisiin liittyvän sovellusalustan kokoonpanon. IP-alueiden määritykset voidaan määrittää verkkoasetusten tai organisaation kautta (luotetut IP-alueet) tai profiilitason kautta (sisäänkirjautumisen IP-alueet).
