Vous êtes ici :
Gestion des identités utilisateur Salesforce avec SCIM
La gestion des identités utilisateur Salesforce avec SCIM (Système de gestion des identités inter-domaines) permet d'automatiser le cycle de vie complet des utilisateurs.
Nom du contrôle
Gestion des identités utilisateur Salesforce avec SCIM
Configuration recommandée
Provisionnez et gérez les identités utilisateur Salesforce entre les systèmes avec le standard ouvert System for Cross-Domain Identity Management (SCIM). Modifiez et gérez les propriétés des utilisateurs Salesforce en utilisant des opérations d'API REST.
Vue d'ensemble du contrôle
La gestion des identités utilisateur Salesforce avec SCIM (Système de gestion des identités inter-domaines) permet d'automatiser le cycle de vie complet des utilisateurs (création, mises à jour et désactivation) directement depuis un fournisseur d'identité centralisé. Cela garantit que l'accès des utilisateurs est synchronisé en temps réel avec la source de vérité de l'entreprise, éliminant ainsi efficacement le risque de comptes orphelins en révoquant instantanément l'accès Salesforce dès qu'un utilisateur est désactivé dans l'annuaire central.
Risque de sécurité s'il n'est pas configuré
Une configuration SCIM incorrecte augmente le risque de provisionnement et de déprovisionnement utilisateur incorrects, entraînant un accès permanent aux données CRM confidentielles. Ce décalage entre le fournisseur d’identité et Salesforce crée des comptes orphelins à haut risque qui peuvent être facilement exploités pour l’exfiltration de données non autorisées ou utilisés par d’anciens employés pour accéder à des informations propriétaires sans être détectés.
Scénarios de menace
SCIM mal configuré, ce qui permet aux comptes Salesforce orphelins de rester actifs et accessibles. L'acteur des menaces se connecte ensuite à partir d'un appareil personnel pour exporter des listes complètes de clients et des données commerciales propriétaires avant que l'équipe informatique puisse désactiver manuellement le compte « orphelin ».
Plage de score CVSS estimée
Élevée (7,0 à 8,90).
Considérations relatives à l'impact sur le risque
La sévérité du risque dépend de la taille de la population d'utilisateurs, des privilèges d'accès accordés lors de la connexion.
Risque plus élevé quand
La vérification de l'identité de l'utilisateur n'est pas en place (MFA ou autres) La session n'est pas configurée avec des contrôles de session pour limiter la session, qui comprennent :
- Stratégie d'expiration de session inefficace
- Étendue de l'accès trop permissif
Risque faible ou nul
Ce contrôle peut être considéré comme à faible risque lorsqu'un ou plusieurs des éléments suivants sont mis en œuvre :
- L'application automatique de la MFA ou la vérification de l'identité est en place : Application automatique de la MFA pour les utilisateurs de Salesforce
- Restriction de la connexion IP au niveau de la couche réseau : Restriction de la connexion IP pour les utilisateurs qui disposent de privilèges de modification de la configuration
- Application de l'authentification unique : Tous les profils sont configurés avec l'authentification unique SAML
Considérations relatives à l'entreprise et à l'intégration
Les clients doivent évaluer les points d'entrée de leurs points de terminaison utilisateur et les données auxquelles chaque profil utilisateur est exposé.
Remédiation recommandée
Configurez des plages IP de connexion pour chaque profil de l'organisation.
Guide d'examen sanitaire de sécurité
Security Health Review identifie la configuration de la plate-forme associée aux plages IP. La configuration des plages IP peut être configurée via la configuration du réseau ou de l'organisation (plage IP de confiance) ou via le niveau du profil (plage IP de connexion).
