Ti trovi qui:
Gestione delle identità degli utenti Salesforce con SCIM
La gestione delle identità degli utenti Salesforce con SCIM (System for Cross-domain Identity Management) consente di automatizzare l'intero ciclo di vita degli utenti.
Nome controllo
Gestione delle identità degli utenti Salesforce con SCIM
Configurazione consigliata
Eseguire il provisioning e la gestione delle identità degli utenti Salesforce in tutti i sistemi con lo standard aperto System for Cross-Domain Identity Management (SCIM). Modificare e gestire le proprietà utente Salesforce utilizzando le operazioni dell'API REST.
Panoramica sul controllo
La gestione delle identità degli utenti Salesforce con SCIM (System for Cross-domain Identity Management) consente di automatizzare l'intero ciclo di vita degli utenti (creazione, aggiornamenti e disattivazione) direttamente da un provider di identità (IdP) centralizzato. Ciò garantisce che l'accesso degli utenti sia sincronizzato in tempo reale con la fonte di dati aziendale, eliminando efficacemente il rischio di account rimasti orfani revocando immediatamente l'accesso a Salesforce nel momento in cui un utente viene disabilitato nell'elenco centrale.
Rischio per la sicurezza se non configurato
L'impostazione SCIM configurata in modo non corretto aumenta il rischio di provisioning utente errato e deprovisioning, causando un accesso persistente ai dati CRM sensibili. Questa mancata corrispondenza tra il provider di identità e Salesforce crea account orfani ad alto rischio che possono essere facilmente sfruttati per l'esfiltrazione non autorizzata dei dati o utilizzati da ex dipendenti per accedere a informazioni proprietarie non rilevate.
Scenari di minaccia
SCIM configurato in modo non corretto, che consente agli account Salesforce rimasti orfani di rimanere attivi e accessibili. L'agente della minaccia accede quindi da un dispositivo personale per esportare interi elenchi di clienti e dati di vendita proprietari prima che il team IT possa disattivare manualmente l'account "orfano".
Intervallo di punteggi CVSS stimato
Alto (7,0–8,90).
Considerazioni sull'impatto del rischio
La gravità del rischio dipende dalle dimensioni della popolazione degli utenti, dai privilegi di accesso concessi al momento dell'accesso.
Rischio maggiore quando
La verifica dell'identità dell'utente non è attiva (MFA o altro) La sessione non è configurata con controlli di sessione per limitare la sessione, che includono:
- Policy di timeout sessione inefficace
- Ambito di accesso eccessivamente permissivo
Rischio basso o nullo quando
Questo controllo può essere considerato a basso rischio quando vengono implementati uno o più dei seguenti elementi:
- L'imposizione della MFA o la verifica dell'identità è attiva: La MFA viene applicata per gli utenti Salesforce
- Limitazione di accesso IP a livello di rete: Limitazione di accesso IP per gli utenti con privilegi di modifica dell'impostazione
- Applicazione SSO: Tutti i profili sono configurati con SSO SAML
Considerazioni su Business e integrazione
I clienti devono valutare i punti di ingresso degli endpoint utente e i dati a cui è esposto ogni profilo utente.
Rimedio consigliato
Impostare gli intervalli IP di accesso per ogni profilo dell'organizzazione.
Guida all'esame dello stato della sicurezza
Security Health Review identifica la configurazione della piattaforma correlata agli intervalli IP. L'impostazione degli intervalli IP può essere configurata tramite l'impostazione di rete o l'organizzazione (Intervalli IP affidabili) o tramite il livello di profilo (Intervalli IP di accesso).
