SCIM을 사용하여 Salesforce 사용자 ID 관리

제어 이름

SCIM을 사용하여 Salesforce 사용자 ID 관리

권장 구성

SCIM(Open Standard System for Cross-Domain Identity Management)을 사용하여 시스템 전체에서 Salesforce 사용자 ID를 프로비저닝하고 관리합니다. REST API 작업을 사용하여 Salesforce 사용자 속성을 편집하고 관리합니다.

제어 개요

SCIM(System for Cross-domain Identity Management)을 사용하여 Salesforce 사용자 ID를 관리하면 중앙 집중식 ID 공급자(IdP)에서 직접 생성, 업데이트, 비활성화와 같은 전체 사용자 수명 주기를 자동화할 수 있습니다. 이렇게 하면 사용자 액세스가 회사의 신뢰할 수 있는 소스와 실시간으로 동기화되므로 사용자가 중앙 디렉터리에서 비활성화되는 순간 Salesforce 액세스를 즉시 취소하여 고아 계정의 위험을 효과적으로 제거할 수 있습니다.

구성되지 않은 경우 보안 위험

SCIM 설정을 올바르지 않게 구성하면 사용자 프로비저닝 및 프로비저닝이 올바르지 않아 중요한 CRM 데이터에 지속적으로 액세스할 수 있는 위험이 증가합니다. ID 공급자와 Salesforce 간의 불일치로 인해 고위험 고아 계정이 생성되며, 해당 계정은 무단 데이터 추출에 쉽게 활용하거나 이전 직원이 독점 정보에 감지되지 않고 액세스하는 데 사용될 수 있습니다.

위협 시나리오

잘못 구성된 SCIM으로 고아 Salesforce 계정이 활성 상태로 유지되고 액세스할 수 있습니다. 그런 다음, 위협 작업자가 개인 장치에서 로그인하여 전체 고객 목록 및 독점 세일즈 데이터를 내보낸 다음, IT 팀에서 "자연" 계정을 수동으로 비활성화할 수 있습니다.

예상 CVSS 점수 범위

높음(7.0~8.90).

위험 영향 고려 사항

위험 심각도는 사용자 모집단 크기, 로그인 시 부여된 액세스 권한에 따라 다릅니다.

위험이 높은 경우

사용자 ID 확인이 적용되지 않음(MFA 또는 기타) 세션은 다음을 포함하여 세션을 제한하는 세션 컨트롤과 함께 구성되지 않습니다.

• 비효과 세션 시간 제한 정책
• 과도하게 허용되는 액세스 범위

낮은 위험 또는 비위험

다음 중 하나 이상이 구현되면 이 제어가 낮은 위험으로 간주될 수 있습니다.

• MFA 적용 또는 ID 확인: Salesforce 사용자에게 MFA 적용
• 네트워크 계층의 IP 로그인 제한: 설정을 수정할 권한이 있는 사용자의 IP 로그인 제한
• SSO 적용: 모든 프로필이 SAML SSO로 구성됨

비즈니스 및 통합 고려 사항

고객은 사용자 끝점의 입력 지점 및 각 사용자 프로필이 노출되는 데이터를 평가해야 합니다.

권장 수정

조직의 각 프로필에 대한 로그인 IP 범위를 설정합니다.

보안 상태 검토 지침

보안 상태 검토는 IP 범위와 관련된 플랫폼 구성을 식별합니다. IP 범위 설정은 네트워크 설정 또는 조직(신뢰할 수 있는 IP 범위) 또는 프로필 수준(로그인 IP 범위)을 통해 구성할 수 있습니다.