U bent hier:
Salesforce-gebruikersidentiteiten beheren met SCIM
Het beheren van Salesforce-gebruikersidentiteiten met SCIM (System for Cross-domain Identity Management) helpt de gehele levenscyclus van gebruikers te automatiseren.
Controlenaam
Salesforce-gebruikersidentiteiten beheren met SCIM
Aanbevolen configuratie
Lever en beheer Salesforce-gebruikersidentiteiten voor alle systemen met het open standaardsysteem voor identiteitsbeheer voor meerdere domeinen (SCIM). Bewerk en beheer Salesforce-gebruikerseigenschappen met behulp van REST API-bewerkingen.
Overzicht van besturingselementen
Als u Salesforce-gebruikersidentiteiten beheert met SCIM (System for Cross-domain Identity Management), kunt u de gehele levenscyclus van gebruikers—maken, bijwerken en deactiveren—rechtstreeks vanuit een gecentraliseerde identiteitsleverancier (IdP) automatiseren. Dit zorgt ervoor dat gebruikerstoegang in real-time wordt gesynchroniseerd met de waarheidsbron van het bedrijf, waardoor het risico van weesaccounts effectief wordt geëlimineerd door Salesforce-toegang onmiddellijk in te trekken op het moment dat een gebruiker wordt uitgeschakeld in de centrale directory.
Beveiligingsrisico indien niet geconfigureerd
Onjuist geconfigureerde SCIM-set-up vergroot het risico op onjuiste gebruikersprofielen en deprovisioning, wat leidt tot permanente toegang tot gevoelige CRM-gegevens. Deze mismatch tussen de identiteitsleverancier en Salesforce leidt tot weesaccounts met een hoog risico die gemakkelijk kunnen worden misbruikt voor ongeoorloofde gegevensexfiltratie of door voormalige werknemers kunnen worden gebruikt om ongemerkt toegang te krijgen tot bedrijfseigen informatie.
Dreigingsscenario's
Onjuist geconfigureerde SCIM, waardoor wees Salesforce-accounts actief en toegankelijk kunnen blijven. Dreigingsactoren loggen vervolgens in vanaf een persoonlijk apparaat om volledige klantenlijsten en eigen verkoopgegevens te exporteren voordat het IT-team de "wees"-account handmatig kan deactiveren.
Geschatte CVSS-scorebereik
Hoog (7,0–8,90).
Overwegingen bij risico-impact
De ernst van het risico is afhankelijk van de grootte van de gebruikerspopulatie, toegangsprivileges die worden verleend bij inloggen.
Hoger risico wanneer
Gebruikersidentiteitsverificatie is niet aanwezig (MFA of andere) Sessie is niet geconfigureerd met sessiebesturingselementen om de sessie te beperken, waaronder:
- Ineffectief sessietime-outbeleid
- Bereik van te toegestane toegang
Laag of geen risico wanneer
Deze controle kan als laag risico worden beschouwd wanneer een of meer van de volgende zaken worden geïmplementeerd:
- MFA-afdwinging of identiteitsverificatie is ingeschakeld: MFA wordt afgedwongen voor Salesforce-gebruikers
- IP-inlogbeperking op de netwerklaag: IP-inlogbeperking voor gebruikers met machtigingen om de set-up te wijzigen
- SSO-afdwinging: Alle profielen zijn geconfigureerd met SAML SSO
Overwegingen bij bedrijf en integratie
Klanten moeten invoerpunten van hun gebruikerseindpunten evalueren en aan welke gegevens elk gebruikersprofiel is blootgesteld.
Aanbevolen oplossing
Stel inlog-IP-bereiken in voor elk profiel in de organisatie.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert de platformconfiguratie die is gerelateerd aan IP-bereiken. Set-up van IP-bereiken kan worden geconfigureerd via de netwerkset-up of de organisatie (Vertrouwde IP-bereiken) of via het profielniveau (Inlog-IP-bereiken).
