Du er her:
Behandle Salesforce-brukeridentiteter med SCIM-kontroll
Behandling av Salesforce-brukeridentiteter med SCIM (System for Cross-Domain Identity Management) bidrar til å automatisere hele brukerlivssyklusen.
Navn på kontroll
Administrere Salesforce-brukeridentiteter med SCIM
Anbefalt konfigurasjon
Klargjør og behandle Salesforce-brukeridentiteter på tvers av systemer med den åpne standardsystemet SCIM (System for Cross-Domain Identity Management). Rediger og behandle Salesforce-brukeregenskaper med REST API-operasjoner.
Oversikt over kontroll
Behandling av Salesforce-brukeridentiteter med SCIM (System for Cross-Domain Identity Management) bidrar til å automatisere hele brukerlivssyklusen – opprettelse, oppdatering og deaktivering – direkte fra en sentralisert identitetsleverandør (IdP). Dette sikrer at brukertilgang synkroniseres i sanntid med firmaets sannhetskilde, og effektivt eliminerer risikoen for foreldreløse kontoer ved umiddelbart å oppheve Salesforce-tilgang i det øyeblikket en bruker er deaktivert i den sentrale katalogen.
Sikkerhetsrisiko hvis ikke konfigurert
Feil konfigurert SCIM-oppsett øker risikoen for feil brukerklargjøring og avklaring, noe som fører til vedvarende tilgang til sensitive CRM-data. Denne uoverensstemmelsen mellom identitetsleverandøren og Salesforce oppretter høyrisikostilte kontoer som enkelt kan utnyttes for uautorisert datautfiltrering eller brukes av tidligere ansatte til å få tilgang til proprietær informasjon uoppdaget.
Trusselscenarier
Uriktig konfigurert SCIM, slik at foreldede Salesforce-kontoer forblir aktive og tilgjengelige. Trusselagent logger seg deretter på fra en personlig enhet for å eksportere hele kundelister og proprietære salgsdata før IT-teamet kan deaktivere den "orphanede" kontoen manuelt.
Beregnet CVSS Score-område
Høyt (7.0–8,90).
Viktige punkter om risikoinnvirkning
Risikoens alvorlighetsgrad avhenger av brukerpopulasjonens størrelse og tilgangsrettigheter som gis ved pålogging.
Høyere risiko når
Brukeridentitetsbekreftelse er ikke på plass (MFA eller andre) Økt er ikke konfigurert med økskontroller for å begrense økt, som inkluderer:
- Policy for ineffektiv tidsavbrudd for økt
- Omfang for tillatt tilgang
Lav eller ingen risiko når
Denne kontrollen kan vurderes som lav risiko når ett eller flere av følgende er implementert:
- MFA-håndhevelse eller identitetsbekreftelse er på plass: MFA håndheves for Salesforce-brukere
- IP-påloggingsrestriksjon på nettverkslaget: IP-påloggingsrestriksjon for brukere med rettigheter til å endre oppsettet
- SSO-håndhevelse: Alle profiler er konfigurert med SAML SSO
Viktige punkter om virksomheten og integrasjonen
Kunder bør evaluere inngangspunkter for sine brukersluttpunkter og hvilke data hver brukerprofil er eksponert for.
Anbefalt rettelse
Konfigurer IP-områder for pålogging for hver profil i organisasjonen.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering identifiserer plattformkonfigurasjonen relatert til IP-områder. Oppsett av IP-områder kan konfigureres via nettverksoppsettet eller organisasjonen (klarerte IP-områder) eller via profilnivået (påloggings-IP-områder).
