Você está aqui:
Gerenciar identidades de usuários do Salesforce com SCIM
Gerenciar identidades do usuário do Salesforce com SCIM (Sistema para gerenciamento de identidade entre domínios) ajuda a automatizar todo o ciclo de vida do usuário.
Nome do controle
Gerenciar identidades de usuários do Salesforce com SCIM
Configuração recomendada
Provisione e gerencie identidades de usuário do Salesforce entre sistemas com o Sistema de gerenciamento de identidade entre domínios (SCIM) padrão aberto. Edite e gerencie as propriedades do usuário do Salesforce usando operações da API REST.
Visão geral de controle
Gerenciar identidades de usuário do Salesforce com SCIM (Sistema para gerenciamento de identidade entre domínios) ajuda a automatizar todo o ciclo de vida do usuário (criar, atualizar e desativar) diretamente de um provedor de identidade centralizado (IdP). Isso garante que o acesso do usuário seja sincronizado em tempo real com a fonte da verdade da empresa, eliminando de modo eficaz o risco de contas órfãs revogando instantaneamente o acesso do Salesforce no momento em que um usuário é desabilitado no diretório central.
Risco de segurança, se não configurado
Configuração SCIM configurada incorretamente aumenta o risco de provisionamento e desprovisionamento incorretos de usuários, levando a acesso persistente a dados de CRM confidenciais. Essa discrepância entre o provedor de identidade e o Salesforce cria contas órfãs de alto risco que podem ser facilmente exploradas para exfiltração de dados não autorizada ou usadas por funcionários anteriores para acessar informações proprietárias não detectadas.
Cenários de ameaça
SCIM configurado incorretamente, permitindo que contas do Salesforce órfãs permaneçam ativas e acessíveis. O ator de ameaças então faz login de um dispositivo pessoal para exportar listas inteiras de clientes e dados de vendas proprietários antes que a equipe de TI possa desativar manualmente a conta "órfã".
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,90).
Considerações sobre impacto de risco
A gravidade do risco depende do tamanho da população de usuários e dos privilégios de acesso concedidos no login.
Risco maior quando
A verificação de identidade do usuário não está em vigor (MFA ou outros) A sessão não está configurada com controles de sessão para limitar a sessão, que incluem:
- Política de tempo limite de sessão inativa
- Escopo de acesso permissivo demais
Baixo ou Sem risco quando
Esse controle pode ser considerado de baixo risco quando um ou mais dos seguintes são implementados:
- A imposição de MFA ou a verificação de identidade está em vigor: A MFA é imposta para usuários do Salesforce
- Restrição de login de IP na camada de rede: Restrição de login de IP para usuários com privilégios para modificar a configuração
- Aplicação de SSO: Todos os perfis são configurados com SSO SAML
Considerações de negócios e integração
Os clientes devem avaliar os pontos de entrada dos pontos de extremidade de seus usuários e aos quais dados cada perfil de usuário está exposto.
Remediação recomendada
Configure intervalos de IP de login para cada perfil na organização.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a configuração da plataforma relacionada a intervalos de IP. A configuração de intervalos de IP pode ser configurada por meio da configuração de rede ou da organização (Intervalos de IP confiáveis) ou pelo nível de perfil (Intervalos de IP de login).
