Вы находитесь здесь:
Управление удостоверениями пользователей Salesforce посредством элемента управления SCIM
Управление удостоверениями пользователей Salesforce посредством SCIM (системы для междоменного управления удостоверениями) помогает автоматизировать весь жизненный цикл пользователя.
Управление именем
Управление удостоверениями пользователя Salesforce посредством SCIM
Рекомендованная конфигурация
Предоставьте и управляйте удостоверениями пользователей Salesforce в системах с помощью открытой стандартной системы для междоменного управления удостоверениями (SCIM). Редактируйте свойства пользователя Salesforce и управляйте ими посредством операций REST API.
Общие сведения о контроле
Управление удостоверениями пользователей Salesforce посредством SCIM (системы для управления междоменными удостоверениями) помогает автоматизировать весь жизненный цикл пользователя - создание, обновления и деактивацию - напрямую из централизованного поставщика удостоверений (IdP). Это обеспечивает синхронизацию доступа пользователей в режиме реального времени с источником истины компании, эффективно исключая риск бесхозных организаций, мгновенно отменяя доступ Salesforce в момент отключения пользователя в центральном каталоге.
Риск безопасности, если он не настроен
Неправильно настроенная настройка SCIM повышает риск неправильной инициализации и отмены инициализации пользователя, что приводит к постоянному доступу к конфиденциальным данным CRM. Это несоответствие между поставщиком удостоверений и Salesforce создает бесхозные организации высокого риска, которые можно легко использовать для несанкционированного извлечения данных или использовать бывшими сотрудниками для незамеченного доступа к личным сведениям.
Сценарии угроз
Неправильно настроенный SCIM, что позволяет осиротевшим организациям Salesforce оставаться активными и доступными. Исполнитель угроз потом входит с личного устройства для экспорта целых списков клиентов и личных данных продаж, прежде чем ИТ-группа сможет вручную деактивировать «осиротевшую» организацию.
Примерный диапазон оценки CVSS
Высокий (7,0—8,90).
Рекомендации по влиянию риска
Тяжесть риска зависит от численности пользователей, прав доступа, предоставленных при входе.
Повышенный риск при
Проверка подлинности пользователя отсутствует (MFA или другие) Сеанс не настроен с элементами управления сеансом для ограничения сеанса, которые включают:
- Неэффективная политика времени ожидания сеанса
- Сверхразрешительная область доступа
Низкий или нулевой риск при
Этот элемент управления можно считать низкорисковым при внедрении одного или нескольких из следующих элементов:
- Применяется MFA или проверка подлинности: MFA применяется для пользователей Salesforce
- Ограничение входа IP-адресов на уровне сети: Ограничение входа IP-адресов для пользователей с полномочиями на изменение настроек
- Внедрение единой регистрации: Все профили настроены посредством SAML SSO
Рекомендации по бизнесу и интеграции
Клиенты должны оценить точки входа конечных точек пользователей и данные, доступные каждому профилю пользователя.
Рекомендованное исправление
Настройте диапазоны IP-адресов входа для каждого профиля в организации.
Руководство по проверке состояния безопасности
Проверка состояния безопасности определяет конфигурацию платформы, связанную с диапазонами IP-адресов. Настройка диапазонов IP-адресов может быть настроена посредством настройки сети или организации (диапазоны надежных IP-адресов) или на уровне профиля (диапазоны IP-адресов входа).
