Du är här:
Hantera Salesforce-användaridentiteter med SCIM
Att hantera Salesforce-användares identiteter med SCIM (System för identitetshantering för korsdomän) hjälper till att automatisera hela användarens livscykel.
Kontrollnamn
Hantera Salesforce-användaridentiteter med SCIM
Rekommenderad konfiguration
Provisionera och hantera Salesforce-användaridentiteter mellan system med den öppna standarden System för Cross-Domain Identity Management (SCIM). Redigera och hantera Salesforce-användaregenskaper med REST API-operationer.
Kontrollöversikt
Att hantera Salesforce-användaridentiteter med SCIM (System för identitetshantering för korsdomän) hjälper till att automatisera hela användarlivscykeln—skapande, uppdateringar och inaktivering—direkt från en centraliserad identitetsleverantör (IdP). Detta säkerställer att användaråtkomst synkroniseras i realtid med företagets källa, vilket effektivt eliminerar risken för övergivna konton genom att omedelbart återkalla Salesforce-åtkomst i samma ögonblick som en användare inaktiveras i den centrala katalogen.
Säkerhetsrisk om den inte är konfigurerad
Felaktigt konfigurerad SCIM-konfiguration ökar risken för felaktig användarprovisionering och avprovisionering, vilket leder till bestående åtkomst till känsliga CRM-data. Denna brist på matchning mellan identitetsleverantören och Salesforce skapar övergivna högriskkonton som enkelt kan utnyttjas för oauktoriserad dataexfiltrering eller användas av tidigare anställda för att komma åt egen information oupptäckt.
Hotscenarier
Felaktigt konfigurerad SCIM, vilket låter övergivna Salesforce-konton förbli aktiva och tillgängliga. Hotaktören loggar sedan in från en personlig enhet för att exportera hela kundlistor och egna försäljningsdata innan IT-teamet manuellt kan inaktivera det "föräldralösa" kontot.
Uppskattat CVSS-betygintervall
Hög (7,0-8,90).
Att tänka på vad gäller riskpåverkan
Riskernas svårighetsgrad beror på användarpopulationens storlek, åtkomstbehörigheter beviljade vid inloggning.
Högre risk när
Användaridentitetsbekräftelse finns inte (MFA eller andra) Sessionen är inte konfigurerad med sessionskontroller för att begränsa sessionen, vilket inkluderar:
- Ineffektiv sessionstimeoutpolicy
- Räckvidd för åtkomst med alltför hög behörighet
Låg eller ingen risk när
Denna kontroll kan anses vara låg risk när en eller flera av följande implementeras:
- MFA-tillämpning eller identitetsbekräftelse finns: MFA tillämpas för Salesforce-användare
- Begränsning av IP-inloggning i nätverkslagret: IP-inloggningsbegränsning för användare med behörighet att ändra inställningarna
- SSO-tillämpning: Alla profiler är konfigurerade med SAML SSO
Att tänka på vad gäller affärer och integration
Kunder bör utvärdera ingångspunkter för sina användares slutpunkter och vilka data varje användarprofil exponeras för.
Rekommenderad åtgärd
Konfigurera IP-intervall för inloggning för varje profil i organisationen.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning identifierar plattformskonfigurationen relaterad till IP-intervall. Konfiguration av IP-intervall kan konfigureras via nätverkskonfigurationen eller organisationen (Betrodda IP-intervall) eller via profilnivån (IP-intervall för inloggning).
