使用 SCIM 控制管理 Salesforce 用户身份

控件名称

使用 SCIM 管理 Salesforce 用户身份

推荐配置

使用开放标准的跨域身份管理系统 (SCIM)，跨系统配置和管理 Salesforce 用户身份。使用 REST API 操作编辑和管理 Salesforce 用户属性。

控制概览

使用 SCIM（跨域身份管理系统）管理 Salesforce 用户身份有助于直接从集中身份提供商 (IdP) 自动化整个用户生命周期（创建、更新和停用）。这确保了用户访问与公司的真实来源实时同步，通过在中心目录中禁用用户时立即撤销 Salesforce 访问权限，有效地消除了孤立客户的风险。

安全风险（如果未配置）

配置不正确的 SCIM 设置会增加不正确的用户配置和取消配置的风险，从而导致对敏感 CRM 数据的持久访问。身份提供商和 Salesforce 之间的这种不匹配造成了高风险的孤立帐户，很容易被利用进行未经授权的数据泄露，或被以前的员工用来访问专有信息而不被发现。

威胁场景

配置不正确的 SCIM，允许孤立的 Salesforce 帐户保持活动和可访问。然后，威胁操作者从个人设备登录，导出整个客户列表和专有销售数据，然后 IT 团队可以手动停用“孤立”帐户。

估计的 CVSS 得分范围

高 (7.0–8.90)。

风险影响注意事项

风险严重性取决于用户群体大小、登录时授予的访问权限。

高风险

用户身份验证未到位（MFA 或其他）会话未配置会话控制来限制会话，包括：

• 无效的会话超时策略
• 访问权限范围过大

低风险或无风险

当实施以下一项或多项时，此控制可视为低风险：

• MFA 强制执行或身份验证到位：为 Salesforce 用户强制执行 MFA
• 网络层的 IP 登录限制：具有修改设置权限的用户的 IP 登录限制
• SSO 强制执行：所有简档都配置了 SAML SSO

业务和集成注意事项

客户应评估其用户端点的入口点，以及每个用户简档暴露哪些数据。

建议的补救措施

为组织中的每个简档设置登录 IP 范围。

安全健康审查指导

安全运行状况审查识别与 IP 范围相关的平台配置。IP 范围的设置可以通过网络设置或组织（受信 IP 范围）或通过简档级别（登录 IP 范围）进行配置。