使用 SCIM 管理 Salesforce 使用者身分

控制名稱

使用 SCIM 管理 Salesforce 使用者身分

建議組態

使用開放標準的「跨網域身分管理系統」(SCIM) 佈建和管理跨系統的 Salesforce 使用者身分。使用 REST API 作業編輯和管理 Salesforce 使用者內容。

控制概觀

使用 SCIM (跨網域身分管理系統) 管理 Salesforce 使用者身分可協助將整個使用者生命週期 (建立、更新和停用) 直接從集中身分提供者 (IdP) 自動化。這可確保使用者存取權與公司的事實來源即時同步化,在使用者在中央目錄中停用時立即撤銷 Salesforce 存取權,有效消除孤立帳戶的風險。

未設定安全性風險

不正確設定的 SCIM 設定會增加不正確使用者提供和取消提供的風險,進而導致對敏感 CRM 資料的永久存取。身分提供者與 Salesforce 之間的不相符項目會建立高風險孤立帳戶,這些帳戶可輕鬆利用進行未經授權的資料外洩,或由前員工使用以存取未偵測到的專屬資訊。

威脅情況

不正確設定 SCIM,允許孤立的 Salesforce 帳戶保持啟用與可存取。然後,威脅執行動作使用者從個人裝置登入以匯出整個客戶清單和專屬銷售資料,IT 小組才能手動停用「孤立」帳戶。

估計 CVSS 分數範圍

高 (7.0–8.90)。

風險影響考量事項

風險嚴重性取決於使用者族群大小、登入時授與的存取權限。

風險愈高時機

使用者身分驗證不適用 (MFA 或其他) 工作階段未設定為使用工作階段控制來限制工作階段,包括:

• 工作階段逾時原則無效
• 過度允許的存取範圍

低風險或無風險的時機

實作下列一或多個控制項時,可以將此控制項視為低度風險:

• 「MFA 強制執行」或身分驗證已準備就緒:為 Salesforce 使用者強制執行 MFA
• 網路層的 IP 登入限制:具有修改設定權限之使用者的 IP 登入限制
• SSO 強制執行:所有設定檔皆使用 SAML SSO 進行設定

業務與整合考量事項

客戶應評估其使用者端點的進入點,以及每個使用者設定檔公開的資料。

建議的補救措施

為組織中的每個設定檔設定登入 IP 範圍。

安全性健康檢閱指南

「安全性健康檢閱」會識別與 IP 範圍相關的平台組態。IP 範圍的設定可透過網路設定或組織 (信任的 IP 範圍) 或透過設定檔層級 (登入 IP 範圍) 進行設定。