您位於此處:
主動到期憑證通知
確保已啟用系統管理員在安全性憑證 (SAML、Identity、JWT) 到期前即時收到警示。
控制名稱
主動到期憑證通知
控制概觀
確保已啟用系統管理員在安全性憑證 (SAML、Identity、JWT) 到期前即時收到警示。
描述
透過「權限集」將「接收憑證到期通知」系統權限指派給負責基礎結構維護的指定系統管理員。
建議組態
建立已啟用「接收憑證到期通知」權限的專用權限集,並將其指派給至少兩個啟用的系統管理員。
安全性影響
避免系統中斷,以及在憑證意外到期時經常發生的緊急安全性略過,強制小組進行快速修正。
業務影響
維護系統使用者的服務執行時間與中斷。減少略過標準 DevOps/Change Management 通訊協定的緊急變更需求。
未設定安全性風險
無人注意憑證到期會導致立即遭到服務拒絕。在高壓中斷狀況中,小組可能會暫時使用不良的安全性作法來還原服務,進而建立漏洞的時段。
威脅情況
系統可用性:使用者無法登入,因為 SAML 簽署憑證已到期。整合失敗:自動資料同步會因為 JWT 承載者流程拒絕到期的憑證而失敗。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
具有複雜身分管理的組織或針對許多外部下游應用程式使用 Salesforce 作為 IdP 的組織,風險較高。
風險愈高時機
將先前員工設定為接收通知,或未將特定系統權限指派給任何人時。
低度風險時機
有程序會定期檢閱憑證到期,或目前的管理員會透過其他機制接收有關即將到期的憑證警示。
業務與整合考量事項
輪換 Salesforce 憑證時,需要程序同時更新外部系統,以避免不相符。
安全性健康檢閱指南
「安全性健康檢閱」會掃描 User 和 PermissionSet 物件,以確認已將 PermissionsReceiveCertificateExpirationNotifications 標記指派給具有管理員層級存取權的啟用使用者。
受影響的人員
內部員工、管理員和開發人員。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
