Du er her:
Siden Sikker avlogging
Denne kontrollen sikrer at når en Salesforce-økt utløper i en nettleserfane, omdirigeres brukeren automatisk til en forhåndsdefinert, sikker URL-adresse.
Navn på kontroll
Sikker avlogging
Anbefalt konfigurasjon
- Avloggings-URL - Oppgi URL-adressen for avlogging
- Aktiver lagring av URL-adressen for omdirigering av avlogging i den lokale nettleseren
Oppsett>Øktinnstillinger>Avloggings-URL |Lagre URL-adressen for omdirigert avlogging i den lokale nettleseren.
Oversikt over kontroll
Denne kontrollen sikrer at når en Salesforce-økt utløper i en nettleserfane, omdirigeres brukeren automatisk til en forhåndsdefinert, sikker URL-adresse – vanligvis SSO-avloggingssluttpunktet – i stedet for standardpåloggingssiden. Ved å håndheve denne omdirigeringen sikrer organisasjonen en global avlogging på tvers av hele identitetsøkosystemet og hindrer uautoriserte brukere i å få tilgang til miljøet på nytt via vedvarende økttokener på identitetsleverandørnivå.
Sikkerhetsrisiko hvis ikke konfigurert
Hvis du ikke aktiverer omdirigering av utløpte faner til en tilpasset URL-adresse for avlogging, øker risikoen for uautorisert øktoppbevaring, fordi brukere dirigeres til standard Salesforce-påloggingssiden i stedet for identitetsleverandørens (IdP) avloggingssluttpunkt når en økt tidsavbrytes. Dette omgår den globale avloggingsprosessen, som potensielt lar SSO-økten være aktiv på identitetsleverandørnivå og tillater at en etterfølgende bruker på samme enhet får tilgang til miljøet på nytt uten å godkjennes på nytt.
Trusselscenarier
I et felles arbeidsstasjonmiljø eller et felles terminalmiljø kan en bruker forlate Salesforce-økten til tidsavbrudd forutsatt at økten er død. Men fordi den utløpte fanen ikke utløser en global avlogging hos identitetsleverandøren (IdP), forblir den underliggende SSO-økten aktiv. En opportunistisk angriper kan så bare klikke på påloggingsknappen for å bli umiddelbart godkjent på nytt som den forrige brukeren, og få full tilgang til sensitive data uten å bli bedt om legitimasjon.
Beregnet CVSS Score-område
Kritisk (9.0–10.0).
Viktige punkter om risikoinnvirkning
Avhengig av antall forekomster i firmaet.
Høyere risiko når
Risikoen for uautorisert øktgjenoppretting forsterkes betydelig av for lange tidsavbruddstider for økter, som utvider vinduet for muligheten for en angriper til å få tilgang til en uovervåket arbeidsstasjon før økten utløper.
I tillegg kan en manglende tvunget ny godkjenning på identitetsleverandørnivå (IdP) tillate nettleseren å stille gjenopprette en Salesforce-økt ved bruk av en vedvarende identitetsleverandørinformasjonskapsel, og omgå behovet for en ny pålogging eller MFA-utfordring når brukeren klikker på Logg på-knappen på den utløpte fanen.
Lav eller ingen risiko når
For å redusere risikoen for uautorisert øktgjenoppretting bør organisasjoner implementere enkeltavlogging (SLO), som sikrer at avlogging fra Salesforce (eller et økttidsavbrudd) også effektivt avslutter økten på identitetsleverandørnivå (IdP).
I tillegg gir håndheving av korte tidsavbrudd for økter (for eksempel 15–30 minutter) og krever godkjenning med flere faktorer (MFA) for hver påloggingsøkt kritisk dybdeforsvar, noe som sikrer at selv om en økt forblir teknisk aktiv, kreves en andre faktor eller ny godkjenning for å få tilgang til sensitive data på nytt.
Viktige punkter om virksomheten og integrasjonen
Ikke relevant
Anbefalt rettelse
Omdiriger login til din firmaside.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering inspiseres for å sikre at organisasjonen er konfigurert med forhåndsdefinert URL-adresse for avlogging av omdirigering i nettleseren for å samsvare med firmaets policy.
