Single Logout

Kontrolnavn

Single Logout

Anbefalet konfiguration

Konfigurer, valider og gennemse regelmæssigt Salesforce Single Logout-opsætning for at sikre, at de er konfigureret korrekt for hver af de relevante anvendelsessituationer i firmaet, hvor Salesforce er serviceudbyder, afhængig part eller identitetsudbyder.

Kontroller oversigt

Konfigurer Single Logout på gældende brugersager for forbindelser med eksterne applikationer eller identitetsudbydere.

Sikkerhedsrisiko, hvis den ikke er konfigureret

En åben aktiv forældreløs session, som kan føre til sessionsovertagelse fra en sideløbende flytning mellem applikationer af en trusselaktør for at få adgang til følsomme data uden at skulle have brug for en godkendelse.

Trusselscenarier

Hvis en bruger glemmer at logge ud af hver app individuelt, kan en angriber bruge en aktiv "forældreløs" session til at få adgang til følsomme data uden at skulle have brug for en godkendelse ved brug af sessionen.

Estimeret CVSS-scoringsinterval

Kritisk (9,0-10,0).

Overvejelser i forbindelse med risikopåvirkning

Risikostyring afhænger af brugerpopulationens størrelse og adgangsrettigheder, der tildeles ved login.

Højere risiko når

Session er ikke konfigureret med sessionskontroller til at begrænse session, som inkluderer:

• Ineffektiv sessiontimeoutpolitik
• Omfang for overdrevent tilladelig adgang
• IP-begrænsning for overdreven tilladelseslogin

Lav eller ingen risiko når

Denne kontrol kan betragtes som lav risiko, når et eller flere af følgende implementeres:

• Periodisk gennemgang af serviceudbydere: Gennemse applikationer, der er tilsluttet til Salesforce som serviceudbydere, og forstå risiciene.
• Certifikatstyring: Gennemse regelmæssigt det certifikat, der bruges til at gøre det muligt for din organisation at kommunikere med serviceudbyderen, og brug betroet CA til certifikatet.
• Gennemtvunget godkendelse konfigureret: Sikring af, at brugere, der allerede er logget på Salesforce, kan angive deres legitimationsoplysninger igen, når de forsøger at få adgang til serviceudbyderen.
• Login-timeout: Log automatisk brugere ud af serviceudbyderen, når de logger ud af Salesforce.
• MFA-håndhævelse: MFA håndhæves for Salesforce-brugere
• IP-loginbegrænsning: Begrænsning af IP-login for brugere baseret på profiler

Overvejelser i forbindelse med forretning og integration

Kunder bør evaluere forretningsjustering for eksterne tilsluttede apps, der kræver kontinuerlig forbindelse i overensstemmelse med adgangspolitikker, bestemmelseskrav og forventninger til brugeroplevelsen.

Anbefalet rettelse

Gennemse alle konfigurerede serviceudbyder- og identitetsudbyderopsætninger, konfigurer single logout eller roter legitimationsoplysningerne regelmæssigt.

Vejledning til sikkerhedstilstandsgennemgang

Sikkerhedstilstandscheck identificerer Single Logout, der er konfigureret i Salesforce for at hjælpe kunder med at reducere risikoen for identitetsfederation og forhindre uautoriseret adgang med Salesforce-anbefalede sikkerhedsbasislinjer og Trust