Single Logout

Nome controllo

Single Logout

Configurazione consigliata

Configurare, convalidare e rivedere regolarmente l'impostazione di Single Logout di Salesforce per assicurarsi che siano configurati correttamente per ciascuno dei casi d'uso applicabili nell'azienda, in cui Salesforce è il fornitore di servizi, la relying party o il provider di identità.

Panoramica sul controllo

Configurare Single Logout per i casi utente applicabili per le connessioni con applicazioni esterne o provider di identità.

Rischio per la sicurezza se non configurato

Sessione orfana attiva aperta, che può causare un hijack della sessione da un movimento laterale tra le applicazioni da parte di un attore della minaccia per accedere ai dati sensibili senza necessità di autenticazione.

Scenari di minaccia

Se un utente dimentica di disconnettersi da ogni singola app, un aggressore può utilizzare una sessione "orfana" attiva per accedere ai dati sensibili senza necessità di autenticazione, utilizzando la sessione.

Intervallo di punteggi CVSS stimato

Critico (9.0–10.0).

Considerazioni sull'impatto del rischio

La gravità del rischio dipende dalle dimensioni della popolazione degli utenti e dai privilegi di accesso concessi al momento dell'accesso.

Rischio maggiore quando

La sessione non è configurata con controlli di sessione per limitare la sessione, che includono:

• Policy di timeout sessione inefficace
• Ambito di accesso eccessivamente permissivo
• Limitazione IP Accesso con autorizzazioni eccessive

Rischio basso o nullo quando

Questo controllo può essere considerato a basso rischio quando vengono implementati uno o più dei seguenti elementi:

• Revisione periodica dei fornitori di servizi: Esaminare le applicazioni connesse a Salesforce come fornitori di servizi e comprenderne i rischi.
• Gestione certificati: Esaminare periodicamente il certificato utilizzato per consentire all'organizzazione di comunicare con il fornitore di servizi, utilizzare CA affidabile per il certificato.
• Autenticazione forzata configurata: Assicurare agli utenti che hanno già eseguito l'accesso a Salesforce di immettere nuovamente le credenziali quando tentano di accedere al fornitore di servizi.
• Timeout di accesso: Disconnette automaticamente gli utenti dal fornitore di servizi quando si disconnettono da Salesforce.
• Applicazione della MFA: La MFA viene applicata per gli utenti Salesforce
• Limitazione di accesso IP: Limitazione dell'accesso IP per gli utenti in base ai profili

Considerazioni su Business e integrazione

I clienti devono valutare la giustificazione aziendale per le applicazioni connesse esterne che richiedono una connessione continua in linea con le policy di accesso, i requisiti normativi e le aspettative di esperienza degli utenti.

Rimedio consigliato

Esaminare tutte le impostazioni del fornitore di servizi e del provider di identità configurate, configurare il Single Logout o ruotare le credenziali periodicamente.

Guida all'esame dello stato della sicurezza

Controllo dello stato della sicurezza identifica Single Logout configurato in Salesforce per aiutare i clienti a ridurre il rischio di federazione dell'identità e impedire l'accesso non autorizzato con i principi di base di sicurezza consigliati da Salesforce e Zero Trust.