Logout único

Nome do controle

Logout único

Configuração recomendada

Configure, valide e revise regularmente a configuração de Logout único do Salesforce para garantir que ela esteja configurada corretamente para cada um dos casos de uso aplicáveis na empresa, em que o Salesforce é o Provedor de serviços, a Parte confiável ou o Provedor de identidade.

Visão geral de controle

Configure o logout único nos casos de usuário aplicáveis para conexões com aplicativos externos ou provedores de identidade.

Risco de segurança, se não configurado

Uma sessão órfã ativa aberta, que pode levar ao sequestro de sessão de uma movimentação lateral entre aplicativos por um ator de ameaça para acessar dados confidenciais sem precisar de autenticação.

Cenários de ameaça

Se um usuário se esquecer de fazer logout de cada aplicativo individualmente, um invasor poderá usar uma sessão "órfã" ativa para acessar dados confidenciais sem precisar de autenticação usando a sessão.

Intervalo de pontuação de CVSS estimado

Crítico (9.0 a 10.0).

Considerações sobre impacto de risco

A gravidade do risco depende do tamanho da população de usuários e dos privilégios de acesso concedidos no login.

Risco maior quando

A sessão não é configurada com controles de sessão para limitar a sessão, que incluem:

• Política de tempo limite de sessão inativa
• Escopo de acesso permissivo demais
• Restrição de IP de login de permissão excessiva

Baixo ou Sem risco quando

Esse controle pode ser considerado de baixo risco quando um ou mais dos seguintes são implementados:

• Revisão periódica dos provedores de serviços: Revise os aplicativos conectados ao Salesforce como provedores de serviços e entenda os riscos.
• Gerenciamento de certificados: Revise periodicamente o certificado usado para permitir que sua organização se comunique com o provedor de serviços, use a CA confiável para certificado.
• Autenticação forçada configurada: Garantir que os usuários que já estão conectados ao Salesforce insiram novamente suas credenciais quando tentam acessar o provedor de serviços.
• Tempo limite de login: Efetue logout automático dos usuários do provedor de serviços quando eles fizerem logout do Salesforce.
• Aplicação de MFA: A MFA é imposta para usuários do Salesforce
• Restrição de login de IP: Restrição de login de IP para usuários com base em perfis

Considerações de negócios e integração

Os clientes devem avaliar a justificativa de negócios para aplicativos conectados externos que exigem conexão contínua de acordo com políticas de acesso, requisitos regulatórios e expectativas de experiência do usuário.

Remediação recomendada

Revise todas as configurações do Provedor de serviços e do Provedor de identidade configuradas, configure o logout único ou faça a rotação das credenciais periodicamente.

Diretriz de revisão de saúde de segurança

A Análise de integridade de segurança identifica o logout único configurado no Salesforce para ajudar os clientes a reduzir o risco de federação de identidade e evitar acesso não autorizado com as linhas de base de segurança recomendadas pela Salesforce e os princípios Zero Trust.