Sie befinden sich hier:
Single Sign-On für die Salesforce-Kundenidentitätskontrolle
Dadurch wird die Verbundauthentifizierung (SAML oder OpenID Connect) aktiviert, sodass Kunden einen einzelnen, vertrauenswürdigen Satz von Anmeldeinformationen eines externen Identitätsanbieters verwenden können, um auf mehrere Salesforce-Sites und integrierte Anwendungen zuzugreifen.
Steuerelementname
Single Sign-On (SSO) für Salesforce Customer Identity
Empfohlene Konfiguration
Mit SSO für Salesforce Customer Identity können sich Benutzer mit einem Satz von Anmeldeinformationen bei mehreren Anwendungen anmelden.
Steuerelementübersicht
Dadurch wird die Verbundauthentifizierung (SAML oder OpenID Connect) aktiviert, sodass Kunden einen einzelnen, vertrauenswürdigen Satz von Anmeldeinformationen über einen externen Identitätsanbieter verwenden können, um auf mehrere Salesforce-Sites und integrierte Anwendungen zuzugreifen.
Sicherheitsrisiko, wenn nicht konfiguriert
Benutzer sind gezwungen, eindeutige Kennwörter für jede einzelne Anwendung zu verwalten, was zu einer schlechten Kennworthygiene (Wiederverwendung) führt und es dem Unternehmen unmöglich macht, eine einheitliche MFA-Richtlinie im gesamten digitalen Ökosystem durchzusetzen.
Bedrohungsszenarien
Ein Angreifer führt erfolgreich einen Angriff mit Anmeldeinformationen auf den schwächeren Nicht-SSO-Account eines Benutzers aus und verwendet diese durchgesickerten Anmeldeinformationen, um Zugang zum Salesforce-Portal zu erhalten, da der Account nicht durch die zentralisierten Sicherheitssteuerungen eines Master-Identitätsanbieters geschützt war.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Ohne einen zentralen Authentifizierungslink wird eine Sicherheitslücke geschaffen, bei der der entsprechende Salesforce-Account durch Widerrufen des Zugriffs in Ihrem Hauptsystem nicht deaktiviert werden kann, sodass ehemalige Mitarbeiter oder Partner nach ihrem Ausscheiden nicht autorisierten Zugriff auf sensible Unternehmensdaten behalten können.
Höheres Risiko, wenn
"Kennwort läuft nie ab" ist für lokale Salesforce-Benutzer aktiviert oder wenn das Unternehmen keine zentralisierte Möglichkeit hat, anormale Anmeldemuster auf verschiedenen Plattformen zu erkennen.
Geringes Risiko, wenn
wenn das Unternehmen die native Salesforce-MFA und strenge Richtlinien zur Kennwortkomplexität für alle lokalen Accounts durchsetzt, um das Fehlen eines zentralisierten Identitätsanbieters auszugleichen.
Überlegungen zu Unternehmen und Integration
Erfordert die Integration in kundenorientierte Identitätsanbieter. Für die Implementierung von SSO ist eine technische Anpassung an die Bereitstellungslogik "Just-in-Time" (JIT) erforderlich, um sicherzustellen, dass Benutzerdatensätze in Salesforce ohne manuelle Eingriffe bei der ersten Anmeldung richtig erstellt oder aktualisiert werden.
Empfohlene Sanierung
Navigieren Sie unter "Setup" zu den Single Sign-On-Einstellungen, erstellen Sie eine SAML- oder Authentifizierungsanbieterkonfiguration und verknüpfen Sie sie mit den Anmelde- und Registrierungseinstellungen Ihrer Site, um die SSO-Schaltfläche zu aktivieren.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung priorisiert die zentrale Identitätsverwaltung. Mit SSO für Portale können Sie Sicherheitsprüfungen auf Unternehmensebene wie die MFA und den bedingten Zugriff auf Ihre externen Benutzer anwenden und gleichzeitig die manuelle Kennwortverwaltung vereinfachen.
