Vous êtes ici :
Authentification unique pour Salesforce Customer Identity
Cela active l'authentification fédérée (SAML ou OpenID Connect), ce qui permet aux clients d'utiliser un seul ensemble d'identifiants de confiance d'un fournisseur d'identité externe (IdP) pour accéder à plusieurs sites Salesforce et applications intégrées.
Nom du contrôle
Authentification unique (SSO) pour Salesforce Customer Identity
Configuration recommandée
Avec SSO pour Salesforce Customer Identity, les utilisateurs peuvent se connecter à plusieurs applications avec un seul jeu d'identifiants.
Vue d'ensemble du contrôle
Cela active l'authentification fédérée (SAML ou OpenID Connect), ce qui permet aux clients d'utiliser un seul ensemble d'identifiants de confiance à partir d'un fournisseur d'identité externe pour accéder à plusieurs sites Salesforce et applications intégrées.
Risque de sécurité s'il n'est pas configuré
Les utilisateurs sont contraints de gérer des mots de passe uniques pour chaque application individuelle, ce qui entraîne une mauvaise hygiène des mots de passe (réutilisation) et empêche l'entreprise d'appliquer une politique de MFA unique et unifiée dans l'ensemble de l'écosystème numérique.
Scénarios de menace
Un assaillant exécute avec succès une attaque par bourrage d'identifiants sur le compte non-SSO faible d'un utilisateur et utilise ces identifiants divulgués pour accéder au portail Salesforce, car le compte n'était pas protégé par les contrôles de sécurité centralisés d'un fournisseur d'identité principal.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Sans lien d'authentification central, une faille de sécurité est créée lorsque la révocation de l'accès dans votre système principal ne parvient pas à désactiver le compte Salesforce correspondant, ce qui permet aux anciens employés ou partenaires de conserver un accès non autorisé aux données confidentielles de l'entreprise après leur départ.
Risque plus élevé quand
« Mot de passe n'expire jamais » est activé pour les utilisateurs Salesforce locaux ou lorsque l'entreprise n'a pas de méthode centralisée pour détecter les modèles de connexion anormaux sur différentes plates-formes.
Risque faible quand
si l'entreprise applique la MFA native de Salesforce et des stratégies strictes de complexité du mot de passe pour tous les comptes locaux afin de compenser l'absence de fournisseur d'identité centralisé.
Considérations relatives à l'entreprise et à l'intégration
Nécessite une intégration avec les fournisseurs d'identité accessibles aux clients. L'implémentation de l'authentification unique nécessite un alignement technique sur la logique de provisionnement « juste à temps » (JIT) pour s'assurer que les enregistrements utilisateur sont créés ou mis à jour correctement dans Salesforce sans intervention manuelle lors de la première connexion.
Remédiation recommandée
Accédez à Paramètres d'authentification unique dans Configuration, créez une configuration SAML ou Fournisseur d'authentification, puis liez-la aux paramètres de connexion et d'inscription de votre site pour activer le bouton SSO.
Guide d'examen sanitaire de sécurité
L'examen de l'intégrité de la sécurité priorise la gestion centrale de l'identité. La SSO pour portails permet d'appliquer des contrôles de sécurité de niveau entreprise, tels que la MFA et l'accès conditionnel, à vos utilisateurs externes tout en réduisant les contraintes de la gestion manuelle des mots de passe.
