Ti trovi qui:
Single Sign-On per Identità cliente Salesforce
Ciò consente l'autenticazione federata (SAML o OpenID Connect), consentendo ai clienti di utilizzare un unico insieme affidabile di credenziali di un provider di identità esterno (IdP) per accedere a più siti Salesforce e applicazioni integrate.
Nome controllo
Single Sign-On (SSO) per Identità cliente Salesforce
Configurazione consigliata
Con SSO per Identità cliente Salesforce, gli utenti possono accedere a più applicazioni con un unico insieme di credenziali.
Panoramica sul controllo
Ciò consente l'autenticazione federata (SAML o OpenID Connect), consentendo ai clienti di utilizzare un unico insieme affidabile di credenziali da un provider di identità esterno per accedere a più siti Salesforce e applicazioni integrate.
Rischio per la sicurezza se non configurato
Gli utenti sono costretti a gestire password univoche per ogni singola applicazione, causando una scarsa igiene delle password (riutilizzo) e rendendo impossibile per l'azienda applicare un'unica policy MFA unificata in tutto l'ecosistema digitale.
Scenari di minaccia
Un aggressore esegue correttamente un attacco con credential stuffing all'account non SSO più debole di un utente e utilizza le credenziali trapelate per ottenere l'accesso al portale Salesforce poiché l'account non era protetto dai controlli di sicurezza centralizzati di un IdP principale.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
Senza un link di autenticazione centrale, viene creata una lacuna di sicurezza in cui la revoca dell'accesso nel sistema principale non disattiva l'account Salesforce corrispondente, consentendo agli ex dipendenti o partner di mantenere l'accesso non autorizzato ai dati aziendali sensibili dopo la loro partenza.
Rischio maggiore quando
"La password non scade mai" è abilitata per gli utenti Salesforce locali o quando la società non dispone di un sistema centralizzato per rilevare schemi di accesso anomali su piattaforme diverse.
Basso rischio quando
se l'azienda applica la MFA nativa di Salesforce e policy rigorose sulla complessità delle password per tutti gli account locali per compensare la mancanza di un provider di identità centralizzato.
Considerazioni su Business e integrazione
Richiede l'integrazione con IdP indirizzati ai clienti. L'implementazione di SSO richiede l'allineamento tecnico alla logica di provisioning just in time (JIT) per assicurarsi che i record utente vengano creati o aggiornati correttamente in Salesforce senza intervento manuale durante il primo accesso.
Rimedio consigliato
Passare a Impostazioni Single Sign-On in Imposta, creare una configurazione SAML o Provider di autenticazione e collegarla alle impostazioni Accesso e registrazione del sito per abilitare il pulsante SSO.
Guida all'esame dello stato della sicurezza
Security Health Review dà priorità alla gestione centralizzata delle identità. SSO per portali consente di applicare controlli di sicurezza di livello aziendale, ad esempio la MFA e l'accesso condizionale, agli utenti esterni riducendo al contempo la complessità della gestione manuale delle password.
